Asp.Net Core 中IdentityServer4 授權中心之自定義授權模式

一、前言

上一篇我分享了一篇關於 Asp.Net Core 中IdentityServer4 授權中心之應用實戰 的文章，其中有不少博友給我提了問題，其中有一個博友問我的一個場景，我給他解答的還不夠完美，之後我經過自己的學習查閱並閱讀了相關源代碼，發現 IdentityServer4 可以實現自定義GrantType 授權方式。

聲明：看這篇文章時如果你沒有閱讀我上一篇 Asp.Net Core 中IdentityServer4 授權中心之應用實戰 的文章，那請先移步看上面的文章，再來看這篇文章會更加清晰，感謝支持，感謝關註！

二、場景模擬

上篇文章已經把電商系統從單一網關架構升級到多網關架構，架構圖如下：

然而上面的授權中心 使用的是密碼授權模式，但是對於微信小程式、微信公眾號商城端使用的授權還不是很合適；
微信小程式和微信公眾號微商城客戶端的場景如下：
用戶訪問小程式商城或者微信公眾號商城後會到微信服務端獲得授權拿到相關的用戶openId、unionId、userName 等相關信息，再攜帶openId、unionId、userName等信息訪問授權中心網關，進行授權，如果不存在則自動註冊用戶，如果存在則登錄授權成功等操作。那這個場景後我該如何改造授權中心服務網關呢？經過研究和探討，我把上面的架構圖細化成如下的網關架構圖：

三、授權中心改造升級

上一篇文章中我們的解決方案中已經建立了三個項目：

• Jlion.NetCore.Identity.Service：授權中心 網關 - WebApi 項目
• Jlion.NetCore.Identity.UserApiService ：用戶業務網關 -WebApi項目
• Jlion.NetCore.Identity ：基礎類庫，主要用於把公共的基礎設施層放到這一塊

通過上面的需求場景分析，我們目前的授權中心還不夠這種需求，故我們可以通過IdentityServer4 自定義授權方式進行改造升級來滿足上面的場景需求。

經過查看源代碼我發現我們可以通過實現IExtensionGrantValidator抽象介面進行自定義授權方式來實現，並且實現ValidateAsync 方法，
現在我在之前的解決方案授權中心項目中新增WeiXinOpenGrantValidator類代碼如下：

public class WeiXinOpenGrantValidator : IExtensionGrantValidator
{
  public string GrantType => GrantTypeConstants.ResourceWeixinOpen;

  public async Task ValidateAsync(ExtensionGrantValidationContext context)
  {
      try
      {
         #region 參數獲取
         var openId = context.Request.Raw[ParamConstants.OpenId];
         var unionId = context.Request.Raw[ParamConstants.UnionId];
         var userName = context.Request.Raw[ParamConstants.UserName];
         #endregion

         #region 通過openId和unionId 參數來進行資料庫的相關驗證
         var claimList = await ValidateUserAsync(openId, unionId);
         #endregion

         #region 授權通過
         //授權通過返回
         context.Result = new GrantValidationResult
         (
             subject: openId,
             authenticationMethod: "custom",
             claims: claimList.ToArray()
         );
         #endregion
     }
     catch (Exception ex)
     {
         context.Result = new GrantValidationResult()
         {
             IsError = true,
             Error = ex.Message
         };
     }
  }

   #region Private Method
   /// <summary>
   /// 驗證用戶
   /// </summary>
   /// <param name="loginName"></param>
   /// <param name="password"></param>
   /// <returns></returns>
   private async Task<List<Claim>> ValidateUserAsync(string openId, string unionId)
   {
      //TODO 這裡可以通過openId 和unionId 來查詢用戶信息(資料庫查詢)，
      //我這裡為了方便測試還是直接寫測試的openId 相關信息用戶
      var user = OAuthMemoryData.GetWeiXinOpenIdTestUsers();

      if (user == null)
      {
         //註冊用戶
      }

      return new List<Claim>()
      {
          new Claim(ClaimTypes.Name, $"{openId}"),
      };
   }
   #endregion
 }

GrantTypeConstants 代碼是靜態類,主要用於定義GrantType的自定義授權類型，可能後續還有更多的自定義授權方式所以，統一放這裡面進行管理，方便維護，代碼如下：

 public static class GrantTypeConstants
 {
     /// <summary>
     /// GrantType - 微信端授權
     /// </summary>
     public const string ResourceWeixinOpen = "weixinopen";
 }

