从零搭建一个IdentityServer——项目搭建

  本篇文章是基于ASP.NET CORE 5.0以及IdentityServer4的IdentityServer搭建,为什么要从零搭建呢?IdentityServer4本身就有很多模板可以直接生成一个可以运行的验证服务程序,是因为在真实开发过程中很难直接用生成的模板来进行开发,其次是通过生成的方式开发者本身可能会对某些技术细节有所忽略。
   
  本文从以下几个方面来完成IdentityServer项目搭建:

 创建一个空的Asp.net Core 5.0项目

  通过VS创建一个空的Asp.net core 5.0项目:
  注:此处选择了Docker支持,需要安装Docker Desktop,另外第一次通过Docker调试应用程序需要下载相应的Docker Image和VS的调试环境,如果镜像文件下载慢,那么可以变更docker的注册镜像:https://blog.csdn.net/zhangqingmu/article/details/104655635/,如果VS调试环境下载慢可参考https://blog.csdn.net/lindexi_gd/article/details/106925674手动下载。
  项目启动后看到以下结果:

添加IdentityServer4组件

  IdentityServer4是一组中间件,它实现了OpenID Connect和Oauth2.0协议,来提供身份验证以及授权服务,添加IdentityServer4仅需要安装IdentityServer4组件,然后对相关服务和中间件进行配置即可:
 

  安装完成后通过AddIdentityServer方法将相关的服务注册到容器中,同时这里返回一个builder用于继续构建IdentityServer服务,如存储、缓存、加密相关的密钥等等;

  

  接着将IdentityServer中间件添加到Asp.net core的http请求管道中:
  
  注:在添加中间件的时候需要注意IdentityServer中间件的放置顺序,另外在调用UseIdentityServer这个方法中还自动添加了身份验证的中间件。

 IdentityServer4数据持久化

  按理来说现在已经可以运行项目了,但是运行的时候出现了无法解析IClientStore类型错误:
  

   这个问题的原因在于,IdentityServer4在进行授权时实际上是依赖一系列数据的,这些数据包括Client、Resource、Scope等,所以为了保证授权相关操作能够完成,需要配置相关数据的存储服务,IdentityServer4默认提供了测试基于内存的数据存储,但一般只是用于测试目的:

   

   关于数据持久化,在.net技术栈中可以想到的就是Entity Framework,同时IdentityServer4提供了名为:IdentityServer4.EntityFramework的包,它包含了相关的实体类型(IdentityServer4.EntityFramework.Storage)以及EF的DbContext。所以引入IdentityServer4.EntityFramework包就可以实现基于EF的数据持久化,另外也可以自己实现。

  

 

   上图中可以看到IdentityServer4关于EF的包有2个,但是实际上安装IdentityServer4.EntityFramework就包含Storage这个包了:

  

   安装完成之后,我们可以在IdentityServer4.EntityFramework.Storage包中找到以下两个DbContext类型:

  ConfigurationDbContext :
  PersistedGrantDbContext :
   
  
  为了EF能够正常工作需要根据数据库类型安装相应的EF数据库提供器(本例使用的是Mariadb):

   然后就可以对IdentityServer的存储进行配置了:

  

  以上主要是对数据库链接字符串、数据库版本、字符集以及数据库迁移程序集进行配置,需要注意的是在对数据库进行迁移的时候默认使用DbContext所在的程序集,而IdentityServer4提供的DbContext位于IdentityServer4.EntityFramework.Storage包里面,所以为了能够确保迁移文件正常生成,所以需要将Startup所在的程序集设为迁移程序集(注:更适合的方式是专门创建一个数据库迁移项目来作为迁移程序集,这样数据库迁移的相关内容可以单独维护)。

