一��、前言我們現(xiàn)在日常生活中�����,會使用各式各樣的應用程序�����,層出不窮��,其中有基于網(wǎng)頁瀏覽方式的應用�����,有基于手機端的App���,甚至有基于流行的公眾號和小程序等等�,這些應用����,我們不僅要實現(xiàn)各個應用的功能之外,還要考慮各個應用之間的交互作用���,其中身份的認證和授權就是每個應用必不可少的的一部分�����。 所以我們以身份認證和授權這一部分為例�����,需要考慮各個應用直接的交互�����,統(tǒng)一管理以及信息安全問題�����。 而現(xiàn)在的互聯(lián)網(wǎng)��,對于信息安全要求又十分苛刻��,所以一套統(tǒng)一的身份認證和授權就至關重要���。 
所以,我們可以根據(jù)Identity Server4框架開發(fā)一套統(tǒng)一的身份認證和授權項目應用在平時的多個項目中��,實現(xiàn)多平臺應用授權統(tǒng)一管理����。 二、說明
我們通過查看 IdentityServer4官網(wǎng)���,就可以看到給出的定義: IdentityServer4 is an OpenID Connect and OAuth 2.0 framework for ASP.NET Core. OpenID Connect + OAuth2.0 相結合的認證框架
由此可見�����,IdentityServer是基于OpenID Connect協(xié)議標準的身份認證和授權程序�,實現(xiàn)了OpenID Connect和OAuth2.0協(xié)議的結合。 所以�����,IdentityServer4是為ASP.NET CORE量身定制的實現(xiàn)了OpenId Connect和OAuth2.0協(xié)議的認證授權中間件���。通常�,你構建(或重新使用)包含登錄和注銷頁面的應用程序�����,IdentityServer中間件會向其添加必要的協(xié)議頭��,以便客戶端應用程序可以使用這些標準協(xié)議與其對話���。 
2.1 特性
通過不同的文獻使用的術語我們會發(fā)現(xiàn)��,同一個概念可能存在著多種解釋����,比如有些把他稱為安全令牌服務(Security Token Service),
身份提供(Identity Provider)�,授權服務器(Authorization Server),IP-STS 等等����。其實他們都是一個意思,目的都是在軟件應用中為客戶端頒發(fā)令牌并用于安全訪問的��。 2.2 功能
三����、引申3.1 OAuth2.0OAuth2.0 是OAuth協(xié)議的延續(xù),OAuth2.0 關注客戶端開發(fā)者的簡易性�,為用戶資源提供一個安全的、開放而有建議的標準��。是目前流行的授權機制����,用于授權第三方應用就可以獲取該用戶資源���。因此OAuth是安全的���。 為了安全����,Oauth2.0 引入了兩個措施: 1�����,Oauth2.0 要求����,refresh token 一定是保存在客戶端的服務器上的,而絕不能存放在狹義的客戶端(例如移動 app�����、PC端軟件) 上���。調(diào)用 refresh 接口的時候���,一定是從服務器到服務器的訪問; 2����,Oauth2.0 引入了 client_secret 機制�。即每一個 client_id 都對應一個 client_secret�����。這個 client_secret 會在客戶端申請 client_id 時�����,隨 client_id 一起分配給客戶端�。客戶端必須把 client_secret 妥善保管在服務器上��,決不能泄露���。刷新 access token 時����,需要驗證這個 client_secret�。
