asp.net core系列 53 IdentityServer4 (IS4)介紹

一.概述

　　在物理層之間相互通信必須保護資源，需要實現身份驗證和授權，通常針對同一個用戶存儲。對於資源安全設計包括二個部分，一個是認證，一個是API訪問。

　　1 認證

　　　　認證是指：應用程式需要知道當前用戶的身份時，需要進行身份驗證，確定用戶是否有效。最常見的身份驗證協議是SAML2p，WS-Federation、OpenID Connect。SAML2p是最受歡迎和最廣泛部署的。OpenID Connect是三者中的最新產品,被認為有最大潛力。。

　　2 API訪問

　　　　對API訪問是：用戶對資源的訪問，以api的形式來訪問資源，涉及到資源授權。

　　3 OAuth2 介紹

　　　　OAuth2是一種協議，全稱(Open Authorization)，是為用戶資源的授權提供了一個安全的、開放而又簡易的標準。互聯網很多服務如Open API都提供了OAUTH認證服務。為桌面程式、手機端或web應用提供了一種簡單的，標準的方式去訪問需要用戶授權的API服務。OAuth2協議特定：

              (1)簡單：不管是OAUTH服務提供者還是應用開發者，都很易於理解與使用。

              (2)安全：沒有涉及到用戶密鑰等信息，更安全更靈活。

              (3)開放：任何服務提供商都可以實現OAUTH，任何軟體開發商都可以使用OAUTH。

　　4 OIDC介紹

　　　　OIDC是指OpenID Connect，是基於OAuth 2.0規範的可互操作的身份驗證協議。是用 API 進行身份交互的框架。它使用簡單的REST / JSON消息流來實現。OIDC實現了用戶驗證跨越物理層，無需管理密碼文件(密鑰)。

　　　　OpenID是Authentication，即認證。對用戶的身份進行認證，判斷其身份是否有效。

　　　　OAuth是Authorization，即授權。 對用戶允許訪問哪些資源的授權。 授權要在認證之後進行，只有確定用戶身份才能授權。

　　　　OpenID Connect是“認證”和“授權”的結合。是對OAuth 2.0之上的擴展。這樣對於兩個基本的安全問題，即身份驗證和API訪問，被合併為一個協議，通常只需一次往返安全令牌服務。

　　5 IdentityServer4 介紹

　　　　IdentityServer4 是適用於ASP.NET Core，集成了OpenID Connect和OAuth 2.0的框架。在現實開發中，項目涉及到多種物理層架構，它們是多進程的方式部署到不同的伺服器上。比如Web、移動、桌面、服務等物理層架構。也有可能是第三方的程式。 這些物理層之間的通信需要涉及到授權和身份認證。最常見的互動包括：

　　　　(1) 瀏覽器與Web應用程式通信。

　　　　(2) Web應用程式與Web API進行通信（可能都是自己的，也有可能是第三方提供）。

　　　　(3) 伺服器的應用程式與Web API通信(比如windows服務與Web API)。

　　　　(4) Web API與Web API進行通信（可能都是自己的，也有可能是第三方提供）。

　　　　在沒有使用安全令牌服務時，多物理層之間通信，看起來像下麵這樣：

　　　　加了IdentityServer4重構應用程式後，使用了安全令牌服務，產生的體繫結構和協議如下所示：

　　 6 IdentityServer功能包括：

　　　　(1)保護你的資源(資源可以理解包括許可權，比如是否有增、刪、改、查的許可權)

　　　　(2)使用本地帳戶存儲或外部身份提供程式對用戶進行身份驗證

　　　　(3)提供會話管理和單點登錄

　　　　(4)管理和驗證客戶端

　　　　(5)向客戶發放身份和訪問令牌

　　　　(5)驗證令牌

　　7 名詞術語

　　　　用戶是指：通過註冊成功後， 登錄來訪問資源的人。比如：會員，系統管理員等。

　　　　客戶端是指：向IdentityServer請求令牌的程式，用於驗證用戶（請求身份令牌）或訪問資源（請求訪問令牌）。如Web應用程式，本機移動或桌面應用程式，SPA，伺服器進程等。

　　　　資源：使用IdentityServer保護資源，比如用戶的身份數據或API。身份數據是關於用戶的信息也稱Claim聲明, 例如姓名或電子郵件地址。API表示客戶端要調用的功能如Web API。

　　　　身份令牌：是指身份驗證過程，確實用戶是否有效。即Authentication認證。

　　　　訪問令牌：是指允許訪問API資源。即Authorization授權。

　　8 nuget包安裝

　　　　安裝版本網址：https://www.nuget.org/packages/IdentityServer4/3.0.0-preview3.4

　　　　安裝：Install-Package IdentityServer4

　　9 關於IdentityServer4的一些開源示例

　　　　https://identityserver4.readthedocs.io/en/latest/intro/packaging.html

 　　　　下麵是關於IdentityServer的源碼和示例，其中IdentityServer4.Samples中有大量示例，學習從這裡開始。

　　　　https://github.com/IdentityServer/

　　10  學習IdentityServer步驟

　　　　(1) 將IdentityServer添加到ASP.NET Core應用程式

　　　　(2) 配置IdentityServer

　　　　(3) 為各種客戶發放令牌

　　　　(4) 保護Web應用程式和API

　　　　(5) 添加對基於EntityFramework的配置的支持

　　　　(6) 添加對ASP.NET身份的支持

　　　　(7) 添加AdminUI社區版以管理用戶和配置

　　參考文獻

　　　　　IdentityServer4官方文檔介紹