ParamConstants 類主要是定義自定義授權需要的參數，代碼如下：

public class ParamConstants
{
    public const string OpenId = "openid";

    public const string UnionId = "unionid";

    public const string UserName = "user_name";
}

好了上面得自定義驗證器已經實現了，但是還不夠，我們還需要讓客戶端支持自定義的授權類型，我們打開OAuthMemoryData代碼中的GetClients,代碼如下：

public static IEnumerable<Client> GetClients()
{
    return new List<Client>
    {
        new Client()
        {
            ClientId =OAuthConfig.UserApi.ClientId,
            AllowedGrantTypes = new List<string>()
            {
                GrantTypes.ResourceOwnerPassword.FirstOrDefault(),//Resource Owner Password模式
                GrantTypeConstants.ResourceWeixinOpen,//新增的自定義微信客戶端的授權模式
            },
            ClientSecrets = {new Secret(OAuthConfig.UserApi.Secret.Sha256()) },
            AllowedScopes= {OAuthConfig.UserApi.ApiName},
            AccessTokenLifetime = OAuthConfig.ExpireIn,
        },
                
    };
}

客戶端AllowedGrantTypes 配置新增了我剛剛自定義的授權方式GrantTypeConstants.ResourceWeixinOpen,
現在客戶端的支持也已經配置好了，最後我們需要通過AddExtensionGrantValidator<>擴展方法把自定義授權驗證器註冊到DI中，代碼如下：

public void ConfigureServices(IServiceCollection services)
{
    services.AddControllers();


    #region 資料庫存儲方式
    services.AddIdentityServer()
        .AddDeveloperSigningCredential()
        .AddInMemoryApiResources(OAuthMemoryData.GetApiResources())
        //.AddInMemoryClients(OAuthMemoryData.GetClients())
        .AddClientStore<ClientStore>()
        .AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()
        .AddExtensionGrantValidator<WeiXinOpenGrantValidator>();
    #endregion
 }

好了，簡單的授權中心代碼升級已經完成，我們分別通過命令行運行授權中心和用戶業務網關 ，之前的用戶業務網關無需改動任何代碼，運行圖分別如下：

Jlion.NetCore.Identity.Server 授權中心運行如下

Jlion.NetCore.Identity.UserApiServer 用戶業務網關運行如下

我們現在用postman模擬openId、unionId、userName參數來請求授權中心獲得AccessToken，請求如下：

我們再通過postman 攜帶授權信息訪問用戶業務網關數據，結果圖如下：

好了，自定義授權模式已經完成，簡單的授權中心也已經升級完成，上面WeiXinOpenGrantValidator驗證器中我沒有直接走資料庫方式進行驗證和註冊，簡單的寫了個Demo ，大家有興趣可以 把TODO那一快資料庫的操作去實現，代碼我已經提交到 github上了，這裡再次分享下我博客同步實戰的demo 地址 https://github.com/a312586670/IdentityServerDemo

四、思考與總結

本篇我介紹了自定義授權方式，通過查看源代碼及查閱資料學習了IdentityServer4 可以通過自定義授權方式進行擴展。這樣授權中心可以擴展多套授權方式，比如今天所分享的 自定義微信openId 授權、簡訊驗證碼授權等其他自定義授權，一套Api資源可以兼併多套授權模式，靈活擴展，靈活升級。本篇涉及的知識點不多，但是非常重要，因為我們在使用授權中心統一身份認證時經常會遇到多種認證方式的結合，和多套不同應用用戶的使用，在掌握了授權原理後，就能在不同的授權方式中切換的游刃有餘，到這裡有的博友會問AccentToken 有過期時間，會過期怎麼辦？難道要重新授權一次嗎？這些問題我會安排下一篇文章分享。

靈魂一問：

上面的授權中心 例子主要是為了讓大家更好的理解自定義授權的使用場景及它的靈活性，真實的場景這樣直接把 openId等相關信息來驗證授權安全嗎？大家可以可以思考下，如果不安全大家又有什麼好的解決方案呢？自我提升在於不停的自我思考，大家可以敬請的發揮自己的思考，把答案留在留言板中，以供大家參考學習，感謝！！！