一、前言
上一篇我分享了一篇關于 Asp.Net Core 中IdentityServer4 授權中心之應用實戰 的文章,其中有不少博友給我提了問題,其中有一個博友問我的一個場景,我給他解答的還不夠完美,之后我經過自己的學習查閱并閱讀了相關源代碼,發現 IdentityServer4 可以實作自定義GrantType 授權方式,
宣告:看這篇文章時如果你沒有閱讀我上一篇 Asp.Net Core 中IdentityServer4 授權中心之應用實戰 的文章,那請先移步看上面的文章,再來看這篇文章會更加清晰,感謝支持,感謝關注!
二、場景模擬
上篇文章已經把電商系統從單一網關架構升級到多網關架構,架構圖如下:
然而上面的授權中心 使用的是密碼授權模式,但是對于微信小程式、微信公眾號商城端使用的授權還不是很合適;
微信小程式和微信公眾號微商城客戶端的場景如下:
用戶訪問小程式商城或者微信公眾號商城后會到微信服務端獲得授權拿到相關的用戶openId、unionId、userName 等相關資訊,再攜帶openId、unionId、userName等資訊訪問授權中心網關,進行授權,如果不存在則自動注冊用戶,如果存在則登錄授權成功等操作,那這個場景后我該如何改造授權中心服務網關呢?經過研究和探討,我把上面的架構圖細化成如下的網關架構圖:
三、授權中心改造升級
上一篇文章中我們的解決方案中已經建立了三個專案:
Jlion.NetCore.Identity.Service:授權中心網關 -WebApi專案Jlion.NetCore.Identity.UserApiService:用戶業務網關-WebApi專案Jlion.NetCore.Identity:基礎類別庫,主要用于把公共的基礎設施層放到這一塊
通過上面的需求場景分析,我們目前的授權中心還不夠這種需求,故我們可以通過IdentityServer4 自定義授權方式進行改造升級來滿足上面的場景需求,
經過查看源代碼我發現我們可以通過實作IExtensionGrantValidator抽象介面進行自定義授權方式來實作,并且實作ValidateAsync 方法,
現在我在之前的解決方案授權中心專案中新增WeiXinOpenGrantValidator類代碼如下:
public class WeiXinOpenGrantValidator : IExtensionGrantValidator
{
public string GrantType => GrantTypeConstants.ResourceWeixinOpen;
public async Task ValidateAsync(ExtensionGrantValidationContext context)
{
try
{
#region 引數獲取
var openId = context.Request.Raw[ParamConstants.OpenId];
var unionId = context.Request.Raw[ParamConstants.UnionId];
var userName = context.Request.Raw[ParamConstants.UserName];
#endregion
#region 通過openId和unionId 引數來進行資料庫的相關驗證
var claimList = await ValidateUserAsync(openId, unionId);
#endregion
#region 授權通過
//授權通過回傳
context.Result = new GrantValidationResult
(
subject: openId,
authenticationMethod: "custom",
claims: claimList.ToArray()
);
#endregion
}
catch (Exception ex)
{
context.Result = new GrantValidationResult()
{
IsError = true,
Error = ex.Message
};
}
}
#region Private Method
/// <summary>
/// 驗證用戶
/// </summary>
/// <param name="loginName"></param>
/// <param name="password"></param>
/// <returns></returns>
private async Task<List<Claim>> ValidateUserAsync(string openId, string unionId)
{
//TODO 這里可以通過openId 和unionId 來查詢用戶資訊(資料庫查詢),
//我這里為了方便測驗還是直接寫測驗的openId 相關資訊用戶
var user = OAuthMemoryData.GetWeiXinOpenIdTestUsers();
if (user == null)
{
//注冊用戶
}
return new List<Claim>()
{
new Claim(ClaimTypes.Name, $"{openId}"),
};
}
#endregion
}
GrantTypeConstants 代碼是靜態類,主要用于定義GrantType的自定義授權型別,可能后續還有更多的自定義授權方式所以,統一放這里面進行管理,方便維護,代碼如下:
public static class GrantTypeConstants
{
/// <summary>
/// GrantType - 微信端授權
