查閱了大多數相關資料，總結設計一個IdentityServer4認證授權方案，我們先看理論，后設計方案，

1、快速理解認證授權

我們先看一下網站發起QQ認證授權，授權通過后獲取用戶頭像，昵稱的流程，

1、輸入賬號密碼，QQ確認輸入了正確的賬號密碼可以登錄 --->認證

2、下面需要勾選的復選框（獲取昵稱、頭像、性別）----->授權　

點擊授權并登錄后，登錄后就可以憑借QQ授權的授權碼去獲取昵稱、頭像、性別了，

是不是看起來流程很簡單？對，就是這么簡單，換成我們自己的網站也是一樣的，

比如公司開發出很多業務網站，網站1、網站2、網站3......，然后我們想使用同一個賬號登錄后，其他網站打開也是登錄狀態，

這個時候只需要有一個統一認證登錄平臺（類似于QQ認證授權），然后就可以實作了，避免了一個網站一個賬號，每次都需要輸入賬號密碼的情況了，

2、IdentityServer4的概念？

IdentityServer4是基于ASP.NET Core實作的認證和授權框架，是對OpenID Connect和OAuth 2.0協議的實作，

看下面這張圖理解一下這個概念，看不懂？沒關系，不影響你敲代碼的速度，接著往下看，

對上圖各個節點的解釋：

IdentityServer

　　身份認證服務器是一個實作了OpenID Connect和OAuth 2.0協議的身份提供者，它負責向客戶端發布安全令牌

User

　　使用注冊客戶端訪問資源的用戶

Client

        客戶端從標識服務器請求令牌，要么用于認證用戶（請求身份令牌），要么用于訪問資源（請求訪問令牌）
        客戶端必須首先在身份服務器上注冊，然后才能請求令牌
       這里的客戶端可以是web應用程式、native mobile， desktop applications, SPA 等程式

Resource
　　資源是你想要用身份認證服務器保護的東西，如：用戶的身份資料或api
　　每個資源都有一個惟一的名稱，客戶端使用這個名稱來指定他們想要訪問的資源
　　關于用戶的身份資料標識（也稱為claim），例如姓名或電子郵件地址

Identity Token
　　身份令牌代表身份驗證程序的結果

Access Token
　　訪問令牌授權客戶端以允許訪問哪些API資源，訪問令牌包含客戶端和用戶的資訊

2.1、OpenID Connect（認證）

OpenID Connect由OpenID基金會于2014年發布的一個開放標準, 是建立在OAuth 2.0協議上的一個簡單的身份標識層, OpenID Connect 兼容 OAuth 2.0. 實作身份認證（Authentication）

參考資料：https://openid.net/connect/

OpenID Connect檔案：https://openid.net/specs/openid-connect-discovery-1_0.html

這里用JSON Web Token（JWT：RFC7519），它包含一組關于用戶身份的宣告（claim），如：用戶的標識（sub）、頒發令牌的提供程式的識別符號（iss）、創建此標識的Client標識（aud），還包含token的有效期以及其他相關的背景關系資訊，

2.2、OAuth2.0（授權）

OAuth2.0是一個開放的工業標準的授權協議（Authorization），它允許用戶授權讓第三方應用直接訪問用戶在某一個服務中的特定資源，但不提供給第三方賬號及密碼資訊，

參考資料：https://www.cnblogs.com/xiandnc/p/9763121.html

OAuth2.0 檔案：https://tools.ietf.org/html/rfc6749#page-73

OAuth2.0四種授權方式：http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

認證是身份識別，鑒別你是誰；

授權是授權許可，告訴你可以做什么，

如上圖的網站發起QQ認證授權，登錄QQ是認證身份，鑒別你是誰，勾選復選框授權是授權許可，告訴你可以做什么（讀取頭像，昵稱、性別），

具體概念就不展開了，大家點擊上面的參考資料可以了解詳細內容，OAuth整體流程如下：

客戶端必須得到用戶的授權，才能獲取令牌，

OAuth2.0定義了四種授權方式（除了這是四種，可以自定義授權模式，如：短信模式、郵箱模式等）：

• 授權碼模式（authorization code）
• 簡化模式（implicit）
• 密碼模式（resource owner password credentials）
• 客戶端模式（client credentials）

