身份验证与授权 – 岁月细碎点滴快查

C# WebAPI Token 生成与账号密码登录实现

木它 — Wed, 18 Jun 2025 01:45:45 +0000

此为一个简单的且完整的 C# WebAPI 实现，用于基于账号密码的 Token 生成和验证系统。这个实现使用 JWT (JSON Web Token) 作为认证机制。

1. 创建项目

首先创建一个 ASP.NET Core WebAPI 项目。

2. 安装必要 NuGet 包

Microsoft.AspNetCore.Authentication.JwtBearer
System.IdentityModel.Tokens.Jwt
Microsoft.EntityFrameworkCore (如果使用数据库)
Microsoft.EntityFrameworkCore.SqlServer (如果使用SQL Server)

3. 完整实现代码

3.1 配置类 (appsettings.json)

{
  "Jwt": {
    "Key": "YourSuperSecretKeyHereAtLeast32CharactersLong",
    "Issuer": "YourAppIssuer",
    "Audience": "YourAppAudience",
    "ExpireMinutes": 60
  },
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*"
}

3.2 用户模型 (Models/User.cs)

public class User
{
    public int Id { get; set; }
    public string Username { get; set; }
    public string Password { get; set; } // 实际应用中应该存储哈希值
    public string Role { get; set; } // 例如 "Admin", "User" 等
}

3.3 Token 响应模型 (Models/TokenResponse.cs)

public class TokenResponse
{
    public string Token { get; set; }
    public DateTime Expiration { get; set; }
    public string Username { get; set; }
    public string Role { get; set; }
}

3.4 登录请求模型 (Models/LoginRequest.cs)

public class LoginRequest
{
    public string Username { get; set; }
    public string Password { get; set; }
}

3.5 JWT 服务 (Services/JwtService.cs)

using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.IdentityModel.Tokens;

public class JwtService
{
    private readonly IConfiguration _configuration;

    public JwtService(IConfiguration configuration)
    {
        _configuration = configuration;
    }

    public string GenerateToken(User user)
    {
        var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["Jwt:Key"]));
        var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);

        var claims = new[]
        {
            new Claim(ClaimTypes.NameIdentifier, user.Username),
            new Claim(ClaimTypes.Role, user.Role)
        };

        var token = new JwtSecurityToken(
            _configuration["Jwt:Issuer"],
            _configuration["Jwt:Audience"],
            claims,
            expires: DateTime.Now.AddMinutes(Convert.ToDouble(_configuration["Jwt:ExpireMinutes"])),
            signingCredentials: credentials);

        return new JwtSecurityTokenHandler().WriteToken(token);
    }
}

3.6 用户服务 (Services/UserService.cs)

x.Username == username && x.Password == password); // 如果用户不存在或密码错误返回null if (user == null) return null; // 认证成功返回用户详情 (不包含密码) return user; } }" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

public class UserService
{
    // 实际应用中应该从数据库获取用户
    private readonly List<User> _users = new List<User>
    {
        new User { Id = 1, Username = "admin", Password = "admin123", Role = "Admin" },
        new User { Id = 2, Username = "user", Password = "user123", Role = "User" }
    };

    public User Authenticate(string username, string password)
    {
        // 实际应用中应该验证密码哈希
        var user = _users.SingleOrDefault(x => x.Username == username && x.Password == password);

        // 如果用户不存在或密码错误返回null
        if (user == null)
            return null;

        // 认证成功返回用户详情 (不包含密码)
        return user;
    }
}

3.7 认证控制器 (Controllers/AuthController.cs)

using Microsoft.AspNetCore.Mvc;

[Route("api/[controller]")]
[ApiController]
public class AuthController : ControllerBase
{
    private readonly UserService _userService;
    private readonly JwtService _jwtService;

    public AuthController(UserService userService, JwtService jwtService)
    {
        _userService = userService;
        _jwtService = jwtService;
    }

    [HttpPost("login")]
    public IActionResult Login([FromBody] LoginRequest request)
    {
        var user = _userService.Authenticate(request.Username, request.Password);

        if (user == null)
            return Unauthorized(new { message = "用户名或密码错误" });

        var token = _jwtService.GenerateToken(user);

        return Ok(new TokenResponse
        {
            Token = token,
            Expiration = DateTime.Now.AddMinutes(Convert.ToDouble(_configuration["Jwt:ExpireMinutes"])),
            Username = user.Username,
            Role = user.Role
        });
    }
}

3.8 受保护资源控制器 (Controllers/ProtectedController.cs)

using Microsoft.AspNetCore.Authorization;

[Authorize]
[Route("api/[controller]")]
[ApiController]
public class ProtectedController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        // 可以从HttpContext.User获取用户信息
        var username = User.Identity.Name;
        var role = User.FindFirst(ClaimTypes.Role)?.Value;

        return Ok(new { 
            Message = $"你好 {username}, 你的角色是 {role}",
            Data = "这是受保护的数据" 
        });
    }

    [Authorize(Roles = "Admin")]
    [HttpGet("admin")]
    public IActionResult AdminOnly()
    {
        return Ok(new { Message = "只有管理员能看到这条消息" });
    }
}

3.9 Program.cs 配置

(); builder.Services.AddScoped(); var app = builder.Build(); // 配置HTTP请求管道 if (app.Environment.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseHttpsRedirection(); // 添加认证和授权中间件 app.UseAuthentication(); app.UseAuthorization(); app.MapControllers(); app.Run();" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;

var builder = WebApplication.CreateBuilder(args);

// 添加服务到容器
builder.Services.AddControllers();

// 配置JWT认证
builder.Services.AddAuthentication(options =>
{
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = true,
        ValidateAudience = true,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        ValidIssuer = builder.Configuration["Jwt:Issuer"],
        ValidAudience = builder.Configuration["Jwt:Audience"],
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(builder.Configuration["Jwt:Key"]))
    };
});

// 注册自定义服务
builder.Services.AddScoped<UserService>();
builder.Services.AddScoped<JwtService>();

var app = builder.Build();

// 配置HTTP请求管道
if (app.Environment.IsDevelopment())
{
    app.UseDeveloperExceptionPage();
}

app.UseHttpsRedirection();

// 添加认证和授权中间件
app.UseAuthentication();
app.UseAuthorization();

app.MapControllers();

app.Run();

4. 使用说明

4.1 获取Token

发送POST请求到 /api/auth/login，请求体为：

{
    "username": "admin",
    "password": "admin123"
}

成功响应示例：

{
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
    "expiration": "2023-05-01T12:00:00",
    "username": "admin",
    "role": "Admin"
}

4.2 访问受保护资源

在请求头中添加：

Authorization: Bearer <your_token>

然后访问 /api/protected

4.3 访问管理员资源

在请求头中添加：

Authorization: Bearer <your_token>

然后访问 /api/protected/admin (需要管理员角色)

5. 安全建议

密码存储：实际应用中不要明文存储密码，应该使用密码哈希加盐
HTTPS：确保所有认证请求都通过HTTPS
Token过期：设置合理的Token过期时间
密钥保护：保护JWT密钥，不要硬编码在代码中
刷新Token：考虑实现刷新Token机制

6. 扩展功能

添加用户注册功能
实现密码重置
添加多因素认证
实现Token刷新机制
添加日志记录和监控

Microsoft.IdentityModel.Tokens 命名空间中的 TokenValidationParameters 类

木它 — Wed, 23 Apr 2025 01:38:55 +0000

Microsoft.IdentityModel.Tokens 命名空间中的 TokenValidationParameters 类，用于配置和控制令牌验证的行为。以下是每个参数的含义和作用, 包括其在 JWT 令牌验证过程中的具体作用和可能的使用场景：

Token Validation Parameters

1. AlgorithmValidator

属性类型: Func
作用: 验证令牌签名算法是否符合预期。
使用场景: 限制使用不安全的算法，确保符合安全策略。

2. ActorValidationParameters

属性类型: TokenValidationParameters
作用: 提供用于验证嵌套 actor token 的参数。
使用场景: 在 OAuth 2.0 委托场景中验证代表用户的服务。

3. AudienceValidator

属性类型: Func, SecurityToken, TokenValidationParameters, bool>
作用: 自定义受众验证逻辑。
使用场景: 实现复杂的受众验证规则。