/// </summary>
public const string ResourceWeixinOpen = "weixinopen";
}
ParamConstants 類主要是定義自定義授權需要的引數,代碼如下:
public class ParamConstants
{
public const string OpenId = "openid";
public const string UnionId = "unionid";
public const string UserName = "user_name";
}
好了上面得自定義驗證器已經實作了,但是還不夠,我們還需要讓客戶端支持自定義的授權型別,我們打開OAuthMemoryData代碼中的GetClients,代碼如下:
public static IEnumerable<Client> GetClients()
{
return new List<Client>
{
new Client()
{
ClientId =OAuthConfig.UserApi.ClientId,
AllowedGrantTypes = new List<string>()
{
GrantTypes.ResourceOwnerPassword.FirstOrDefault(),//Resource Owner Password模式
GrantTypeConstants.ResourceWeixinOpen,//新增的自定義微信客戶端的授權模式
},
ClientSecrets = {new Secret(OAuthConfig.UserApi.Secret.Sha256()) },
AllowedScopes= {OAuthConfig.UserApi.ApiName},
AccessTokenLifetime = OAuthConfig.ExpireIn,
},
};
}
客戶端AllowedGrantTypes 配置新增了我剛剛自定義的授權方式GrantTypeConstants.ResourceWeixinOpen,
現在客戶端的支持也已經配置好了,最后我們需要通過AddExtensionGrantValidator<>擴展方法把自定義授權驗證器注冊到DI中,代碼如下:
public void ConfigureServices(IServiceCollection services)
{
services.AddControllers();
#region 資料庫存盤方式
services.AddIdentityServer()
.AddDeveloperSigningCredential()
.AddInMemoryApiResources(OAuthMemoryData.GetApiResources())
//.AddInMemoryClients(OAuthMemoryData.GetClients())
.AddClientStore<ClientStore>()
.AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()
.AddExtensionGrantValidator<WeiXinOpenGrantValidator>();
#endregion
}
好了,簡單的授權中心代碼升級已經完成,我們分別通過命令列運行授權中心和用戶業務網關 ,之前的用戶業務網關無需改動任何代碼,運行圖分別如下:
Jlion.NetCore.Identity.Server 授權中心運行如下
Jlion.NetCore.Identity.UserApiServer 用戶業務網關運行如下
我們現在用postman模擬openId、unionId、userName引數來請求授權中心獲得AccessToken,請求如下:
我們再通過postman 攜帶授權資訊訪問用戶業務網關資料,結果圖如下:
好了,自定義授權模式已經完成,簡單的授權中心也已經升級完成,上面WeiXinOpenGrantValidator 驗證器中我沒有直接走資料庫方式進行驗證和注冊,簡單的寫了個Demo ,大家有興趣可以 把TODO那一快資料庫的操作去實作,代碼我已經提交到 github上了,這里再次分享下我博客同步實戰的demo 地址 https://github.com/a312586670/IdentityServerDemo
四、思考與總結
本篇我介紹了自定義授權方式,通過查看源代碼及查閱資料學習了IdentityServer4 可以通過自定義授權方式進行擴展,這樣授權中心可以擴展多套授權方式,比如今天所分享的 自定義微信openId 授權、短信驗證碼授權等其他自定義授權,一套Api資源可以兼并多套授權模式,靈活擴展,靈活升級,本篇涉及的知識點不多,但是非常重要,因為我們在使用授權中心統一身份認證時經常會遇到多種認證方式的結合,和多套不同應用用戶的使用,在掌握了授權原理后,就能在不同的授權方式中切換的游刃有余,到這里有的博友會問AccentToken 有過期時間,會過期怎么辦?難道要重新授權一次嗎?這些問題我會安排下一篇文章分享,
靈魂一問:
上面的授權中心 例子主要是為了讓大家更好的理解自定義授權的使用場景及它的靈活性,真實的場景這樣直接把 openId等相關資訊來驗證授權安全嗎?大家可以可以思考下,如果不安全大家又有什么好的解決方案呢?自我提升在于不停的自我思考,大家可以敬請的發揮自己的思考,把答案留在留言板中,以供大家參考學習,感謝!!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/56725.html
標籤:.NET Core