3.1.1 場景OAuth2.0 是目前最流行的授權機制,用來授權第三方應用����,獲取用戶數(shù)據(jù)����。 (以下以 第三方A網(wǎng)站用戶訪問授權獲取在B網(wǎng)站資源 為例 �。參考:理解OAuth 2.0) 為了讓A網(wǎng)站應用訪問在B網(wǎng)站上的存儲的照片����、視頻或者聯(lián)系方式等等私密資源,我們可能需要做到的就是讓B網(wǎng)站同意A網(wǎng)站訪問讀取這些資源��,那么��,在傳統(tǒng)的方式中�����,會將自己在B網(wǎng)站中的用戶名和密碼告訴A���,后者就可以讀取用戶的資源信息了�����,但是這樣做存在了嚴重的問題: A網(wǎng)站為了后續(xù)服務����,會保存用戶的密碼,這樣不安全�����。 B網(wǎng)站必須部署密碼登錄方式�,才能以此方式獲取,但這種單純的密碼登錄也不安全���。 A網(wǎng)站用戶獲取某個網(wǎng)站資源的權力�����,但卻沒有限制獲取的范圍和期限���。 當用戶修改密碼的時候,就會收回A網(wǎng)站的權力�����,但是這樣做�,會使得其他所有獲得用戶授權的A應用程序全部失效。 只要有一個A應用程序被破解����,就會導致用戶密碼泄漏�����,以及所有被密碼保護的數(shù)據(jù)泄漏�����。
因此,這種方式是不安全的�����,所以為了解決這種問題���,OAuth就解決了這種問題�。 允許用戶讓第三方A應用訪問該用戶在B網(wǎng)站上存儲的私密的資源(如照片��,視頻���,聯(lián)系人列表)����,而無需將用戶名和密碼提供給第三方應用�。就比如我用QQ登錄博客園�����,那博客園(第三方應用)的昵稱就可以是我的QQ(某網(wǎng)站)昵稱�,它獲取到了我的QQ昵稱����,并存到了博客園的數(shù)據(jù)庫,我以后就一直可以使用QQ來登錄博客園����,但是博客園卻不知道我QQ的用戶名和密碼。 3.1.2 說明OAuth在"客戶端"與"服務提供商"之間���,設置了一個授權層(authorization layer)����。"客戶端"不能直接登錄"服務提供商"�,只能登錄授權層,以此將用戶與客戶端區(qū)分開來���。"客戶端"登錄授權層所用的令牌(token)�����,與用戶的密碼不同�。用戶可以在登錄的時候,指定授權層令牌的權限范圍和有效期����。 "客戶端"登錄授權層以后,"服務提供商"根據(jù)令牌的權限范圍和有效期���,向"客戶端"開放用戶儲存的資料。 
(A)用戶打開客戶端以后���,客戶端要求用戶給予授權�����。
(B)用戶同意給予客戶端授權��。
(C)客戶端使用上一步獲得的授權�����,向認證服務器申請令牌�。
(D)認證服務器對客戶端進行認證以后�,確認無誤����,同意發(fā)放令牌��。
(E)客戶端使用令牌�����,向資源服務器申請獲取資源��。
(F)資源服務器確認令牌無誤����,同意向客戶端開放資源。 3.1.3 模式用戶怎樣實現(xiàn)客戶端授權�,所以需要通過不同的授權模式讓客戶端可以獲取令牌,進而獲取資源����。因此,客戶端獲取授權常用的模式如下: 
后續(xù)篇章會對這些模式進行說明和搭建應用項目�。
3.2 OpenID ConnectOpenID Connect是基于OAuth 2.0規(guī)范族的可互操作的身份驗證協(xié)議。它使用簡單的REST / JSON消息流來實現(xiàn)�,和之前任何一種身份認證協(xié)議相比,開發(fā)者可以輕松集成���。 OpenID Connect允許開發(fā)者驗證跨網(wǎng)站和應用的用戶��,而無需擁有和管理密碼文件����。 OpenID Connect允許所有類型的客戶,包括基于瀏覽器的JavaScript和本機移動應用程序,啟動登錄流動和接收可驗證斷言對登錄用戶的身份。 進一步來說: OpenID Connect是OAuth 2.0協(xié)議之上的簡單身份層�,用 API 進行身份交互的框架,允許客戶端根據(jù)授權服務器的認證結果最終確認用戶的身份�,以及獲取基本的用戶信息; 它支持包括Web�、移動、JavaScript在內(nèi)的所有客戶端類型�; 它是可擴展的協(xié)議�����,允許你使用某些可選功能��,如身份數(shù)據(jù)加密�����、OpenID提供商發(fā)現(xiàn)����、會話管理�;