4. _authenticationType

属性类型: string
作用: 标识身份验证类型。
使用场景: 用于标记或区分不同的身份验证过程。

5. ClockSkew

属性类型: TimeSpan
作用: 定义允许的时间偏移量。
使用场景: 解决服务器间时钟不同步的问题。

6. ConfigurationManager

属性类型: IConfigurationManager
作用: 管理和获取动态配置。
使用场景: 动态获取远程服务器的配置。

7. CryptoProviderFactory

属性类型: CryptoProviderFactory
作用: 提供加密操作的工厂类。
使用场景: 创建加密器、解密器、签名器等。

8. DebugId

属性类型: string
作用: 用于调试的标识符。
使用场景: 在调试或日志记录过程中，帮助识别和追踪特定的验证请求。

9. IncludeTokenOnFailedValidation

属性类型: bool
作用: 指示在验证失败时是否包含令牌。
使用场景: 调试和记录，但需注意安全性。

10. IgnoreTrailingSlashWhenValidatingAudience

属性类型: bool
作用: 指示在验证受众时是否忽略 URL 的尾部斜杠。
使用场景: 允许在验证受众时忽略 URL 尾部斜杠的差异。

11. IssuerSigningKey

属性类型: SecurityKey
作用: 用于验证令牌签名的单个密钥。
使用场景: 提供签名密钥进行验证。

12. IssuerSigningKeyResolver

属性类型: Func>
作用: 动态解析签名密钥的委托。
使用场景: 签名密钥动态变化时解析正确的密钥。

13. IssuerSigningKeyResolverUsingConfiguration

属性类型: Func>
作用: 使用配置解析签名密钥的委托。
使用场景: 依赖配置管理器的动态变化来解析签名密钥。

14. IssuerSigningKeys

属性类型: IEnumerable
作用: 用于验证令牌签名的密钥集合。
使用场景: 当支持多个签名密钥时，提供一个密钥列表供选择。

15. IssuerSigningKeyValidator

属性类型: Func
作用: 自定义签名密钥验证逻辑。
使用场景: 对签名密钥进行额外验证（如检查密钥来源）。

16. IssuerSigningKeyValidatorUsingConfiguration

属性类型: Func
作用: 使用配置的签名密钥验证委托。
使用场景: 依赖配置进行密钥验证。

17. IssuerValidator

属性类型: Func
作用: 自定义颁发者验证逻辑。
使用场景: 实现复杂的颁发者验证规则。

18. IssuerValidatorAsync

属性类型: Func>
作用: 异步自定义颁发者验证逻辑。
使用场景: 当颁发者验证涉及异步操作时，使用此委托。

19. IssuerValidatorUsingConfiguration

属性类型: Func
作用: 使用配置的颁发者验证委托。
使用场景: 依赖配置的动态变化来验证颁发者。

20. LifetimeValidator

属性类型: Func
作用: 自定义令牌有效期验证逻辑。
使用场景: 实现特定的有效期验证规则。

21. LogTokenId

属性类型: bool
作用: 指示是否记录令牌 ID。
使用场景: 用于审计和日志记录，以便在日志中跟踪特定令牌。

22. LogValidationExceptions

属性类型: bool
作用: 指示是否记录验证异常。
使用场景: 用于调试和监控，记录验证过程中发生的异常。

23. NameClaimType

属性类型: string
作用: 指定从令牌中提取用户名称的声明类型。
使用场景: 指定哪个声明用于标识用户名称。

24. NameClaimTypeRetriever

属性类型: Func, string>
作用: 自定义名称声明类型的检索逻辑。
使用场景: 动态决定使用哪个名称声明时，通过此委托实现。

25. PropertyBag

属性类型: IDictionary
作用: 用于存储额外属性的字典。
使用场景: 在验证过程中传递和存储自定义数据，如上下文信息。

26. RefreshBeforeValidation

属性类型: bool
作用: 指示在验证令牌之前是否刷新配置。
使用场景: 在配置可能更新的环境中，确保使用最新的配置进行验证。

27. RequireAudience

属性类型: bool
作用: 指示验证过程中是否需要受众声明。
使用场景: 确保令牌有明确的受众，防止令牌被误用。

28. RequireExpirationTime

属性类型: bool
作用: 指示验证过程中是否需要过期时间声明。
使用场景: 确保令牌有明确的有效期，防止无期限令牌被长期使用。

29. RequireSignedTokens

属性类型: bool
作用: 指示验证过程中是否需要令牌是签名的。
使用场景: 确保令牌的完整性和真实性。

30. RoleClaimType

属性类型: string
作用: 指定从令牌中提取用户角色的声明类型。
使用场景: 指定哪个声明用于标识用户角色。

31. RoleClaimTypeRetriever

属性类型: Func, string>
作用: 自定义角色声明类型的检索逻辑。
使用场景: 动态决定使用哪个角色声明时，通过此委托实现。

32. SaveSigninToken

属性类型: bool
作用: 指示在身份验证成功后是否保存令牌。
使用场景: 用于后续处理或审计目的，保存成功验证的令牌。

33. SignatureValidator

属性类型: Func
作用: 自定义签名验证逻辑。
使用场景: 实现特定的签名验证策略。

34. SignatureValidatorUsingConfiguration

属性类型: Func
作用: 使用配置的签名验证委托。
使用场景: 依赖配置的动态变化来进行签名验证。

35. TokenDecryptionKey

属性类型: SecurityKey
作用: 用于解密令牌的单个密钥。
使用场景: 提供解密密钥进行验证。

36. TokenDecryptionKeyResolver

属性类型: Func>
作用: 动态解析解密密钥的委托。
使用场景: 解密密钥动态变化时，通过此委托解析正确的密钥。

37. TokenDecryptionKeys

属性类型: IEnumerable
作用: 用于解密令牌的密钥集合。
使用场景: 当支持多个解密密钥时，提供一个密钥列表供选择。

38. TokenReader

属性类型: Func
作用: 自定义令牌读取逻辑。
使用场景: 在解析和处理令牌时需要特定的读取逻辑。

39. TokenReplayCache

属性类型: ITokenReplayCache
作用: 用于存储令牌重放信息的缓存。
使用场景: 防止令牌重放攻击，通过缓存已使用的令牌 ID。

40. TokenReplayValidator

属性类型: Func
作用: 自定义令牌重放验证逻辑。
使用场景: 需要特定的重放攻击防护策略时，通过此委托实现。

41. TransformBeforeSignatureValidation

属性类型: Func
作用: 在签名验证之前对令牌进行转换。
使用场景: 需要对令牌进行预处理以便验证时使用。

42. TryAllIssuerSigningKeys

属性类型: bool
作用: 指示是否尝试使用所有提供的签名密钥进行验证。
使用场景: 当有多个潜在的签名密钥时，尝试所有可能的密钥进行验证。

43. TypeValidator

属性类型: Func
作用: 自定义令牌类型验证逻辑。
使用场景: 确保令牌类型符合预期，防止不正确类型的令牌被使用。

44. ValidateActor

属性类型: bool
作用: 指示是否应该验证嵌套令牌。
使用场景: 在处理嵌套令牌时，确保其有效性和真实性。

45. ValidateAudience

属性类型: bool
作用: 指示是否应该验证令牌的受众声明。
使用场景: 确保令牌的受众与预期一致，防止令牌被不当使用。

46. ValidateIssuer

属性类型: bool
作用: 指示是否应该验证令牌的颁发者声明。
使用场景: 确保令牌的颁发者是可信的，防止伪造的令牌。

47. ValidateIssuerSigningKey

属性类型: bool
作用: 指示是否应该验证令牌的签名密钥。
使用场景: 确保使用正确的密钥进行签名验证，防止签名被伪造。

48. ValidateLifetime

属性类型: bool
作用: 指示是否应该验证令牌的有效期。
使用场景: 确保令牌在有效期内使用，防止过期令牌被使用。

49. ValidateSignatureLast

属性类型: bool
作用: 指示是否应该在最后进行签名验证。
使用场景: 当有特定的验证顺序需求时，确保签名验证在其他验证之后进行。

50. ValidateTokenReplay

属性类型: bool
作用: 指示是否应该验证令牌是否被重放。
使用场景: 防止令牌重放攻击，确保每个令牌仅被使用一次。

51. ValidateWithLKG

属性类型: bool
作用: 指示是否应该使用最后已知良好的配置进行验证。
使用场景: 在配置更新失败的情况下，使用最后已知的有效配置进行验证。

52. ValidAlgorithms

属性类型: IEnumerable
作用: 指定允许的签名算法。
使用场景: 限制令牌签名算法，以确保使用符合安全策略的算法。

53. ValidAudience

属性类型: string
作用: 指定允许的单个受众。
使用场景: 确保令牌的受众与预期的单个受众匹配。

54. ValidAudiences

属性类型: IEnumerable
作用: 指定允许的受众集合。
使用场景: 当令牌可能有多个受众时，提供一个受众列表进行匹配。

55. ValidIssuer

属性类型: string
作用: 指定允许的单个颁发者。
使用场景: 确保令牌的颁发者与预期的单个颁发者匹配。

56. ValidIssuers

属性类型: IEnumerable
作用: 指定允许的颁发者集合。
使用场景: 当令牌可能来自多个颁发者时，提供一个颁发者列表进行匹配。

57. ValidTypes

属性类型: IEnumerable
作用: 指定允许的令牌类型。
使用场景: 确保令牌类型符合预期，防止不符合要求的令牌被使用。

这些参数用于配置和控制令牌验证过程，确保应用程序的安全性和可靠性。通过合理配置这些参数，可以应对不同的业务需求和安全要求。

身份验证模型（RBAC）（ABAC）对比

木它 — Fri, 25 Oct 2024 13:25:28 +0000

RBAC（基于角色的访问控制）和 ABAC（基于属性的访问控制）是两种常见的访问控制模型，它们在定义和管理用户权限方面具有不同的方法。

RBAC（基于角色的访问控制）

定义：
RBAC通过将权限与角色关联起来，并将这些角色分配给用户，从而控制对资源的访问。角色通常是基于用户在组织中的职责和职能来定义的。

特点：

角色：一组权限的集合。
用户：可以被分配一个或多个角色。
权限：与角色关联，而不是直接与用户关联。

示例：
假设在一个公司内有三个角色：管理员、编辑和查看者。

管理员：可以创建、修改、删除和查看所有文档。
编辑：可以修改和查看文档，但不能删除。
查看者：只能查看文档。

在这种情况下，用户Alice被分配为“管理员”，用户Bob被分配为“编辑”，而用户Charlie被分配为“查看者”。每个用户根据其角色获得相应的权限。

ABAC（基于属性的访问控制）

定义：
ABAC通过评估一组属性来决定是否授予访问权限。这些属性可以是关于用户、资源、环境或操作的详细信息。

特点：

属性：包括用户属性（如角色、部门）、资源属性（如文件类型、文件所有者）、环境属性（如访问时间、地点）。
策略：使用这些属性定义复杂的访问控制规则。
灵活性：可以处理更复杂和动态的访问控制需求。

示例：
假设我们有一个系统，使用以下属性来定义访问权限：

用户属性：角色（如员工、经理）、部门（如销售、财务）
资源属性：文档类型（如机密、公开）
环境属性：访问时间（如工作时间）

策略示例：

只有在工作时间内，销售部门的员工可以访问销售报告。
只有经理可以在任何时间访问机密文件。

在这种情况下，用户Alice是销售部门的员工，她只能在工作时间内访问销售报告。用户Bob是经理，他可以在任何时间访问机密文件。

比较

RBAC适用于系统角色明确且权限变化不频繁的场景，管理相对简单。
ABAC适用于需要精细化控制和动态权限管理的场景，灵活性更高，但复杂度也更高。

选择使用哪种模型通常取决于组织的需求和复杂性。许多现代系统会结合使用RBAC和ABAC，以便在不同的场景中提供最佳的访问控制解决方案。

Blazor Server 前后端不分离项目简单身份验证

木它 — Fri, 25 Oct 2024 03:37:17 +0000

此基于Blazor Server 应用通过使用 SignalR 创建的实时连接运行。建立连接时，将处理基于 SignalR 的应用中的身份验证。身份验证可以基于 Cookie 或其他一些不记名令牌。Blazor Server 应用的安全性配置方式与 ASP.NET Core 应用相同。

Blazor Server 应用的内置 AuthenticationStateProvider 服务从 ASP.NET Core 的 HttpContext.User 获取身份验证状态数据。这就是身份验证状态与现有 ASP.NET Core 身份验证机制集成的方式

项目结构

解决方案
- MyBlazorApp.sln
Blazor Server项目
- MyBlazorApp (Blazor Server项目)
- Pages/ – 包含所有的页面组件（*.razor）
- Components/ – 可复用的UI组件
- Authentication/ – 身份验证服务相关文件夹
  - CustomAuthenticationStateProvider.cs/ – 自定义的认证状态提供器类
  - UserAccount.cs/ – 用户Dto
  - UserAccountService.cs/ – 用户服务
  - UserSession.cs/ – 用户的会话信息
- Shared/ – 前后端共享的组件或代码
- Data/ – 数据访问层和业务逻辑
- Models/ – 数据模型
- wwwroot/ – 静态文件，如CSS、JavaScript和图像
- Program.cs – 配置Blazor Server应用程序的启动
- Startup.cs – 配置服务和中间件（如果使用Startup类）

详细说明

Pages: 包含Blazor应用的页面，每个页面都由一个.razor文件组成。这些页面负责用户界面的展示和用户交互。
Components: 存放可复用的UI组件，组件可以在多个页面中使用，帮助减少代码重复。
Shared: 用于存放前后端共享的代码，如共享的组件或帮助类。
Data: 负责数据访问和业务逻辑。可以在这里实现与数据库的交互逻辑（如使用Entity Framework Core），以及任何必要的业务规则。
Models: 定义应用程序使用的数据模型。这些模型通常用于表示数据库中的实体或其他数据结构。
wwwroot: 包含所有的静态资源，如CSS样式表、JavaScript文件和图像文件。Blazor Server会将这些文件直接提供给浏览器。
Program.cs: 定义应用程序的入口点，配置服务（如依赖注入）和应用程序生命周期。
Startup.cs: 配置应用程序的请求管道和服务（如果使用Startup类）。包括中间件配置、路由设置等。

