IdentityServer4-介绍

Posted zd1994

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IdentityServer4-介绍相关的知识,希望对你有一定的参考价值。

一、总体介绍

大多数现代应用或多或少是这样的:

技术分享图片

通常,每个层(前端、中间层和后端)都必须保护资源并实现身份验证和/或授权——通常针对相同的用户存储。

将这些基本的安全功能外包给安全令牌服务,可以防止在这些应用程序和端点之间重复这些功能。 

重组应用程序以支持安全令牌服务将导致以下架构和协议:

技术分享图片

这种设计将安全问题分为两部分:

身份认证

当应用程序需要知道当前用户的身份时,需要进行身份验证。通常,这些应用程序代表该用户管理数据,并需要确保该用户只能访问允许他访问的数据。最常见的例子是(经典)Web应用程序 - 但原生和基于JS的应用程序也需要身份验证。

最常见的身份验证协议是SAML2p、WS-Federation和OpenID Connect——SAML2p是最受欢迎的和最广泛部署的。

OpenID Connect是这三种类型中最新的一种,但被认为是未来的,因为它最有可能应用于现代应用。它从一开始就为移动应用程序场景构建,设计为API友好。 

API访问

应用程序有两种与API进行通信的基本方式 - 使用应用程序标识或发放用户身份。 有时两种方法需要结合。

OAuth2是一种协议,允许应用程序从安全令牌服务请求访问令牌,并使用它们与api通信。这种授权降低了客户端应用程序和API的复杂性,因为可以集中验证和授权。 

OpenID连接和OAuth 2.0 -更好地结合在一起

OpenID连接和OAuth 2.0非常相似——事实上,OpenID连接是OAuth 2.0之上的扩展。身份认证和API访问这两个基本的安全问题被合并为一个协议 - 往往只需一次往返安全令牌服务。

我们认为,OpenID Connect和OAuth 2.0的结合是在可预见的未来保护现代应用程序的最佳方法。IdentityServer4是这两个协议的一个实现,它高度优化以解决当今移动、本地和web应用程序的典型安全问题。

IdentityServer4如何提供帮助

IdentityServer是一种中间件,可将符合规范的OpenID Connect和OAuth 2.0端点添加到任意的ASP.NET Core应用程序中。

通常情况下,您构建(或重新使用)包含登录和注销页面的应用程序(也可能取决于您的需要),IdentityServer中间件会添加必要的协议头,以便客户端应用程序可以使用这些标准协议与它进行对话。

技术分享图片

托管应用程序可以像您想的那样复杂,但我们通常建议通过仅包含与身份验证相关的用户界面来尽可能缩小攻击面。

 

二、术语

技术分享图片

IdentityServer

IdentityServer是一个OpenID连接提供程序——它实现了OpenID连接和OAuth 2.0协议。

不同的文献对相同的角色使用不同的术语——您可能还会发现安全令牌服务、身份提供程序、授权服务器、IP-STS等等。

但他们简而言之就是:一种向客户发放安全令牌的软件。

IdentityServer有许多任务和特性——包括: 

  • 保护你的资源
  • 使用本地帐户存储或通过外部标识提供程序对用户进行身份验证
  • 提供会话管理和单点登录
  • 管理和认证的客户端
  • 向客户端发出标识和访问令牌
  • 验证令牌

User 

用户是使用注册客户端访问资源的人。

Client

客户端是一种软件,它从IdentityServer请求令牌——用于验证用户(请求身份令牌)或访问资源(请求访问令牌)。客户端必须首先在IdentityServer上注册,然后才能请求令牌。

客户端的示例包括web应用程序、本地移动或桌面应用程序、SPAs、服务器进程等。

Resources

资源是您希望使用IdentityServer(用户的标识数据或api)保护的内容。

每个资源都有一个唯一的名称——客户端使用这个名称来指定他们想要访问的资源。

关于用户的身份数据标识信息(又名claims),例如姓名或电子邮件地址。

api资源表示客户机希望调用的功能——通常建模为Web api,但不一定。

Identity Token

标识符表示身份验证过程的结果。它至少包含用户的标识符(称为sub - 又名 subject claim)和用户如何以及何时认证的信息。它可以包含其他标识数据。

Access Token

访问令牌允许访问API资源。客户端请求访问令牌并将它们转发到API。访问令牌包含关于客户端和用户的信息(如果存在)。api使用这些信息授权访问它们的数据。

 

三、包和创建

四、演示服务和测试

以上是关于IdentityServer4-介绍的主要内容,如果未能解决你的问题,请参考以下文章

IdentityServer4 重定向到注销页面而不是 PostLogoutRedirectUri

从Client应用场景介绍IdentityServer4

IdentityServer4-用EF配置Client

IdentityServer4介绍之支持的规范

IdentityServer4-介绍

ASP.NET Core运行两个TestServer进行集成测试