2.3、IdentityServer4功能特性

用戶認證服務

　　基于OpenID Connect實作的獨立的認證服務實作對多平臺（web, native, mobile, services）的集中認證

API訪問授權

　　為各種型別的客戶機頒發api訪問令牌，例如服務器到服務器、web應用程式、spa和native/mobile程式

聯合身份認證

　　支持外部身份提供者，如Azure Active Directory、Google、Facebook等

定制化的實作

　　IdentityServer4的許多方面可以定制以滿足您的需要,因為它是一個框架，而不是SaaS服務，所以可以通過撰寫代碼來調整實作，以適應不同的場景

成熟的開原方案

　　使用許可的Apache2開源協議，允許在其之上構建商業產品，也作為.NET基金會支持的專案 （https://dotnetfoundation.org/projects?type=project&ps=10&pn=6）

提供免費的商業支持

　　官方可以對使用者提供部分的免費商業支持

3、場景演示：認證授權系統架構設計方案

電商場景設計方案（初稿）

系統架構圖如下：

這張架構圖缺點：

• 發布頻繁，發布影響整個系統；
• 很難做到敏捷開發；
• 維護性可能會存在一定的弊端，主要看內部架構情況；

大多數對于多客戶端登錄授權來說可能已經實作了Oauth 2.0 的身份授權驗證，但是是和業務集成在一個網關里面，這樣不是很好的方式；

我們可以把里面的很多業務單獨建立一個獨立的網關（比如代理商業務，或者其他比較頻繁操作的業務以及第三方業務），并且把授權服務一并獨立出來，調整后的系統架構圖如下：

身份授權從業務系統中獨立出來后，有了如下的優勢：

• 授權服務不受業務的影響，如果業務網關宕機了，那至少不會影響代理商網關的業務授權系統的使用；
• 授權服務一旦建立，一般就很難進行升級，除非特殊情況；
• 在敏捷開發中，業務系統可能發布頻繁（升級更新），這樣也不至于影響了授權系統服務導致代理商業務受到影響；

代理商業務獨立后，代理商可能會增加秒殺活動，秒殺時支付訂單集中在某一時刻翻了十幾倍，這時候整個API網關可能扛不住，

如果資料過多，增加幾臺負載服務器可能也有點吃力，以至于整個業務系統受到影響；

這個時候把支付業務從系統中拆分出成獨立的支付網關，并做了一定的負載，這時候系統架構圖就演變成如下：

支付業務獨立后的優勢：

• 支付網關服務更新不會太頻繁，減少整個系統因為發布導致的一系列問題，增強穩定性；
• 支付系統出現宕機不影響整個系統的使用，用戶還可以使用其他操作，技術和運維人員也比較好排查定位問題所在；

授權中心單獨一個網關，訪問API網關、支付業務網關、代理商業務網關都需要先通過授權中心獲得授權拿到訪問令牌AccessToken 才能正常的訪問這些網關，

這樣授權模塊就不會受任何的業務影響，同時各個業務網關也不需要寫同樣的授權業務的代碼；

業務網關僅僅只需關注本身的業務即可，授權中心僅僅只需要關注維護授權；

經過這樣升級改造后整個系統維護性得到很大的提高，相關的業務也可以針對具體情況進行選擇性的擴容，

參考文獻

Asp.Net Core IdentityServer4 中的基本概念：https://www.cnblogs.com/jlion/p/12437441.html

IdentityServer4+Vue+asp.netcore開源專案地址：https://www.cnblogs.com/WQLBlog/p/12356853.html

Asp.Net Core 中IdentityServer4 授權中心之應用實戰：https://www.cnblogs.com/jlion/p/12447081.html

基于IdentityServer4 實作.NET Core的認證授權：https://www.cnblogs.com/xiandnc/p/10150814.html

標籤：.NET Core

上一篇：C# Winform 委托實作B頁面給A頁面賦值

下一篇：Linxu+Docker+Gitee+Jenkins自動化部署.NET Core服務