OpenID Connect vs OpenID 2.0:OpenID Connect完成很多與OpenID 2.0(即認證��,對用戶的身份進行認證����,判斷其身份是否有效)相同的任務,是API-friendly��,定義了可選的簽名和加密的機制��; OAuth 1.0和OpenID 2.0的集成需要擴展��,而OpenID Connect協(xié)議本身就建立在OAuth 2.0之上�����。 (身份驗證)+ OAuth 2.0 = OpenID Connect
因此�,OpenID Connect 是“認證”和“授權”的結合。 
我們經(jīng)常會混淆OpenID和OAuth協(xié)議之間的關系��,下文會對這兩者進行區(qū)分說明�。
為什么開發(fā)者要使用OpenID Connect? 因為它很簡單,可靠,安全,并讓他們擺脫困難和危險的存儲和管理別人的密碼。也有好處,它讓用戶的生活更容易在網(wǎng)站注冊和注冊從而減少遺棄��。
四�、區(qū)別4.1 OAuth 與 OpenID首先,來認識兩個英文單詞���,也是我們在平時中很容易混淆的�。 而在認證授權服務中��,也應用了這兩個單詞的表面意思��。 OpenID 是一個以用戶為中心的數(shù)字身份識別框架���,它具有開放、分散性�。OpenID 的創(chuàng)建基于這樣一個概念:我們可以通過 URI (又叫 URL 或網(wǎng)站地址)來認證一個網(wǎng)站的唯一身份,同理�����,我們也可以通過這種方式來作為用戶的身份認證�。
OpenID : 是Authentication,即認證�����,對用戶的身份進行認證�����,判斷其身份是否有效,也就是讓網(wǎng)站知道“你是你所聲稱的那個用戶”�����。 側重的是authentication: 即證明 “用戶是誰����?”
OAuth : 是Authorization,即授權�����,在已知用戶身份合法的情況下����,經(jīng)用戶授權來允許某些操作,也就是讓網(wǎng)站知道“你能被允許做那些事情”��。 側重的是authorization :即授權 “用戶能做什么�?”
由此可知,授權要在認證之后進行�����,只有確定用戶身份只有才能授權���。 4.1.1 場景OpenID 是證實身份(Authentication)作用的�����,就好比我們參加大型考試一下����,進考場的時候��,監(jiān)考官需要我們拿出身份證和準考證來檢驗�,比對是否是同一個人。這個過程就是在驗證 “身份��,這就是我”����,同時也證實了這不是一個匿名偽造的不可信任信息?�?脊俦葘ι矸莩晒?���,就會進一步詢問。 比如我用 Google 的 OpenID 服務登錄 xxx.com ����, xxx.com 先把我導向 Google 的授權頁面����,我使用 Google 賬號 test@gmail.com 登錄并同意后�����,頁面跳回 xxx.com �, xxx.com 拿到了我的“唯一標識”,這個唯一標識可能是 abbcccxxxxxxxddccddxxxx11 �����,xxx.com 從這個字符串里無法獲得任何 xxx@gmail.com 的個人信息(甚至連郵箱地址也不知道)��, xxx.com 只知道以后只要使用谷歌登錄并返回 abbcccxxxxxxxddccddxxxx11 這個標識符��,那就是我在登錄�����。