身份验证详解

Authentication/CustomAuthenticationStateProvider.cs

{ new Claim(ClaimTypes.Name, userSession.UserName), // 用户名声明 new Claim(ClaimTypes.Role, userSession.Role) // 角色声明 }, "CustomAuth")); // 使用自定义认证类型 // 返回包含用户信息的认证状态 return await Task.FromResult(new AuthenticationState(claimsPrincipal)); } catch { // 如果发生异常，返回匿名用户的认证状态 return await Task.FromResult(new AuthenticationState(_anonymous)); } } // 更新认证状态的方法，接收一个用户会话对象作为参数 public async Task UpdateAuthenticationState(UserSession userSession) { ClaimsPrincipal claimsPrincipal; if (userSession != null) { // 如果用户会话信息不为null，将其存储到会话存储中 await _sessionStorage.SetAsync("UserSession", userSession); // 创建包含用户名和角色的ClaimsPrincipal对象 claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(new List { new Claim(ClaimTypes.Name, userSession.UserName), // 用户名声明 new Claim(ClaimTypes.Role, userSession.Role) // 角色声明 })); } else { // 如果用户会话信息为null，删除存储的会话信息 await _sessionStorage.DeleteAsync("UserSession"); // 设置为匿名用户 claimsPrincipal = _anonymous; } // 通知认证状态已更改，传递新的认证状态 NotifyAuthenticationStateChanged(Task.FromResult(new AuthenticationState(claimsPrincipal))); } }" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

// 定义一个自定义的认证状态提供器类，继承自AuthenticationStateProvider
public class CustomAuthenticationStateProvider : AuthenticationStateProvider
{
    // 使用ProtectedSessionStorage来安全地存储用户会话信息
    private readonly ProtectedSessionStorage _sessionStorage;
    // 定义一个匿名用户的ClaimsPrincipal对象，表示未认证的用户
    private ClaimsPrincipal _anonymous = new ClaimsPrincipal(new ClaimsIdentity());

    // 构造函数，初始化会话存储对象
    public CustomAuthenticationStateProvider(ProtectedSessionStorage sessionStorage)
    {
        _sessionStorage = sessionStorage;
    }

    // 重写基类的GetAuthenticationStateAsync方法，用于获取当前用户的认证状态
    public override async Task<AuthenticationState> GetAuthenticationStateAsync()
    {
        try
        {
            // 从会话存储中异步获取用户会话信息
            var userSessionStorageResult = await _sessionStorage.GetAsync<UserSession>("UserSession");
            // 检查获取结果是否成功，如果成功则获取用户会话信息，否则为null
            var userSession = userSessionStorageResult.Success ? userSessionStorageResult.Value : null;

            // 如果用户会话信息为null，返回匿名用户的认证状态
            if (userSession == null)
                return await Task.FromResult(new AuthenticationState(_anonymous));

            // 如果用户会话信息存在，创建一个包含用户名和角色的ClaimsPrincipal对象
            var claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(new List<Claim>
            {
                new Claim(ClaimTypes.Name, userSession.UserName), // 用户名声明
                new Claim(ClaimTypes.Role, userSession.Role) // 角色声明
            }, "CustomAuth")); // 使用自定义认证类型

            // 返回包含用户信息的认证状态
            return await Task.FromResult(new AuthenticationState(claimsPrincipal));
        }
        catch
        {
            // 如果发生异常，返回匿名用户的认证状态
            return await Task.FromResult(new AuthenticationState(_anonymous));
        }
    }

    // 更新认证状态的方法，接收一个用户会话对象作为参数
    public async Task UpdateAuthenticationState(UserSession userSession)
    {
        ClaimsPrincipal claimsPrincipal;

        if (userSession != null)
        {
            // 如果用户会话信息不为null，将其存储到会话存储中
            await _sessionStorage.SetAsync("UserSession", userSession);
            // 创建包含用户名和角色的ClaimsPrincipal对象
            claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(new List<Claim>
            {
                new Claim(ClaimTypes.Name, userSession.UserName), // 用户名声明
                new Claim(ClaimTypes.Role, userSession.Role) // 角色声明
            }));
        }
        else
        {
            // 如果用户会话信息为null，删除存储的会话信息
            await _sessionStorage.DeleteAsync("UserSession");
            // 设置为匿名用户
            claimsPrincipal = _anonymous;
        }

        // 通知认证状态已更改，传递新的认证状态
        NotifyAuthenticationStateChanged(Task.FromResult(new AuthenticationState(claimsPrincipal)));
    }
}

Authentication/UserAccount.cs

public class UserAccount
{
    public string UserName { get; set; }
    public string Password { get; set; }
    public string Role { get; set; }
}

Authentication/UserAccountService.cs

x.UserName == userName); } }" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

public class UserAccountService
{
    private List<UserAccount> _users;

    public UserAccountService()
    {
        _users = new List<UserAccount>
        {
            new UserAccount{ UserName = "admin", Password = "admin", Role = "Administrator" },
            new UserAccount{ UserName = "user", Password = "user", Role = "User" }
        };
    }

    public UserAccount? GetByUserName(string userName)
    {
        return _users.FirstOrDefault(x => x.UserName == userName);
    }
}

Authentication/UserSession.cs

public class UserSession
{
    public string UserName { get; set; }
    public string Role { get; set; }
}

Pages/Login.razor

            LOGIN
        
            User Name
            
            Password

@code { private class Model { public string UserName { get; set; } public string Password { get; set; } } private Model model = new Model(); private async Task Authenticate() { var userAccount = userAccountService.GetByUserName(model.UserName); if (userAccount == null || userAccount.Password != model.Password) { await js.InvokeVoidAsync("alert", "Invalid User Name or Password"); return; } var customAuthStateProvider = (CustomAuthenticationStateProvider)authStateProvider; await customAuthStateProvider.UpdateAuthenticationState(new UserSession { UserName = userAccount.UserName, Role = userAccount.Role }); navManager.NavigateTo("/", true); } } " style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

@page "/login"
@using MyBlazorApp.Authentication
@inject UserAccountService userAccountService
@inject IJSRuntime js
@inject AuthenticationStateProvider authStateProvider
@inject NavigationManager navManager

<div class="row">
    <div class="col-lg-4 offset-lg-4 pt-4 pb-4 border">
        <div class="mb-3 text-center">
            <h3>LOGINh3>
        div>
        <div class="mb-3">
            <label>User Namelabel>
            <input @bind="model.UserName" class="form-control" placeholder="User Name" />
        div>
        <div class="mb-3">
            <label>Passwordlabel>
            <input @bind="model.Password" type="password" class="form-control" placeholder="Password" />
        div>
        <div class="mb-3 d-grid gap-2">
            <button @onclick="Authenticate" class="btn btn-primary">Loginbutton>
        div>
    div>
div>

@code {
    private class Model
    {
        public string UserName { get; set; } 
        public string Password { get; set; }
    } 
    private Model model = new Model(); 
    private async Task Authenticate()
    {
        var userAccount = userAccountService.GetByUserName(model.UserName); 
        if (userAccount == null || userAccount.Password != model.Password)
        {
            await js.InvokeVoidAsync("alert", "Invalid User Name or Password");
            return;
        } 
        var customAuthStateProvider = (CustomAuthenticationStateProvider)authStateProvider;
        await customAuthStateProvider.UpdateAuthenticationState(new UserSession
            {
                UserName = userAccount.UserName,
                Role = userAccount.Role
            });
        navManager.NavigateTo("/", true);
    }
}

Shared/RedirectToLogin

@inject AuthenticationStateProvider AuthStateProvider
@inject NavigationManager Navigation

<p>用户未授权，正在重定向到登录页面...p>

@code {
    protected override async Task OnAfterRenderAsync(bool firstRender)
    {
        if (firstRender)
        {
            var authState = await AuthStateProvider.GetAuthenticationStateAsync();
            var user = authState.User; 
            if (user.Identity == null || !user.Identity.IsAuthenticated)
            {
                // 用户未认证，重定向到登录页面
                Navigation.NavigateTo("/login", true);
            }
        } 
    }
}

Shared/MainLayout.razor

@code{ private async Task Logout() { var customAuthStateProvider = (CustomAuthenticationStateProvider)authStateProvider; await customAuthStateProvider.UpdateAuthenticationState(null); navManager.NavigateTo("/", true); } }" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

@using MyBlazorApp.Authentication
@inherits LayoutComponentBase
@inject AuthenticationStateProvider authStateProvider
@inject NavigationManager navManager

<PageTitle>MyBlazorAppPageTitle>

<div class="page">
    <div class="sidebar">
        <NavMenu />
    div>

    <main>
        <div class="top-row px-4">
            <a href="https://docs.microsoft.com/aspnet/" target="_blank">Abouta>
            <AuthorizeView>
                <Authorized>
                    <a @onclick="Logout" href="javascript:void(0)">Logouta>
                Authorized>
                <NotAuthorized>
                    <a href="/login">Logina>
                NotAuthorized>
            AuthorizeView>
        div>

        <article class="content px-4">
            @Body
        article>
    main>
div>

@code{
    private async Task Logout()
    {
        var customAuthStateProvider = (CustomAuthenticationStateProvider)authStateProvider;
        await customAuthStateProvider.UpdateAuthenticationState(null);
        navManager.NavigateTo("/", true);
    }
}

App.razor

You are getting authorized Not found

Sorry, there's nothing at this address.

" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

<CascadingAuthenticationState>
    <Router AppAssembly="@typeof(App).Assembly">
        <Found Context="routeData">
            <AuthorizeRouteView RouteData="@routeData" DefaultLayout="@typeof(MainLayout)">
                <NotAuthorized>
                    <RedirectToLogin />
                NotAuthorized>
                <Authorizing>
                    You are getting authorized  
                Authorizing>
            AuthorizeRouteView>
            <FocusOnNavigate RouteData="@routeData" Selector="h1" />
        Found>
        <NotFound>
            <PageTitle>Not foundPageTitle>
            <LayoutView Layout="@typeof(MainLayout)">
                <p role="alert">Sorry, there's nothing at this address.p>
            LayoutView>
        NotFound>
    Router>
CascadingAuthenticationState>

Program.cs

var builder = WebApplication.CreateBuilder(args); 
builder.Services.AddAuthenticationCore();
builder.Services.AddRazorPages();
builder.Services.AddServerSideBlazor();
builder.Services.AddScoped<ProtectedSessionStorage>();
builder.Services.AddScoped<AuthenticationStateProvider, CustomAuthenticationStateProvider>();
builder.Services.AddSingleton<UserAccountService>();
builder.Services.AddSingleton<WeatherForecastService>();

var app = builder.Build(); 
if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Error");
}  
app.UseStaticFiles(); 
app.UseRouting(); 
app.MapBlazorHub();
app.MapFallbackToPage("/_Host"); 
app.Run();

使用方式

在页面中使用

@page "/counter"
@attribute [Authorize(Roles = "Administrator,User")]

在组件中使用

Counter

Fetch data

" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

<AuthorizeView Roles="Administrator,User">
    <Authorized>
        <div class="nav-item px-3">
            <NavLink class="nav-link" href="counter">
                <span class="oi oi-plus" aria-hidden="true">span> Counter
            NavLink>
        div>
    Authorized>
AuthorizeView>
<AuthorizeView Roles="Administrator">
    <Authorized>
        <div class="nav-item px-3">
            <NavLink class="nav-link" href="fetchdata">
                <span class="oi oi-list-rich" aria-hidden="true">span> Fetch data
            NavLink>
        div>
    Authorized>
AuthorizeView>

