IdentityServer4 中文文档 -13- (快速入门)切换到混合流并添加 API 访问


在之前的快速入门中我们探讨了 API 访问和用户认证。现在我们想要把这两部分结合起来。

OpenID Connect 和 OAuth 2.0 结合的美妙之处在于,你既可以使用单一的协议,也可以向令牌服务做一次往返交互。

之前我们使用的是 OpenID Connect 隐式流。在隐式流中所有令牌都通过浏览器来传输,这对于 身份令牌 来说是完全没有问题的。现在我们还想要请求一个 访问令牌

与身份令牌相比,访问令牌更加敏感,如果没有必要,我们是不会想将他们暴露给“外部世界”的。OpenID Connect 包含了一个叫做 “混合流(Hybrid flowe)” 的流,它为我们提供了两方面优点 —— 身份令牌通过浏览器频道来传输,这样客户端就能够在做任何工作前验证它;如果验证成功了,客户端就会打开一个后端通道来连接令牌服务以检索访问令牌。

修改客户端配置

需要修改的东西不是很多。首先我们想要允许客户端使用混合流(Hybrid Flow),另外我们还想要客户端允许服务于服务之间的 API 调用,并且这种调用不会与用户上下文混杂在一起(这与我们的客户端凭证快速入门非常相似)。这是使用 AllowedGrantTypes 属性来表示的。

然后我们要添加一个客户端密码,这将被用于在后端通道上检索访问令牌。

最后我们还要允许客户端访问 offline_access scope - 这允许为长期使用的 API 访问请求刷新令牌:

  1. new Client
  2. {
  3. ClientId = "mvc",
  4. ClientName = "MVC 客户端",
  5. AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
  6. ClientSecrets =
  7. {
  8. new Secret("secret".Sha256())
  9. },
  10. RedirectUris = { "http://localhost:5002/signin-oidc" },
  11. PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },
  12. AllowedScopes =
  13. {
  14. IdentityServerConstants.StandardScopes.OpenId,
  15. IdentityServerConstants.StandardScopes.Profile,
  16. "api1"
  17. },
  18. AllowOfflineAccess = true
  19. };

修改 MVC 客户端

对 MVC 客户端的修改同样也很少 - ASP.NET Core OpenID Connect 中间件是内置支持混合流的,所以我们只需要更改一些配置值。

我们配置 ClientSecret 以让它跟 IdentityServer 上的信息相匹配。添加 offline_access scopes,然后设置 ResponseTypecode id_token(基本的意思就是“使用混合流”)

  1. app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
  2. {
  3. AuthenticationScheme = "oidc",
  4. SignInScheme = "Cookies",
  5. Authority = "http://localhost:5000",
  6. RequireHttpsMetadata = false,
  7. ClientId = "mvc",
  8. ClientSecret = "secret",
  9. ResponseType = "code id_token",
  10. Scope = { "api1", "offline_access" },
  11. GetClaimsFromUserInfoEndpoint = true,
  12. SaveTokens = true
  13. });

当你运行 MVC 客户端的时候,不会有太大的区别。除此之外,授权确认页现在还会向你请求访问 额外的 API 和 离线访问(offline access) scope。

使用访问令牌

OpenID Connect 中间件会自动为你保存令牌(身份令牌,访问令牌和现在我们例子中的刷新令牌)。这就是 SaveTokens 设置的效果。

技术上,令牌是存储在 cookie 的属性片段之内的,访问它们最简单的方式是使用 Microsoft.AspNetCore.Authentication 名称空间下的扩展方法。

比如在你的身份信息视图上:

  1. <dt>access token</dt>
  2. <dd>@await ViewContext.HttpContext.Authentication.GetTokenAsync("access_token")</dd>
  3. <dt>refresh token</dt>
  4. <dd>@await ViewContext.HttpContext.Authentication.GetTokenAsync("refresh_token")</dd>

为了使用访问令牌访问 API,你所需要做的只是检索令牌,然后将其设置到你的 HttpClient 中:

  1. public async Task<IActionResult> CallApiUsingUserAccessToken()
  2. {
  3. var accessToken = await HttpContext.Authentication.GetTokenAsync("access_token");
  4. var client = new HttpClient();
  5. client.SetBearerToken(accessToken);
  6. var content = await client.GetStringAsync("http://localhost:5001/identity");
  7. ViewBag.Json = JArray.Parse(content).ToString();
  8. return View("json");
  9. }