  另外还需要注意的是数据库链接字符串,在开发时可能数据库安装在本地可以使用127.0.0.1,但是如果在dorcker中调试的话127.0.0.1无法链接到数据库。
  完成配置后即可将数据库结构迁移到数据库中,首先需要安装EF的工具:
  工具描述,相关命令及参数可参考文档https://docs.microsoft.com/en-us/ef/core/cli/powershell
  
  执行命令(参数o表示迁移文件输出路径,因为存在多个DbContext以及需要多个数据迁移,所以分开存储):
  Add-Migration initPersistedGrantDb -c PersistedGrantDbContext -o Migrations/IdentityServer/PersistedGrantDb
  Add-Migration initConfigurationDb -c ConfigurationDbContext -o Migrations/IdentityServer/ConfigurationDb

  注:-c和-o分别是-Context 和-OutputDir 的简写,在参数没有二义性时可以使用简写。

  生成的文件:
  

  执行数据库更新命令后,数据库将完成创建:

  Update-Database -Context PersistedGrantDbContext
  Update-Database -Context ConfigurationDbContext
  

  数据库也就创建好了:

  

   启动程序,并访问https://localhost:55006/.well-known/openid-configuration即可看到以下内容,证明IdentityServer4已经成功启动了:

  

  但是由于数据库中还没有任何数据,所以还无法进行授权操作,因为数据库中还没有任何数据,这里简单的把IdentityServer4模板创建的创建初始数据代码引入,并完成数据创建:
  

   注:关于IdentityServer4的默认数据可通过命令“dotnet new -i IdentityServer4.Templates”先安装IdentityServer4相关模板,然后使用“dotnet new is4ef”命令来创建,具体参考文档:https://identityserver4.readthedocs.io/en/latest/quickstarts/5_entityframework.html

  在启动参数中包含“/seed”时创建数据,关于启动参数,可以直接执行程序时添加,如dotnet .\IdentityServer.dll /seed,或者通过VS中设置调试参数进行调试(数据生成后删除):
  

配置IdentityServer4证书

  运行程序,通过测试数据中的client及其密码尝试获取access token:

  

  啊哦,出错了,未配置签名证书,无法创建Jwt token,简单来说就是为了保证token的签名和验证,需要配置一个数字签名证书,关于证书配置可参考文档:https://identityserver4.readthedocs.io/en/latest/topics/startup.html#key-material
  为了方便,使用开发证书进行测试:
  

   添加代码后再次运行程序,就能够生成Access Token 了:

创建一个基于Jwt身份验证的WebApi项目

  最后通过VS新建一个默认的WebApi项目来验证一下是否能够通过access_token访问受保护资源。
  在新建的项目中添加基于Jwt bearer的验证服务:
  
  同时添加身份验证中间件:
  

   设置API的授权访问:

  

  获取token后访问受保护API:
  

   成功访问,但是这里有个小细节需要注意一下,就是当获取到access token后,在token的有效期内,哪怕是把IdentityServer关闭,也能使用token正常访问受保护资源,换句话说access token颁发后就与IdentityServer无关了,以上内容实际上是使用Asp.Net core 5.0以及IdentityServer4实现了一个基于客户端证书(Client Credentials)的Oauth2.0授权流程,但IdentityServer提供的内容不仅于此,后续文章将会对该IdentityServer继续完善,使其成为一个功能完善的身份验证服务。

小结 

  本篇文章从一个空项目开始,不断往里面添加组件和代码,搭建了一个基于IdentityServer4的身份验证服务器,并且到目前为止已经实现了IdentityServer4的相关数据持久化,并且能够通过Client_Credentials等方式获取Access Token,实现了基于Jwt的身份验证,这一切实际上都是基于Oauth2.0协议的,关于Oauth2.0可以参考文章:https://www.cnblogs.com/selimsong/p/8037717.html
  但IdentityServer4是一个实现OpenIDConnect协议的身份验证/授权服务,更多内容将在后续文章中介绍。
参考:
 
posted @ 2021-01-27 10:43  7m鱼  阅读(995)  评论(1编辑  收藏