OpenIddict身份验证与授权之: 三. 2(授权码模式)客户端

木它 — Fri, 07 Jun 2024 08:07:37 +0000

OpenIddict身份验证与授权之: 三. 1(授权码模式)验证服务器

木它 — Wed, 05 Jun 2024 08:16:46 +0000

OpenIddict 授权码模式流程图

OpenIddict身份验证与授权之: 二. 2(密码模式)资源服务器

木它 — Tue, 04 Jun 2024 10:09:55 +0000

密码模式(最简化示例)

为了简化步骤便于理解, 在密码模式下,我只生成两个项目,一个是验证服务器,一个是资源服务器,客户端用postman或者自带的swagger, 详情请看系列文章,此文章为密码模式中的资源服务器篇

一. Nuget

" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

<ItemGroup>
  <PackageReference Include="Microsoft.AspNetCore.Authentication.JwtBearer" Version="6.0.31" />
  <PackageReference Include="Swashbuckle.AspNetCore" Version="6.6.2" />
ItemGroup>

二. 配置

1.授权

1.1 未加密Jwt

 builder.Services.AddAuthentication(options =>
 {
     options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
     options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
 })
.AddJwtBearer(options =>
{
    options.Authority = "https://localhost:7097/";
    options.Audience = "resource_api_1";
    options.RequireHttpsMetadata = false; // 仅限开发环境
});

1.2 加密Jwt

("Certificate:PassWord")) ), // 配置证书的公钥 IssuerSigningKey = new X509SecurityKey(new X509Certificate2( builder.Configuration.GetValue("Certificate:Path"), builder.Configuration.GetValue("Certificate:PassWord")) ), // 验证令牌发行者 ValidateIssuer = true, ValidIssuer = "https://localhost:7097/", // 验证令牌受众 ValidateAudience = true, ValidAudience = "resource_api_1", // 验证令牌签名 ValidateIssuerSigningKey = true, // 验证令牌有效期 ValidateLifetime = true, // 如果需要时钟偏差，可以设置ClockSkew // ClockSkew = TimeSpan.FromMinutes(5) }; // 是否要求HTTPS options.RequireHttpsMetadata = false; // 仅限开发环境 });" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

 builder.Services.AddAuthentication(options =>
 {
     options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
     options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
 })
.AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        // 配置解密密钥
        TokenDecryptionKey = new X509SecurityKey(new X509Certificate2(
             builder.Configuration.GetValue<string>("Certificate:Path"),
             builder.Configuration.GetValue<string>("Certificate:PassWord"))
         ),
        // 配置证书的公钥
        IssuerSigningKey = new X509SecurityKey(new X509Certificate2(
            builder.Configuration.GetValue<string>("Certificate:Path"), 
            builder.Configuration.GetValue<string>("Certificate:PassWord"))
        ),
        // 验证令牌发行者
        ValidateIssuer = true,
        ValidIssuer = "https://localhost:7097/",
        // 验证令牌受众
        ValidateAudience = true,
        ValidAudience = "resource_api_1",
        // 验证令牌签名
        ValidateIssuerSigningKey = true,
        // 验证令牌有效期
        ValidateLifetime = true,
        // 如果需要时钟偏差，可以设置ClockSkew
        // ClockSkew = TimeSpan.FromMinutes(5)
    };
    // 是否要求HTTPS
    options.RequireHttpsMetadata = false; // 仅限开发环境
});

2.身份验证(根据自己的控制器中的角色来添加)

{ policy.RequireRole("Admin"); }); options.AddPolicy("User", policy => { policy.RequireRole("User"); }); });" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("Admin", policy =>
    {
        policy.RequireRole("Admin");
    });
    options.AddPolicy("User", policy =>
    {
        policy.RequireRole("User");
    });
});

3.路由相关

app.UseSwagger();
app.UseSwaggerUI();

app.UseRouting();

app.UseAuthentication();
app.UseAuthorization();

app.UseEndpoints(endpoints =>
{
    endpoints.MapControllers();
});

三. 控制器

以下是示例,示例四种情况

_logger; public WeatherForecastController(ILogger logger) { _logger = logger; } //无需授权 [HttpGet("GetWeatherForecastV1")] public IEnumerable GetV1() { return Enumerable.Range(1, 5).Select(index => new WeatherForecast { Date = DateTime.Now.AddDays(index), TemperatureC = Random.Shared.Next(-20, 55), Summary = Summaries[Random.Shared.Next(Summaries.Length)] }) .ToArray(); } //通用授权 [Authorize] [HttpGet("GetWeatherForecastV2")] public IEnumerable GetV2() { return Enumerable.Range(1, 5).Select(index => new WeatherForecast { Date = DateTime.Now.AddDays(index), TemperatureC = Random.Shared.Next(-20, 55), Summary = Summaries[Random.Shared.Next(Summaries.Length)] }) .ToArray(); } //特定角色授权 [Authorize("Admin")] [HttpGet("GetWeatherForecastV3")] public IEnumerable GetV3() { return Enumerable.Range(1, 5).Select(index => new WeatherForecast { Date = DateTime.Now.AddDays(index), TemperatureC = Random.Shared.Next(-20, 55), Summary = Summaries[Random.Shared.Next(Summaries.Length)] }) .ToArray(); } //特定角色授权 [Authorize("User")] [HttpGet("GetWeatherForecastV4")] public IEnumerable GetV4() { return Enumerable.Range(1, 5).Select(index => new WeatherForecast { Date = DateTime.Now.AddDays(index), TemperatureC = Random.Shared.Next(-20, 55), Summary = Summaries[Random.Shared.Next(Summaries.Length)] }) .ToArray(); } }" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

[ApiController]
[Route("[controller]")]
public class WeatherForecastController : ControllerBase
{
    private static readonly string[] Summaries = new[]
    {
        "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
    };

    private readonly ILogger<WeatherForecastController> _logger;

    public WeatherForecastController(ILogger<WeatherForecastController> logger)
    {
        _logger = logger;
    }

    //无需授权
    [HttpGet("GetWeatherForecastV1")]
    public IEnumerable<WeatherForecast> GetV1()
    {
        return Enumerable.Range(1, 5).Select(index => new WeatherForecast
        {
            Date = DateTime.Now.AddDays(index),
            TemperatureC = Random.Shared.Next(-20, 55),
            Summary = Summaries[Random.Shared.Next(Summaries.Length)]
        })
        .ToArray();
    }

    //通用授权
    [Authorize]
    [HttpGet("GetWeatherForecastV2")]
    public IEnumerable<WeatherForecast> GetV2()
    {
        return Enumerable.Range(1, 5).Select(index => new WeatherForecast
        {
            Date = DateTime.Now.AddDays(index),
            TemperatureC = Random.Shared.Next(-20, 55),
            Summary = Summaries[Random.Shared.Next(Summaries.Length)]
        })
        .ToArray();
    }

    //特定角色授权
    [Authorize("Admin")]
    [HttpGet("GetWeatherForecastV3")]
    public IEnumerable<WeatherForecast> GetV3()
    {
        return Enumerable.Range(1, 5).Select(index => new WeatherForecast
        {
            Date = DateTime.Now.AddDays(index),
            TemperatureC = Random.Shared.Next(-20, 55),
            Summary = Summaries[Random.Shared.Next(Summaries.Length)]
        })
        .ToArray();
    }

    //特定角色授权
    [Authorize("User")]
    [HttpGet("GetWeatherForecastV4")]
    public IEnumerable<WeatherForecast> GetV4()
    {
        return Enumerable.Range(1, 5).Select(index => new WeatherForecast
        {
            Date = DateTime.Now.AddDays(index),
            TemperatureC = Random.Shared.Next(-20, 55),
            Summary = Summaries[Random.Shared.Next(Summaries.Length)]
        })
        .ToArray();
    }

}

appsettings

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }, 
  },  
  "Certificate": {
    "Path": "Certificate/SelfSignedCertificate.pfx",
    "PassWord": "12345678" 
  },
  "AllowedHosts": "*"
}

OpenIddict身份验证与授权之: 二. 1(密码模式)验证服务器

木它 — Tue, 04 Jun 2024 01:56:57 +0000

密码模式(最简化示例)

为了简化步骤便于理解, 在密码模式下,我只生成两个项目,一个是验证服务器,一个是资源服务器,客户端用postman或者自带的swagger, 详情请看系列文章,此文章为密码模式中的验证服务器篇

OpenIddict 密码模式流程图

一. Nuget

" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

 <ItemGroup>
   <PackageReference Include="Microsoft.AspNetCore.Authentication.JwtBearer" Version="6.0.31" />
   <PackageReference Include="Microsoft.AspNetCore.Identity.EntityFrameworkCore" Version="6.0.31" />
   <PackageReference Include="Microsoft.EntityFrameworkCore.InMemory" Version="6.0.31" />
   <PackageReference Include="Microsoft.EntityFrameworkCore.Sqlite" Version="6.0.31" />
   <PackageReference Include="Microsoft.IdentityModel.Protocols.OpenIdConnect" Version="7.6.0" />
   <PackageReference Include="OpenIddict.EntityFrameworkCore" Version="5.6.0" />
   <PackageReference Include="OpenIddict.Server.AspNetCore" Version="5.6.0" />
   <PackageReference Include="OpenIddict.Validation.AspNetCore" Version="5.6.0" />
   <PackageReference Include="Swashbuckle.AspNetCore" Version="6.6.2" />
   <PackageReference Include="System.Linq.Async" Version="6.0.1" />
 ItemGroup>

二. 实体类与数据库上下文

1.自定义的用户实体类，继承自IdentityUser

public class ApplicationUser : IdentityUser
{
}

2.自定义的角色实体类，继承自IdentityRole

 public class ApplicationRole : IdentityRole
 {
     public ApplicationRole() : base() { }
     public ApplicationRole(string roleName) : base(roleName)
     {
     }
 }

3.应用程序数据库上下文

//string：指定了用户ID和角色ID的数据类型。在这个例子中，ID被指定为字符串类型。
public class ApplicationDbContext : IdentityDbContext<ApplicationUser, ApplicationRole, string>
{
    public DbSet<ApplicationRole>? ApplicationRoles { get; set; }
    public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options)
        : base(options)
    {
    }

    protected override void OnModelCreating(ModelBuilder builder)
    {
        base.OnModelCreating(builder);

