IdentityServer4是ASP.NET Core 2的OpenID Connect和OAuth 2.0框架,它可以在您的應用程式中提供以下功能:
它使你的應用程式具有如下特點:
認證即服務
適用于所有應用程式(web, native, mobile, services)的集中登錄邏輯和作業流程,IdentityServer是OpenID Connect的官方認證實作,
單點登錄/注銷
多個型別的應用程式在一個點進行登錄和注銷操作,
API 訪問控制
為各種型別的客戶端頒發API的訪問令牌,例如 服務器到服務器、Web應用程式,SPA、本地應用和移動應用程式,
聯合網關
支持Azure Active Directory,Google,Facebook等外部身份提供商,這可以保護您的應用程式免受如何連接到這些外部提供商的詳細資訊的影響,
專注于定制
最重要的部分 - IdentityServer的許多方面都可以根據您的需求進行定制,由于IdentityServer是一個框架而不是現成的產品或SaaS,因此您可以撰寫代碼以使系統適應您的方案,
成熟的開源
IdentityServer使用的Apache 2開源協議,允許在其上構建商業產品,它也是.NET Foundation的一部分,它提供治理和法律支持,
免費和商業支持
如果您需要幫助構建或運行您的身份平臺,請告知IdentityServer官方, 他們可以通過多種方式為您提供幫助,
一.整體介紹
現代應用程式看起來更像這個:
最常見的相互作用:
- 瀏覽器與Web應用程式的通信 Browser -> Web App
- Web應用程式與Web API通信
- 基于瀏覽器的應用程式與Web API
- 本機應用程式與Web API進行溝通
- 基于服務器的應用程式與Web API
- Web API與Web API通信
通常,每個層(前端、中間層和后端)必須保護資源并實作身份驗證或授權——通常針對同一個用戶存盤區,
將這些基本安全功能外包給安全令牌服務可以防止在這些應用程式和端點上復制該功能,
應用支持安全令牌服務將引起下面的體系結構和協議:
這樣的設計將安全問題分為兩部分:
二.認證(Authentication)
認證可以讓一個應用程式知道當前用戶的身份, 通常,這些應用程式代表該用戶管理資料,并且需要確保該用戶只能訪問允許他訪問的資料,最常見的示例是Web應用程式,但基于本地和基于js的應用程式也需要進行身份驗證,
最常用的認證協議saml2p、WS-Federation和OpenID,saml2p協議是最流行和實際應用最多的,
OpenID Connect對于現在應用來說是被認為是未來最有潛力的,這是專為移動應用場景設計的,一開始就被設計成對移動應用場景友好,
三.API訪問
應用程式有兩種基本方式與API進行通信,一種是使用應用程式標識,另一種是委托用戶的身份,有時這兩種方法都需要結合,
OAuth2協議,它允許應用程式從一個安全令牌服務要求訪問令牌,使用這個訪問令牌來訪問API,這個機制降低了客戶機應用程式和API的復雜性,因為身份驗證和授權可以是集中式的,
四.OpenID Connect 和 OAuth 2.0 結合
OpenID Connect 和 OAuth 2.0非常相似,事實上OpenID Connect 是在OAuth 2.0之上的一個擴展,兩個基本的安全問題,認證和API訪問,被組合成單個協議,通常只需一次往返安全令牌服務,
我們認為OpenID Connect和OAuth 2.0的組合是可預見在未來是保護現代應用程式的最佳方法,IdentityServer4是這兩種協議的實作,并且被高度優化以解決當今移動應用、本地應用和web應用的典型安全問題
五.IdentityServer4可以幫助你做什么
IdentityServer是將規范兼容的OpenID Connect和OAuth 2.0端點添加到任意ASP.NET Core應用程式的中間件,通常,您構建(或重新使用)包含登錄和注銷頁面的應用程式,IdentityServer中間件會向其添加必要的協議頭,以便客戶端應用程式可以與其對話 使用這些標準協議,
我們通常建議通過僅包含認證相關的UI來使攻擊面盡可能小,
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/14.html
標籤:ASP.NET
上一篇:Asp中的DropDownList控制元件和原生下拉框的使用比較
下一篇:深入淺出之委托