但是如果你想在認證過程中獲得用戶的其他信息(比如手機號等 )就得多做一步了�����。 OAuth 是關于授權、許可(Authorization)的���,當考官看完比對你的身份后,還要求掏出兜里的東西���,拿出隨身攜帶里的東西��、手機等隨身物品以便檢查��,檢查你是否攜帶考場違規(guī)物品�,這時就需要得到被檢查人的許可才行����,被檢查人有權利扭頭就走,但要想進場考試��,必須給予許可��、配合檢查�����。這是在回答「我同意讓你對我進一步做些什么」����,是為了在被授予權限的前提下��,更多的獲取除了個人信息以外���,身上攜帶的東西是否包含違規(guī)物品。(如:手機�����,計算器����,手表,非指定文具等) 我想通過微博登錄 xxx.com �,xxx.com 要先把我 redirect 到新浪微博的授權頁面,我通過微博賬號登錄并授權后�����,頁面跳回 xxx.com �����,xxx.com 拿到我的訪問 token 后還要再調(diào)用一個接口來獲得我的會員 UID ,這個 UID 就是新浪用戶的“唯一標識”了�����。
# 借鑒網(wǎng)友的說明:
如今越來越多的網(wǎng)站�,以及一些應用程序都開始使用第三方社交平臺賬戶登錄,那這里就會涉及到安全性的問題�����,隱私的問題��,你不能隨意來獲取我的資料�,當然你來使用我的資料�����,你要經(jīng)過用戶的同意�,那這個用戶是不是我平臺上,還是要來向我求證�����,那在這個過程中�����,實際上就出現(xiàn)了兩個過程,我們還是直接使用上次的例子來說明�����,比較直觀�,博客園使用QQ登錄,進入博客園的登錄頁����,點擊使用QQ登錄:
在進入到QQ登錄界面后,最開始是要請求認證��,用戶輸入QQ號和密碼����,點擊登錄,騰訊互聯(lián)會先進行驗證該用戶是否為我的用戶��,如果是我的用戶��,那么我會通知你(博客園)��,他是我的用戶��,你可以使用該賬戶登錄你的系統(tǒng),這個過程就是認證(Authentication)�����,認證就是證明你是誰����,你是否是真實存在的,就好像��,快遞員來給你送快遞�,讓你出示你的身份證��,他確定你是本人后��,把快遞給你����,這就是OpenID。
而在QQ授權登錄下方����,有兩給CheckBox復選框,可以允許博客園獲得您的昵稱���、頭像���、性別����,這是在認證之后的事了�����,在騰訊互聯(lián)你是我平臺的用戶后�����,你可以自己選擇博客園是否有權去獲取你的相關信息����,當你勾選后,騰訊互聯(lián)就把你的這些基本信息給了博客園���,這個過程就是授權(Authorization)���,授權就是確定了你是誰后,又把屬于你的東西給了別人���,猶如你向快遞員出示了身份證�,然后你又把你房門的密碼給了他,并告訴他說���,我把房門密碼給你�,你幫我放到我客廳里吧�����。 
可以看出�����,OAuth 相對于 OpenID 最大的區(qū)別就是��,網(wǎng)站在認證授權的過程中實際上是拿到了你的帳戶訪問權限繼而確認你的身份����,但是這同時也存在一個安全隱患�����,因為網(wǎng)站在拿到你的“唯一標識”的同時還拿到了一把你的賬戶的 “臨時鑰匙”�����。但是你不知道網(wǎng)站會不會拿這把鑰匙“干壞事”,這個只有站長心里清楚��。同時 OAuth 還比 OpenID 多了幾個額外的請求步驟��,登錄所費時間一定是長于 OpenID 的��。 4.2 OAuth�����、OpenID 與 OpenID Connect
OpenID Connect 因為其基于OAuth協(xié)議(可以看上文OAuth說明)�����,所以OpenID-Connect協(xié)議中也包含了client_id�、client_secret還有redirect_uri等字段標識。這些信息被保存在“身份認證服務器”��,以確保特定的客戶端收到的信息只來自于合法的應用平臺����。這樣做是目的是為了防止client_id泄露而造成的惡意網(wǎng)站發(fā)起的OIDC流程。 因此,OpenID Connect 是“認證”和“授權”的結合��。 (身份驗證)+ OAuth 2.0 = OpenID Connect (OIDC) = ( Authentication + Authorization + OAuth2.0)
簡要而言����,OIDC是一種安全機制,用于應用連接到身份認證服務器(Identity Service)獲取用戶信息�����,并將這些信息以安全可靠的方法返回給應用���。 # 借鑒網(wǎng)友說明