        // 配置OpenIddict实体
        builder.UseOpenIddict();
    }
}

三. OpenIddict拓展

拓展源码

() .AddEntityFrameworkStores() .AddDefaultTokenProviders(); // 配置OpenIddict services.AddOpenIddict() // 配置 OpenIddict 核心组件 .AddCore(options => { options.UseEntityFrameworkCore() .UseDbContext(); }) // 配置 OpenIddict 服务器 .AddServer(options => { #region 模式 //1.授权码模式 options.AllowAuthorizationCodeFlow(); //2. 简化模式 // 适用于无法进行客户端认证的客户端，如纯前端应用。由于安全性较低，这种模式已不再推荐使用。 //3. 密码模式 options.AllowPasswordFlow(); //4. 客户端凭据模式 //options.AllowClientCredentialsFlow(); #endregion #region 证书 // 签名证书, 仅限开发环境使用 //options.AddDevelopmentSigningCertificate(); //options.AddDevelopmentEncryptionCertificate(); // 使用自己的证书进行签名 options.AddSigningCertificate(new X509Certificate2(Configuration.GetValue("Certificate:Path"), Configuration.GetValue("Certificate:PassWord"))); options.AddEncryptionCertificate(new X509Certificate2(Configuration.GetValue("Certificate:Path"), Configuration.GetValue("Certificate:PassWord"))); // 禁用访问令牌加密 //options.DisableAccessTokenEncryption(); #endregion #region 其他必要的配置 //token过期时间 options.SetAccessTokenLifetime(TimeSpan.FromHours(6)); // 设置令牌和授权端点 options.SetTokenEndpointUris("/connect/token") .SetAuthorizationEndpointUris("/connect/authorize") .SetUserinfoEndpointUris("/connect/userinfo") ; // 重要：配置与 ASP.NET Core 的集成 options.UseAspNetCore() .EnableAuthorizationEndpointPassthrough()//这个调用配置 OpenIddict 对于授权请求不要自己处理，而是直接传递给 ASP.NET Core。这意味着你需要在你的 ASP.NET Core 应用中自己实现授权端点的逻辑。 .EnableTokenEndpointPassthrough()//允许 OpenIddict 将令牌请求直接传递给 ASP.NET Core，你需要自己处理这些请求。 //.EnableLogoutEndpointPassthrough()//启用此选项可以让 OpenIddict 将注销请求直接传递给 ASP.NET Core，需要你自己实现注销逻辑。 ; #endregion }) .AddValidation(options => { // 配置受众验证 options.AddAudiences("api"); }); return services; } //自动创建表 public static IApplicationBuilder UseOpenIddict(this IApplicationBuilder app) { using (IServiceScope serviceScope = app.ApplicationServices.CreateScope()) { //自动创建表 var context = serviceScope.ServiceProvider.GetRequiredService(); // 先删除数据库 context.Database.EnsureDeleted(); // 再重新创建数据库 context.Database.EnsureCreated(); // 调用种子数据方法 SeedEssentialsAsync(serviceScope.ServiceProvider).Wait(); // 调用OpenIddict种子数据方法 SeedOpenIddictAsync(serviceScope.ServiceProvider).Wait(); } return app; } // 生成种子数据 private static async Task SeedEssentialsAsync(IServiceProvider serviceProvider) { // 获取数据库上下文 var context = serviceProvider.GetRequiredService(); // 获取用户和角色管理器 var userManager = serviceProvider.GetRequiredService>(); var roleManager = serviceProvider.GetRequiredService>(); // 添加角色种子数据 if (!await roleManager.RoleExistsAsync("Admin")) { await roleManager.CreateAsync(new ApplicationRole { Name = "Admin" }); } // 添加用户种子数据 if (await userManager.FindByNameAsync("admin") == null) { var user = new ApplicationUser { UserName = "admin", Email = "123@qq.com" }; await userManager.CreateAsync(user, "QWE@qwe123"); await userManager.AddToRoleAsync(user, "Admin"); } } // 生成种子api public static async Task SeedOpenIddictAsync(IServiceProvider serviceProvider) { // 获取OpenIddict的应用、作用域和授权管理器 var applicationManager = serviceProvider.GetRequiredService(); var scopeManager = serviceProvider.GetRequiredService(); // 检查并添加作用域 if (await scopeManager.FindByNameAsync("api") == null) { await scopeManager.CreateAsync(new OpenIddictScopeDescriptor { Name = "api", DisplayName = "Access to API", Resources = { "resource_api_1" }, }); } #region 检查并添加API资源 (只需要token就可访问的客户端) if (await applicationManager.FindByClientIdAsync("clientid") == null) { await applicationManager.CreateAsync(new OpenIddictApplicationDescriptor { ClientId = "clientid", DisplayName = "Demo.Resources.WebApi", Permissions = { OpenIddictConstants.Permissions.Endpoints.Token, OpenIddictConstants.Permissions.GrantTypes.Password, OpenIddictConstants.Permissions.GrantTypes.RefreshToken, // 这里添加允许的作用域 OpenIddictConstants.Permissions.Prefixes.Scope + "api", // 添加offline_access作用域 OpenIddictConstants.Permissions.Prefixes.Scope + OpenIddictConstants.Scopes.OfflineAccess, }, }); } #endregion } }" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

public static class OpenIddictExtension
{
    public static IServiceCollection AddOpenIddictServices(this IServiceCollection services, IConfiguration Configuration)
    {
        services.AddDbContext<ApplicationDbContext>(options =>
        {
            // 配置数据库提供程序
            options.UseSqlite(Configuration.GetConnectionString("DefaultConnection"));
            options.UseOpenIddict();
        });

        // 添加ASP.NET Core Identity配置
        services.AddIdentity<ApplicationUser, ApplicationRole>()
            .AddEntityFrameworkStores<ApplicationDbContext>()
            .AddDefaultTokenProviders();

        // 配置OpenIddict
        services.AddOpenIddict()
            // 配置 OpenIddict 核心组件
            .AddCore(options =>
            {
                options.UseEntityFrameworkCore()
                       .UseDbContext<ApplicationDbContext>();
            })
            // 配置 OpenIddict 服务器
            .AddServer(options =>
            {
                #region 模式
                //1.授权码模式
                options.AllowAuthorizationCodeFlow();
                //2. 简化模式
                //     适用于无法进行客户端认证的客户端，如纯前端应用。由于安全性较低，这种模式已不再推荐使用。
                //3. 密码模式
                options.AllowPasswordFlow();
                //4. 客户端凭据模式
                //options.AllowClientCredentialsFlow();
                #endregion
                
                #region 证书
                // 签名证书, 仅限开发环境使用
                //options.AddDevelopmentSigningCertificate();
                //options.AddDevelopmentEncryptionCertificate();

                // 使用自己的证书进行签名
                options.AddSigningCertificate(new X509Certificate2(Configuration.GetValue<string>("Certificate:Path"), Configuration.GetValue<string>("Certificate:PassWord")));
                options.AddEncryptionCertificate(new X509Certificate2(Configuration.GetValue<string>("Certificate:Path"), Configuration.GetValue<string>("Certificate:PassWord")));

                // 禁用 访问令牌加密
                //options.DisableAccessTokenEncryption();
                #endregion
                
                #region 其他必要的配置
                //token过期时间
                options.SetAccessTokenLifetime(TimeSpan.FromHours(6));

                // 设置令牌和授权端点
                options.SetTokenEndpointUris("/connect/token")
                       .SetAuthorizationEndpointUris("/connect/authorize")
                       .SetUserinfoEndpointUris("/connect/userinfo")
                       ;

                // 重要：配置与 ASP.NET Core 的集成
                options.UseAspNetCore()
                       .EnableAuthorizationEndpointPassthrough()//这个调用配置 OpenIddict 对于授权请求不要自己处理，而是直接传递给 ASP.NET Core。这意味着你需要在你的 ASP.NET Core 应用中自己实现授权端点的逻辑。
                       .EnableTokenEndpointPassthrough()//允许 OpenIddict 将令牌请求直接传递给 ASP.NET Core，你需要自己处理这些请求。
                       //.EnableLogoutEndpointPassthrough()//启用此选项可以让 OpenIddict 将注销请求直接传递给 ASP.NET Core，需要你自己实现注销逻辑。
                       ;
                #endregion
            })
            .AddValidation(options =>
            {
                // 配置受众验证
                options.AddAudiences("api");
            });
        return services;
    }

    //自动创建表
    public static IApplicationBuilder UseOpenIddict(this IApplicationBuilder app)
    {
        using (IServiceScope serviceScope = app.ApplicationServices.CreateScope())
        {
            //自动创建表
            var context = serviceScope.ServiceProvider.GetRequiredService<ApplicationDbContext>();

            // 先删除数据库
            context.Database.EnsureDeleted();

            // 再重新创建数据库
            context.Database.EnsureCreated();

            // 调用种子数据方法
            SeedEssentialsAsync(serviceScope.ServiceProvider).Wait();

            // 调用OpenIddict种子数据方法
            SeedOpenIddictAsync(serviceScope.ServiceProvider).Wait();
        }
        return app;
    }

    // 生成种子数据
    private static async Task SeedEssentialsAsync(IServiceProvider serviceProvider)
    {
        // 获取数据库上下文
        var context = serviceProvider.GetRequiredService<ApplicationDbContext>();
        // 获取用户和角色管理器
        var userManager = serviceProvider.GetRequiredService<UserManager<ApplicationUser>>();
        var roleManager = serviceProvider.GetRequiredService<RoleManager<ApplicationRole>>();

        // 添加角色种子数据
        if (!await roleManager.RoleExistsAsync("Admin"))
        {
            await roleManager.CreateAsync(new ApplicationRole { Name = "Admin" });
        }

        // 添加用户种子数据
        if (await userManager.FindByNameAsync("admin") == null)
        {
            var user = new ApplicationUser { UserName = "admin", Email = "123@qq.com" };
            await userManager.CreateAsync(user, "QWE@qwe123");
            await userManager.AddToRoleAsync(user, "Admin");
        }
        
    }

    // 生成种子api
    public static async Task SeedOpenIddictAsync(IServiceProvider serviceProvider)
    {
        // 获取OpenIddict的应用、作用域和授权管理器
        var applicationManager = serviceProvider.GetRequiredService<IOpenIddictApplicationManager>();
        var scopeManager = serviceProvider.GetRequiredService<IOpenIddictScopeManager>();


        // 检查并添加作用域
        if (await scopeManager.FindByNameAsync("api") == null)
        {
            await scopeManager.CreateAsync(new OpenIddictScopeDescriptor
            {
                Name = "api",
                DisplayName = "Access to API",
                Resources = { "resource_api_1" },
            });
        }

        #region 检查并添加API资源 (只需要token就可访问的客户端)
        if (await applicationManager.FindByClientIdAsync("clientid") == null)
        {
            await applicationManager.CreateAsync(new OpenIddictApplicationDescriptor
            {
                ClientId = "clientid",
                DisplayName = "Demo.Resources.WebApi",
                Permissions =
                {
                    OpenIddictConstants.Permissions.Endpoints.Token,
                    OpenIddictConstants.Permissions.GrantTypes.Password,
                    OpenIddictConstants.Permissions.GrantTypes.RefreshToken,

                    // 这里添加允许的作用域
                    OpenIddictConstants.Permissions.Prefixes.Scope + "api",
                    // 添加offline_access作用域
                    OpenIddictConstants.Permissions.Prefixes.Scope + OpenIddictConstants.Scopes.OfflineAccess, 
                },

            });
        }
        #endregion
    }

}

使用拓展

builder.Services.AddOpenIddictServices(builder.Configuration);

app.UseHttpsRedirection();

//种子数据
app.UseOpenIddict();

//下面是需要的,以便于访问端点
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    endpoints.MapControllers();
});

四.控制器

1.登录Dto

public class LoginDto
{
    public string username { get; set; } = "admin";
    public string password { get; set; } = "123546";
    public string grant_type { get; set; } = "password";
    public string client_id { get; set; } = "clientid";
    public string scope { get; set; } = "api";
}

2.控制器(以下视情况自主选择二选一)

2.1 token未加密

资源webapi未启用JWT加密, 在验证服务器的拓展中增加以下

// 禁用 访问令牌加密
options.DisableAccessTokenEncryption();

此种此情况,只能手动从数据库中获取 Resources ,详见官网介绍https://documentation.openiddict.com/configuration/claim-destinations.html

_signInManager; private readonly UserManager _userManager; private readonly IOpenIddictScopeManager _scopeManager; private readonly ApplicationDbContext _context; public TokenController( SignInManager signInManager, UserManager userManager, IOpenIddictScopeManager scopeManager, ApplicationDbContext context) { _signInManager = signInManager; _userManager = userManager; _scopeManager = scopeManager; _context = context; } // 资源webapi未启用JWT加密,只能手动从数据库中获取 Resources https://documentation.openiddict.com/configuration/claim-destinations.html [Consumes("application/x-www-form-urlencoded")] [HttpPost("token1")] public async Task GetToken_NoEncryption([FromForm] LoginDto loginDto) { var user = await _userManager.FindByNameAsync(loginDto.username); if (user == null || !await _userManager.CheckPasswordAsync(user, loginDto.password)) { return BadRequest(new { message = "Username or password is incorrect." }); } // 创建用户主体 var principal = await _signInManager.CreateUserPrincipalAsync(user); // 确保添加了 sub 声明 var identity = principal.Identity as ClaimsIdentity; identity.AddClaim(new Claim(OpenIddictConstants.Claims.Subject, user.Id)); var ticket = new AuthenticationTicket(principal, new AuthenticationProperties(), OpenIddictServerAspNetCoreDefaults.AuthenticationScheme); // 设置请求的作用域 var requestedScopes = new[] { OpenIddictConstants.Scopes.OfflineAccess }; requestedScopes = requestedScopes.Concat(loginDto.scope.Split(new[] { ' ' }, StringSplitOptions.RemoveEmptyEntries)).Distinct().ToArray(); ticket.Principal.SetScopes(requestedScopes); // 根据请求的作用域动态设置资源（aud） foreach (var scope in requestedScopes) { var resources = await GetResourcesForScopeAsync(scope); foreach (var resource in resources) { // 这里我们直接将资源作为audience添加到声明中 identity.AddClaim(new Claim(JwtRegisteredClaimNames.Aud, resource, ClaimValueTypes.String, OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)); } } // 为所有声明设置目的地为访问令牌 foreach (var claim in identity.Claims) { // 防止ASP.NET Core Identity的角色和策略声明被添加到访问令牌中 if (claim.Type != ClaimTypes.Name && claim.Type != ClaimTypes.NameIdentifier) { claim.SetDestinations(OpenIddictConstants.Destinations.AccessToken); } } return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme); } private async Task> GetResourcesForScopeAsync(string scope) { // 从数据库查询与指定作用域相关联的资源列表 var resources = await _context.Set() .Where(s => s.Name == scope) .Select(s => s.Resources) .FirstOrDefaultAsync(); if (!string.IsNullOrEmpty(resources)) { var resourceList = System.Text.Json.JsonSerializer.Deserialize>(resources); return resourceList ?? Enumerable.Empty(); } return Enumerable.Empty(); } }" style="color:#D4D4D4;display:none" aria-label="Copy" class="code-block-pro-copy-button">

[ApiController]
[Route("connect")]
public class TokenController : ControllerBase
{
    private readonly SignInManager<ApplicationUser> _signInManager;
    private readonly UserManager<ApplicationUser> _userManager;
    private readonly IOpenIddictScopeManager _scopeManager;
    private readonly ApplicationDbContext _context;
    public TokenController( SignInManager<ApplicationUser> signInManager,
        UserManager<ApplicationUser> userManager,
        IOpenIddictScopeManager scopeManager,
        ApplicationDbContext context)
    {
        _signInManager = signInManager;
        _userManager = userManager;
        _scopeManager = scopeManager;
        _context = context;
    }

    // 资源webapi未启用JWT加密,只能手动从数据库中获取 Resources https://documentation.openiddict.com/configuration/claim-destinations.html
    [Consumes("application/x-www-form-urlencoded")]
    [HttpPost("token1")]
    public async Task<IActionResult> GetToken_NoEncryption([FromForm] LoginDto loginDto)
    {
        var user = await _userManager.FindByNameAsync(loginDto.username);
        if (user == null || !await _userManager.CheckPasswordAsync(user, loginDto.password))
        {
            return BadRequest(new { message = "Username or password is incorrect." });
        }

        // 创建用户主体
        var principal = await _signInManager.CreateUserPrincipalAsync(user);

        // 确保添加了 sub 声明
        var identity = principal.Identity as ClaimsIdentity;
        identity.AddClaim(new Claim(OpenIddictConstants.Claims.Subject, user.Id));

        var ticket = new AuthenticationTicket(principal,
            new AuthenticationProperties(),
            OpenIddictServerAspNetCoreDefaults.AuthenticationScheme);

        // 设置请求的作用域
        var requestedScopes = new[] { OpenIddictConstants.Scopes.OfflineAccess };
        requestedScopes = requestedScopes.Concat(loginDto.scope.Split(new[] { ' ' }, StringSplitOptions.RemoveEmptyEntries)).Distinct().ToArray();

        ticket.Principal.SetScopes(requestedScopes);

        // 根据请求的作用域动态设置资源（aud）
        foreach (var scope in requestedScopes)
        {
            var resources = await GetResourcesForScopeAsync(scope);
            foreach (var resource in resources)
            {
                // 这里我们直接将资源作为audience添加到声明中
                identity.AddClaim(new Claim(JwtRegisteredClaimNames.Aud, resource, ClaimValueTypes.String, OpenIddictServerAspNetCoreDefaults.AuthenticationScheme));
            }
        }

        // 为所有声明设置目的地为访问令牌
        foreach (var claim in identity.Claims)
        {
            // 防止ASP.NET Core Identity的角色和策略声明被添加到访问令牌中
            if (claim.Type != ClaimTypes.Name && claim.Type != ClaimTypes.NameIdentifier)
            {
                claim.SetDestinations(OpenIddictConstants.Destinations.AccessToken);
            }
        }

        return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme);
    }

    private async Task<IEnumerable<string>> GetResourcesForScopeAsync(string scope)
    {
        // 从数据库查询与指定作用域相关联的资源列表
        var resources = await _context.Set<OpenIddictEntityFrameworkCoreScope>()
            .Where(s => s.Name == scope)
            .Select(s => s.Resources)
            .FirstOrDefaultAsync();

        if (!string.IsNullOrEmpty(resources))
        {
            var resourceList = System.Text.Json.JsonSerializer.Deserialize<List<string>>(resources);
            return resourceList ?? Enumerable.Empty<string>();
        }

        return Enumerable.Empty<string>();
    }
}

2.2 token加密(证书加密)

此种情况会自动增加aud

[ApiController]
[Route("connect")]
public class TokenController : ControllerBase
{
    private readonly SignInManager<ApplicationUser> _signInManager;
    private readonly UserManager<ApplicationUser> _userManager;
    private readonly IOpenIddictScopeManager _scopeManager;
    private readonly ApplicationDbContext _context;
    public TokenController( SignInManager<ApplicationUser> signInManager,
        UserManager<ApplicationUser> userManager,
        IOpenIddictScopeManager scopeManager,
        ApplicationDbContext context)
    {
        _signInManager = signInManager;
        _userManager = userManager;
        _scopeManager = scopeManager;
        _context = context;
    }
    
    [Consumes("application/x-www-form-urlencoded")]
    [HttpPost("token")]
    public async Task<IActionResult> GetToken_Encryption([FromForm] LoginDto model)
    {
        var user = await _userManager.FindByNameAsync(model.username);
        if (user == null || !await _userManager.CheckPasswordAsync(user, model.password))
        {
            return BadRequest(new { message = "Username or password is incorrect." });
        }

        // 创建用户主体
        var principal = await _signInManager.CreateUserPrincipalAsync(user);

        // 确保添加了 sub 声明
        var identity = principal.Identity as ClaimsIdentity;
        identity.AddClaim(new Claim(OpenIddictConstants.Claims.Subject, user.Id));

        // 设置作用域
        principal.SetScopes(new[]
        {
            OpenIddictConstants.Scopes.OpenId,
            OpenIddictConstants.Scopes.Profile,
            OpenIddictConstants.Scopes.OfflineAccess,
            "api"
        });

        // 设置资源
        principal.SetResources(await _scopeManager.ListResourcesAsync(principal.GetScopes()).ToListAsync());

        // 设置声明目的地
        principal.SetDestinations(claim =>
        {
            switch (claim.Type)
            {
                case Claims.Name when claim.Subject.HasScope(OpenIddictConstants.Scopes.Profile):
                    return new[] { OpenIddictConstants.Destinations.AccessToken, OpenIddictConstants.Destinations.IdentityToken };

                case "secret_value":
                    return Array.Empty<string>();

                default:
                    return new[] { OpenIddictConstants.Destinations.AccessToken };
            }
        });

        var ticket = new AuthenticationTicket(principal,
            new AuthenticationProperties(),
            OpenIddictServerAspNetCoreDefaults.AuthenticationScheme);

        return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme);
    }
}

五.客户端发送请求

根据扩展中的种子数据, 根据自身编程语言或者用postman发送如下ajx请求

curl -X 'POST' \
  'https://localhost:7097/connect/token' \
  -H 'accept: */*' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'username=admin&password=QWE%40qwe123&grant_type=password&client_id=clientid&scope=api'