舉個例子。某個用戶使用*Facebook*應用*“What online quiz best describes you?”* ����,該應用可以通過*Facebook*賬號登錄����,則你可以在應用中發(fā)起請求到“身份認證服務器”(也就是Facebook的服務器)請求登錄�����。這時你會看到界面�����,詢問是否授權�����。
在 OAuth 中�����,這些授權被稱為scope���。OpenID-Connect也有自己特殊的scope--openid ,它必須在第一次請求“身份鑒別服務器”(Identity Provider,簡稱IDP)時發(fā)送過去��。 
4.3 JWT 與 OAuth2 .0要比較JWT和OAuth2��,首先要明白一點就是�,這兩個根本沒有可比性,是兩個完全不同的東西�����。 但是既然是沒有可比性�����,為何還要放一塊比較呢���?實際開發(fā)應用中�,就發(fā)現(xiàn)很多拿 JWT和OAuth2.0 作對比��,很多情況下�,在討論OAuth2的實現(xiàn)時,會把JSON Web Token作為一種認證機制使用�����。這也是為什么他們會經(jīng)常一起出現(xiàn)�。 4.3.1 內(nèi)容區(qū)別一個token包含三部分:header��、claims��、signature
Oauth2定義了一組想當復雜的規(guī)范�����。涉及到:Roles角色�����、Client Types客戶端類型��、Client Profile客戶端描述�、Authorization Grants認證授權、Endpoints終端等��。
4.3.2 場景區(qū)別JWT的主要優(yōu)勢在于使用無狀態(tài)、可擴展的方式處理應用中的用戶會話���。服務端可以通過內(nèi)嵌編碼的聲明信息����,很容易地獲取用戶的會話信息��,而不需要去訪問用戶或會話的數(shù)據(jù)庫����。但是,如果系統(tǒng)中需要使用黑名單實現(xiàn)長期有效的token刷新機制����,這種無狀態(tài)的優(yōu)勢就不明顯了。
Oauth2應用場景 1)第三方認證服務器 2)大型企業(yè)解決方案
API的使用依賴于外部的第三方認證提供者����。去認證服務商 那里注冊你的應用,然后設置需要訪問的用戶信息����,比如電子郵箱、姓名等�����。當用戶訪問站點的注冊頁面時,會看到連接到第三方認證提供商的入口���。用戶點擊以后被重定向到對應的認證服務商網(wǎng)站,獲得用戶的授權后就可以訪問到需要的信息�����,然后重定向回來你的應用中����。
4.3.3 歸納說明Oauth2和JWT是完全不同的兩種東西,一個是授權認證的框架���,另一種則是認證驗證的方式方法���。OAuth2不像JWT一樣是一個嚴格的標準協(xié)議,因此在實施過程中更容易出錯����。 兩種方案都需要SSL安全保護,也就是對要傳輸?shù)臄?shù)據(jù)進行加密編碼�����。安全地傳輸用戶提供的私密信息,在任何一個安全的系統(tǒng)里都是必要的���。否則任何人都可以通過侵入網(wǎng)絡��,在用戶登錄的時候竊取用戶的用戶名和密碼等信息�����。
五����、總結本篇主要是對Identity Server4的說明���,認識到是一個基于OpenID Connect協(xié)議標準的身份認證和授權程序��。 簡單的涉及對基礎知識的認識以及區(qū)別說明���,從OAuth、OpenID�、OpenID Connect以及JWT等進行對比區(qū)別說明。 在后續(xù)中會對Identity Server4中常用術語說明�,多種授權模式���,數(shù)據(jù)庫持久化以及UI界面優(yōu)化和常見問題,搭建一個完整可用的認證授權項目�。 如果有不對的或不理解的地方,希望大家可以多多指正���,提出問題���,一起討論,不斷學習,共同進步���。
|