返回结果如下(就是很长….很长), 此时就可以用access_token访问资源服务器了

{
  "access_token": "eyJhbGciOiJSU0EtT0FFUCIsImVuYyI6IkEyNTZDQkMtSFM1MTIiLCJraWQiOiJEODFDODgyQ0RDNTg3RkQ5RjlCQjNGQzg3OEY4RDg0MEZCMTlBMjQ4IiwidHlwIjoiYXQrand0IiwiY3R5IjoiSldUIn0.CijmUD9Wxosv1aaQjgEosG6GliK1s9lgBdZVl60Nx4F4W9HQ_8Wr1P8klQVS-NG9k9P7hcyjSJY64CXnpN57ZvTXdc2F7dKvYeNsKgaQRn7yGPwlcOUOgks02BuizIsw9Pl6_lDVHwJcecqcpRh3ec2MWB-aB21N0UA7fabFi4YHV7pzr_Mr0A8Krdxu8Xe0UC8f51Tk5tawAQA3rqwXm3ZXpDN8EzJxWkeiPmVpYEBKuoI6aouK4GgprMYJqL3-DBPbt5cT8-mPGlEfyQRhTrq5uxd-y6arbVXRbuJIhmTZIixdAC-gab8zSplwcc-IfTEUKHEk66YV7i1AzveQqQ._TEuhLFw7LInL7u6twY8Zg.FOaBEVwRNp3JKkc4rwSu7Ggm_vLkXYYQmWrY6RFBeE5SFDwOxxdcIdx-vBdwmBrIvCBVlKV5DEEhyjuI4p2XHANNn7ObIpvJnKYwZJm5_dM4AGE1-ZdYgL8o0v0O0ZnufU07zav9zcOtsXcujBV_sdYEEdDvW2-x0xc4so_z3dh4Z4PwsvYf2TiTqKPqjKF9lzcjjEzIGEMIDM-lEP7hLwd1Z200-Tqs8PeaFy1yXdx0jN5cOzCO_ehSTKo4IAxpuw5GUMJjjqQI25F5JaHEhctHbLQpc90ghrDYqGTeEDuVC-hgLz58b-ctw-iINtBJKFFQSCjyIFje4nz7dq2Ek_9pjPnC7RVk6MTg7utGEaI3altvUUJHnPznkBaFazOFZbWrVDC0Uy097WrNbk-GS1rij3YjvWQ5780BtpF8O7MDE_gnJRI_fUNQHO9AKU9Pi-GCIT8DRQmeNEBzGXcSh-NdF6rmHEJQuUq57Awan-aYBmVtDZRSm_zb9PbmccqZKcf9y-ahvlEXwnWU6QLU_herm3mDEmknexLw8X8y6M1pCPhqGaUE-flVk3aIU6mmJ2o9wvG_mQsxF7BAPA2AUVfiBCsCgK2rnAfuo-PU4A1qres6GXFU0TXkWvyZkLZ3O0cPW21nQLHwUAH1rfCMwMIg5vptUOts2CpcqKLNcFm3U5lbMGB-o15v7VDW_ioF88VKDzLi0kU_k89GVmmD4tzlhxEqu9fOhOHU49aBR7b7zV0eUlfI0ubNRZuox6ODPYLKor_7zn-JhPz4b_D32RhdyvTiXNzMotdahqjCWAkUKOWhRXQbZIbi0Bo3VnlQsg3HhIToZpLsfQOByynJpY4knH_A2k5BfOIw0CliVGkkM_QETJT5051lyfzixeV2_-bEHRj9MzHJqSlyK5ldZZDtcP8T456da2kp9TAc6s_wUYeiha7NbtbGOutFHdhGxHxiwja0QkVYAtGx3Gq3KXxrTeWb_VPSJz27RQk_hCH2RJQdfdR_UzEvKe-M4ncbDNPjCeJRHV7WGTeQDKYSnSqg6ZYVsXL5OD1QQxx7BYFXh681XAXOwpLAWu4OOa9brF2PTGC86DdyzmgCTsG8teju3N5gOepngEjgBz6XtV7zPUjBoCH6uegExgLgbjFZqbJcaRpzcb5RYGHis0mpdT9VzrExVANNaRqYTBfNdzynTsZmszkrB0SQKp4sPyg_NDupeNl9SGZRsPW8WhvItxAWE5g4fkuU0vVdsO6BxMG-qN473wwOPJVqS0kP0rLp0CLg3adPZtuSja0SItoXhBXiNf94ehDS4n90PrjL93L7huVZ4_NaMHOGk7CJ73H9hLRMKhRdcqFXVWDbxoseo-fBXLqLXMvNmk9_FSZMzaOKvMZmZddMk8nCAxwlAoHntSw_yU7-JUoNszk1qZofHYBqCJDwQFcTEMBPd18csYhXQiumRQ0HMQInVsVFBPNqPeR3sMpqPXW2xxfcbLnwBqTpbQrkvLDwFpfXcZ14RPnyTb-Ho5Pg-DR9p06cvfYq77SENayRaDhgMehhKlF0MIPycw2ob0e6S0cAxMxRzOgvMzm7wR0D4Y-RA9ZrqR8_s2tQPLJM8mdsTGRemsTsYkhwljw8ye-8zIHA3YeMahhCBUgHvDAW8QXDZPa5myxWnWC7gCL3q_fv3QAgFbgFGcWjQqg1dvxgQwHap14BjvWpa_RL3CmP7zr1fNoZdUi8thrSYOc6RG2zd1_wB-SuD_Sv4sofzOND0FG8r4ziq1V-IfS8Irio-HaOUdUYjye01Y0OhlgZDHesL0ZszWO1jReIQF76S9JtrVlAJTZTnWGEquJ7x7loZplD1tuxnvnBE5ZhBnuJEfLlWj8TXeAUQmDzYYIfKyw1jA9fAL1W7s_fQpJtYmrgEbY-kdToK-HOnxKJfJIZBoL7Vf-EQdWGDsDYL0EbULrSGWPmlCEb9dEZxPzffbRzY2Fi1O7DDp46C7fR33U7V5mkHycLWOvoG6_WQFTiA3j8HY_oIGLHE8ikDETGbtEMo0UBX5Cb14HQ.FIagVnKoIoUCO0qWtZf7mYGLOACWbSG2O0OcvR_xF5E",
  "token_type": "Bearer",
  "expires_in": 21599,
  "scope": "openid profile offline_access api",
  "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IkQ4MUM4ODJDREM1ODdGRDlGOUJCM0ZDODc4RjhEODQwRkIxOUEyNDgiLCJ4NXQiOiIyQnlJTE54WWY5bjV1el9JZVBqWVFQc1pva2ciLCJ0eXAiOiJKV1QifQ.eyJpc3MiOiJodHRwczovL2xvY2FsaG9zdDo3MDk3LyIsImV4cCI6MTcxNzQ5NDM2OCwiaWF0IjoxNzE3NDkzMTY4LCJhdWQiOiJjbGllbnRpZCIsInN1YiI6IjQ0ZTE3ZDE2LTgxOGUtNDJlMi04OTllLTAxODIzZWVhZmE0YiIsIm9pX2F1X2lkIjoiOGYwZDliNDEtMTQ3Ny00Zjk0LWIxOGUtOTZhNTdiNDgzYWE3IiwiYXpwIjoiY2xpZW50aWQiLCJhdF9oYXNoIjoiNy14amd0Y3dHM1NwbUhBYXhkNzFXQSIsIm9pX3Rrbl9pZCI6IjU5MjhmNjJkLTE2YzItNGUwNS1hODc2LTM3MDY2NjZlZTIxMSJ9.rH1MATGfGmy-k9l_W4TNIjpbKjkcTON2j_oGWQhaKpCvhP723FZ8b7ahBkX8ITByBadV_WEXb8y04NXNDAELh0e15S5tllKkUNMSkrgcQK3l5bh5LXb9nuKUtO2HrQfg3Wkavgu2caK7nzUj6fmh0vahnBOdoTXny1xFYLJP79UAdLKwNQ1Vpnvk6RttEG69SbAySAelE0XajocshmuAK2TVwVOBBNB4V16evjzD-alzDmr312r8RlCnul6AzSkpMf_TZ4-aYbhpdt6CZA8wqvWT-SioLlGB89PEN6-LKrSD0NtKN3wWMUTv-fVyXtFpJyd-SIGv9hYUHM1qgttTAA",
  "refresh_token": "eyJhbGciOiJSU0EtT0FFUCIsImVuYyI6IkEyNTZDQkMtSFM1MTIiLCJraWQiOiJEODFDODgyQ0RDNTg3RkQ5RjlCQjNGQzg3OEY4RDg0MEZCMTlBMjQ4IiwidHlwIjoib2lfcmVmdCtqd3QiLCJjdHkiOiJKV1QifQ.EUXrtSTDQ3NstYhpAYaugHs73gW2LZeuqRwGftuxVScLMm6u8VL1MSkXgaOYNclyPeeaaopfja8tIv6-ms9K2Kj-8M9EcOfPia_-daLWJM8fgH9_mOb_5AY_khLRWSnT5vV3sTvokDY6glSd7Egqlvlkrt-lMRRBxKJa9zh8Fswp68IYImtjnlHwMqC_BXkHPKMTVNGsRBAGVBd1p_FhPQjes_p9tR_jcf1s3u3ekQhaYo9-qg-WzfImDXbsLoW9o70zgT_I0k605NhxBxiEf_3kLHYogWsg5pdicZy8yPUwuOhtNu1sY-2QWPzmxq7lOWGteclThjGlh4ptzubeAw.vmNtqW7nQ95FuTHrkQnGSQ.jFiSeMwY8GxZjugGo_69H-S63F2zj2iwdvzQd_5MEZZudvRpF3OHV9n3tVcA_FKSXmo3H7Tl7jOdLE6oMWL5EjCM5ik0MU7hBN4IB-HOCJhEBC7VTmEF68HdqC7xbJX55rPNK2F4fna1cFAc0wr0w5eGaIccITpSoeqOPh2rmapjQw53lb_EY15D2XgRHiXX7qiw6-fBUBFjqI3J3eOcNWQC2Jg1JsN1okhvD5AVSRHjhzb4AwUXGTrV2xanm_p0YfQMohaObMQsOCZLazLCCWIYyA9LFJnyy6kV8pOpoyMh2CRiCB0ahBWf9cKYqpBbPMlls8g6_KUA_6TGgXwxxGMYL7RCu_B4NZtne6wnMCSAztO8Fu9swTREJOhygiAlW-eTTICuX3dyNC7QSjCk4ISdZvGXaK5UeBxMvVD85_QikAO2jqDxFk2O_xQEvHAZ9mXRiPtrcGedvUipo49q30abMCKW572lucahUTXQF_v_Y-OQ7Y0OVZr6KtkOpu71Ot-_8OBpKxMscGx3RqugQITLgShjLIrkCwSxykoCADKtu-ySIadjMViYW0sl4Xfdk4a-IFWeYfCYfCbXFzBxfNafuK9kRWZT2eo5poT-o17wmhI747s75FY6E7c0p9HFDbcxZ_U3KYzMlr6WrexVJqqb4qHO9CNPwxGlhP0WM3F0_JF44Drdcm2nDzyHurE2PmhagTaAAt-0qb2vz0jwdEZDj7vY93pShMoIQW3W_e_2NDAnBLMcZgANs5Oh8pHEbsaU7TgghTwqMgwnyS5uYqcEyqfRPCpoHXGbvrmxeiN1ODlsw0To7qk9NfAOPAV7z_CP7MCEHkpTJgI9cIYt9PEK_fxN2Bq8D0tyiah3Sc2TFVqvH5DbcgdaIG5wpV_S6pc55q-iU7lSgBzJziQiURHEJj1v8j_hP0n4HK9IADw6umEqNsz2KlpKWGMubDoh1ZwibNiweqwzH7C09kHMhlHifgjP7oLe5LGLagZyYD6BV9Z0io5vgl7imZrUiIxhA3vWZrrrZGi9j9KQQrkDuZxNuiUSW66-o13mJ_Ki3Z5kwA8gBssL27oAitL3l_rlhOhjcsACIU9AdA2eVu5xeijf_a4QqQEx8l2sbAzgNLJr4mOaYuUFQlPjFUaw30LXhf9VEa8ks8AVMhjRVtrfEekArrCBvUIrza5fzj-ofICtLoPRbd7K3fxT2NVB57zLra4YYchM5Cqgdqg26ETOpvUDQM8_G55Bw-zYWRQe6JmSpjj8_UBE1EE9L7pWy_6xFxk1Hci1G1dITdthPFlanQnzpX71fHLI69C_I71zrr_On5XIyjZHeGB7Fo2GPV_uurKuB_mmjMKuofpJ-fxuNPbDNUVO2qNg_mfC_aJIP8gCvetsrV-Zpv090hBewMnBrg6nh1rfRatFxKgCv7ZF-SWAb7MqHM4ngoZBoUdVy1gLFfQmmMPWsEB3P4A5tnOEornWAeEsYE92HAtD6AY0W6nSyAIdfHQURq_5DgVxtjqmrBDkYhc0DZmdcSSB4CuCQN7EQKrADAyw48jlldbKMZEDnhcUW855Hru37nf53z5JCp13b8extVI9Fb2ZNkxWhm3vvqOrxPjHGlONO7MesGzxYbmK76XtJzOcDStDydYR9nX7V4OR6zbgjTN517FSxcD9VMOc1r-DYo28K5a9sDOvoyasHIsvKDZlx5j472Vtm1q9JvcG-j1djbkfu462ymD0CjVZss_aGHl8Wn2t3ZFk44s5A1ceRY39jfC4iYzBl3ysTbmJF3uPRc-fZEeAMa239hBhWDOgi8f4udbLcHxbz3QEQBDMgsxTLpJKLfXL4ofJZy6BKdHQtMqokRKvTYTTIPtzoKJNgXycdD88o-C-I8MK8orLTN2reLjSevvg8fKR81rlWWoT1JN3pMzbmsns3Bi4AD1sA-5ZqWtyZiG1_KarZCwhvfe3iH-5PQaMVqOZoluwW9Y0CK9khfoB2gGDEUM7fqAB6ES_3oOA_CbXR6xh39BBQS--Qa1sOU_xaE7HTeL0S_QswHgUb8OJzvybaD19jE8eCFlPb1xkHIN7rDeqjWhtYs_RMmJUHkTzOjhCT6icaPZD8Q7aw0E0PW37K8f25lRNvwzlt-MI8K37aypoxwk0q4A2KKd5EWnPG-tNNQtcxRdIzQtZ7s3_G_TVMeJRiv86JKNXk_MrMFMJ6Ys7N_QcO4dtjFQTWdwag-tnm8j1fsB8AZFtUgLzsSyIKj2WfJQ9cw00UJggx14e5EggbvOYnMdMn7EC56dLyP_Ew1r4rciCyx4RPsk8r0djTXzU5HJ-Af3YM1yvn0-NMcsTky73E2LigXwdEIF4ohQjEzJEbuIGhbPCd8S0C2WZc7XRd6-ki-SHMCSbn87OMI5jsVHGX_8gFALaEqT02PHnMHHo5Z3XHjGck2TfI2kpBQ9q3UPomI0R6U7YR1w0CoPwFzKNosFh6y1d6T-ulpMIMOM3LoyZo3AvWb9c0K6Tnixky1S_5ALsIeg01dOVUSPYwTOI8Jw493cGdQ6SA6NvvZMCw20nAS2jRc_0e3QU6EAtN8srnVw7pzXysE939uVxbzhMyzStmWYH_KtV0tXC7uGam6x88V04ee-Um2oejVz6HbTSQQZJlE76ZUB5MC9cggk_DME1r1otWU2NuxPKtZZkeDpA1Xv6pDYarVLrI5QEXJB8xeh-upWepsQlJ3j9HPTC2NK5RQwp64c7DHqfGZ8WYY2N6-d3XLT7X6rpxxUT20ZeAkKyZ6Se9KljJWa4X8l5LsaO3ZidHBI.kQ_u2mD3-p2GUlKi3S4MxylC-tJhj1MmBf-70PPb35I"
}

OpenIddict身份验证与授权之: 一. 实现结构

木它 — Tue, 04 Jun 2024 01:08:03 +0000

理论知识

OpenIddict 是一个基于 ASP.NET Core 的开放源代码的身份验证和授权框架，它实现了 OpenID Connect 和 OAuth 2.0 协议。OpenIddict 的目的是提供一个简单、易于集成的解决方案，以便开发人员能够在自己的应用程序中快速实现安全的身份验证和授权机制。

在 OpenIddict 的实现结构中，通常会涉及以下几个基础项目：

验证服务器（Authorization Server）：
验证服务器是 OpenIddict 的核心组件，它负责处理客户端的认证请求，发放令牌，以及验证用户的身份。验证服务器会实现 OpenID Connect 和 OAuth 2.0 的相关端点，例如授权端点（/connect/authorize）、令牌端点（/connect/token）和用户信息端点（/connect/userinfo）。
客户端（Client）：
客户端是指需要访问受保护资源的应用程序，它可以是 Web 应用程序、移动应用程序或其他类型的服务。客户端会向验证服务器发送请求，以获取授权码、访问令牌或刷新令牌。客户端需要注册到验证服务器，并获取客户端 ID 和客户端密钥（若需要的话），这些信息用于验证客户端的身份。
资源服务器（Resource Server）：
资源服务器托管受保护的资源，例如 API 接口。资源服务器需要验证来自客户端的访问令牌，以确保请求是由授权的客户端发起，并且用户已经给予了相应的权限。资源服务器通常会使用 OpenIddict 提供的中间件或库来验证令牌的有效性。

具体来说，各个组件的作用如下：

验证服务器：处理身份验证流程，包括用户登录、授权确认、令牌发放等。验证服务器也会管理客户端的注册信息和用户的授权。
客户端：发起对资源的请求，并通过验证服务器提供的授权机制来获取访问资源所需的令牌。客户端必须按照 OAuth 2.0 和 OpenID Connect 协议来实现请求和处理令牌。
资源服务器：提供受保护资源的服务，验证访问请求中的令牌，确保其有效性和权限范围，然后响应客户端的请求。

在实际部署时，验证服务器、资源服务器和客户端可以是独立部署的不同应用，也可以是同一个应用中的不同组件。OpenIddict 提供了灵活的配置和扩展点，使得开发人员可以根据自己的需求来定制身份验证和授权的流程。

OAuth 2.0 & OpenID Connect

木它 — Fri, 24 May 2024 06:36:26 +0000

OAuth 2.0 和 OpenID Connect 是目前广泛使用的授权（Authorization）和身份验证（Authentication）标准。OAuth 2.0 提供了一种安全的授权方式，而 OpenID Connect 在 OAuth 2.0 的基础上增加了身份验证的功能。

OAuth 2.0 授权模式

OAuth 2.0 定义了四种授权模式，分别适用于不同的应用场景：

授权码模式（Authorization Code Grant）

流程：
1. 客户端将用户重定向到授权服务器。
2. 用户同意授权。
3. 授权服务器将用户重定向回客户端，附带一个授权码。
4. 客户端使用授权码向授权服务器请求访问令牌。
5. 授权服务器验证授权码和客户端信息，如果验证通过，则发放访问令牌。
举例：用户登录第三方应用（如社交网站应用），应用请求访问用户在社交网站上的信息。

简化模式（Implicit Grant）

流程：
1. 客户端将用户重定向到授权服务器。
2. 用户同意授权。
3. 授权服务器将用户重定向回客户端，URL 中直接附带访问令牌。
举例：适用于纯前端应用，如单页应用（SPA）。

密码模式（Resource Owner Password Credentials Grant）

流程：
1. 用户向客户端提供用户名和密码。
2. 客户端使用用户名和密码向授权服务器请求访问令牌。
3. 授权服务器验证凭据，如果验证通过，则发放访问令牌。
举例：用户直接在第三方应用输入登录凭据，适用于用户和客户端高度可信的场景。

客户端凭据模式（Client Credentials Grant）

流程：
1. 客户端向授权服务器提供其自己的凭据。
2. 授权服务器验证客户端凭据，如果验证通过，则发放访问令牌。
举例：适用于客户端访问自己保护的资源，如内部系统间的API调用。

扩展: 设备码模式（Device Authorization Grant）

流程：
1. 设备请求码：设备向授权服务器发起请求，授权服务器返回一个用户码（user code）、一个设备码（device code），以及验证用户码的URL。
2. 用户授权：设备展示给用户一个用户码和验证URL，指导用户使用另外的设备（如智能手机或电脑）访问给定的URL并输入用户码进行授权。
3. 设备轮询：设备使用设备码定期轮询授权服务器，询问用户是否完成了授权操作。
4. 获取访问令牌：一旦用户完成授权，授权服务器响应设备的轮询请求，发放访问令牌给设备。
举例：那些没有浏览器或有限输入能力的设备上，如智能电视、游戏机、打印机等，以便这些设备能够安全地获得用户授权。假设你有一台智能电视，想要观看某个需要授权的视频流服务。电视屏幕上显示一个代码和一个URL，告诉你使用手机或电脑访问这个URL并输入代码。你按照指示操作，登录视频流服务的账号，并授权你的电视访问服务。在这个过程中，你的电视定期向服务的授权服务器发送请求，查询授权状态。一旦你完成了授权操作，电视即获得访问令牌，可以加载并播放视频内容。这就是设备码模式的一个典型应用场景。

OpenID Connect

OpenID Connect 在 OAuth 2.0 的基础上增加了身份层。它允许客户端通过验证用户的身份信息（ID Token），来进行身份验证。

ID Token：是一个 JWT（JSON Web Token），包含了用户的身份信息。

OpenID Connect 主要使用的是 OAuth 2.0 的授权码模式，增加了一些参数和步骤来支持身份验证：

客户端将用户重定向到授权服务器，请求授权码，并指明需要“openid”作用域（scope）。
用户登录并同意授权。
授权服务器将用户重定向回客户端，附带授权码。
客户端使用授权码向授权服务器请求访问令牌，并同时会返回一个 ID Token。
客户端可以解析 ID Token 来获取用户的身份信息。

通过这种方式，OpenID Connect 不仅提供了 OAuth 2.0 的授权机制，还增加了身份验证的能力，使得它成为了构建现代应用中身份验证和授权的重要标准。

身份验证与授权 – 岁月细碎点滴快查

C# WebAPI Token 生成与账号密码登录实现

1. 创建项目

2. 安装必要 NuGet 包

3. 完整实现代码

3.1 配置类 (appsettings.json)

3.2 用户模型 (Models/User.cs)

3.3 Token 响应模型 (Models/TokenResponse.cs)

3.4 登录请求模型 (Models/LoginRequest.cs)

3.5 JWT 服务 (Services/JwtService.cs)

3.6 用户服务 (Services/UserService.cs)

3.7 认证控制器 (Controllers/AuthController.cs)

3.8 受保护资源控制器 (Controllers/ProtectedController.cs)

3.9 Program.cs 配置

4. 使用说明

4.1 获取Token

4.2 访问受保护资源

4.3 访问管理员资源

5. 安全建议

6. 扩展功能

Microsoft.IdentityModel.Tokens 命名空间中的 TokenValidationParameters 类

Token Validation Parameters

1. AlgorithmValidator

2. ActorValidationParameters

3. AudienceValidator

4. _authenticationType

5. ClockSkew

6. ConfigurationManager

7. CryptoProviderFactory

8. DebugId

9. IncludeTokenOnFailedValidation

10. IgnoreTrailingSlashWhenValidatingAudience

11. IssuerSigningKey

12. IssuerSigningKeyResolver

13. IssuerSigningKeyResolverUsingConfiguration

14. IssuerSigningKeys

15. IssuerSigningKeyValidator

16. IssuerSigningKeyValidatorUsingConfiguration

17. IssuerValidator

18. IssuerValidatorAsync

19. IssuerValidatorUsingConfiguration

20. LifetimeValidator

21. LogTokenId

22. LogValidationExceptions

23. NameClaimType

24. NameClaimTypeRetriever

25. PropertyBag

26. RefreshBeforeValidation

27. RequireAudience

28. RequireExpirationTime

29. RequireSignedTokens

30. RoleClaimType

31. RoleClaimTypeRetriever

32. SaveSigninToken

33. SignatureValidator

34. SignatureValidatorUsingConfiguration

35. TokenDecryptionKey

36. TokenDecryptionKeyResolver

37. TokenDecryptionKeys

38. TokenReader

39. TokenReplayCache

40. TokenReplayValidator

41. TransformBeforeSignatureValidation

42. TryAllIssuerSigningKeys

43. TypeValidator

44. ValidateActor

45. ValidateAudience

46. ValidateIssuer

47. ValidateIssuerSigningKey

48. ValidateLifetime

49. ValidateSignatureLast

50. ValidateTokenReplay

51. ValidateWithLKG

52. ValidAlgorithms

53. ValidAudience

54. ValidAudiences

55. ValidIssuer

56. ValidIssuers

57. ValidTypes

身份验证模型 （RBAC）（ABAC）对比

身份验证模型（RBAC）（ABAC）对比