当前位置：移动技术网 > IT编程>开发语言>.net > 从Client应用场景介绍IdentityServer4（二）

从Client应用场景介绍IdentityServer4（二）

2018年12月19日 | 移动技术网IT编程 | 我要评论

本节介绍client的clientcredentials客户端模式，先看下画的草图：

一、在server上添加动态新增client的api 接口。

为了方便测试，在server服务端中先添加swagger，添加流程可参考：

在valuescontroller控制器中注入configurationdbcontext上下文，此上下文可用来加载或配置identityserver4.entityframework的client、身份信息、api资源信息或cors数据等。

在valuescontroller中实添加以下代码：

        private configurationdbcontext _context;
        public valuescontroller(configurationdbcontext context)
        {
            _context = context;
        }

添加动态新增client的api接口：

        [httppost]
        public iactionresult post([frombody] identityserver4.entityframework.entities.client client)
        {
            var res = _context.clients.add(client);
            if(_context.savechanges() >0)
                return ok(true);
            else
                return ok(false);
        }

控制器代码如下：

二、对server上的api进行保护

（1）安装identityserver4.accesstokenvalidation包

（2）在startup.cs中configureservices方法添加如下代码：

            //protect api
            services.addmvccore()
            .addauthorization()
            .addjsonformatters();

            services.addauthentication("bearer")
                .addidentityserverauthentication(options =>
                {
                    options.authority = "http://localhost:5000";
                    options.requirehttpsmetadata = false;

                    options.apiname = "api1";
                });

addauthentication把bearer配置成默认模式，将身份认证服务添加到di中。

addidentityserverauthentication把identityserver的access token添加到di中，供身份认证服务使用。

（3）在startup.cs中configure方法添加如下代码：

      public void configure(iapplicationbuilder app, ihostingenvironment env)
        {
            //if (env.isdevelopment())
            //{
            //    app.usedeveloperexceptionpage();
            //}

            //addswagger
            app.useswagger();
            app.useswaggerui(c =>
            {
                c.swaggerendpoint("/swagger/v1/swagger.json", "server接口文档");
            });

            initializedatabase(app);
            app.useauthentication();
            app.useidentityserver();
            app.usemvc();
        }

useauthentication将身份验证中间件添加到管道中，以便在每次调用主机时自动执行身份验证。

（4）在valuescontroller控制器中添加[authorize]

（5）在项目属性->调试中，启动浏览器，并设成swagger，如图：

（6）启动项目，并调用第一个get接口。

显示unauthorized（未授权），证明[authorize]起作用了。

三、搭建client客户端

（1）新建一个控制台程序，安装identitymodel包。

（2）添加类idshelper.cs，添加客户端请求api接口代码。

public class idshelper
    {
        public static async task mainasync()
        {
            try
            {
                discoveryresponse disco = await discoveryclient.getasync("http://localhost:5000");
                if (disco.iserror)
                {
                    console.writeline(disco.error);
                    return;
                }

                tokenclient tokenclient = new tokenclient(disco.tokenendpoint, "client", "secret");
                var tokenresponse = await tokenclient.requestclientcredentialsasync("api1");

                if (tokenresponse.iserror)
                {
                    console.writeline(tokenresponse.error);
                    return;
                }
                console.writeline(tokenresponse.json);
                var client = new httpclient();
                client.setbearertoken(tokenresponse.accesstoken);
                var response = await client.getasync("http://localhost:5000/api/values/");
                if (!response.issuccessstatuscode)
                {
                    console.writeline(response.statuscode);
                }
                else
                {
                    var content = await response.content.readasstringasync();
                    console.writeline(content);
                }
            }
            catch (exception ex)
            {

            }
        }
}

（3）修改program.cs代码，如下：

class program
    {
        static void main(string[] args)
       => idshelper.mainasync().getawaiter().getresult();
    }

（4）按ctrl+f5，可以获取到access token和接口返回值

复制token，用postman调用，成功获取到了接口返回值。

四、测试动态新增client接口

安装identityserver4包。

安装identityserver4.entityframework包。

在idshelper.cs类中添加post方法：

public static async task post()
        {
            try
            {
                discoveryresponse disco = await discoveryclient.getasync("http://localhost:5000");
                if (disco.iserror)
                {
                    console.writeline(disco.error);
                    return;
                }

                tokenclient tokenclient = new tokenclient(disco.tokenendpoint, "client", "secret");
                var tokenresponse = await tokenclient.requestclientcredentialsasync("api1");

                if (tokenresponse.iserror)
                {
                    console.writeline(tokenresponse.error);
                    return;
                }
                console.writeline(tokenresponse.json);
                var client = new httpclient();
                client.setbearertoken(tokenresponse.accesstoken);

                client c1 = new client
                {
                    clientid = "test",
                    allowedgranttypes = granttypes.clientcredentials,
                    clientsecrets =
                    {
                        new secret("secret".sha256())
                    },
                    allowedscopes = { "api1" }
                };
                string strjson = jsonconvert.serializeobject(c1 .toentity());
                httpcontent content = new stringcontent(strjson);
                content.headers.contenttype = new system.net.http.headers.mediatypeheadervalue("application/json");
                //由httpclient发出post请求
                task<httpresponsemessage> response = client.postasync("http://localhost:5000/api/values/", content);

                if (response.result.statuscode != system.net.httpstatuscode.ok)
                {
                    console.writeline(response.result.statuscode);
                }
                else
                {
                    console.writeline(response.result.content.readasstringasync().result);
                }
            }
            catch (exception ex)
            {

            }
        }

顺便把main中改成对post调用：

static void main(string[] args)

       => idshelper.post().getawaiter().getresult();

按ctrl+f5，调用新增client的接口，并成功返回true。

同时可以在数据库中的client表找到相关记录。需要注意的是，不能添加相同client id的client。

五、在client中添加claim信息，并在api接口中对claim信息进行验证。

关于claim的介绍可以看这篇文章：

这里把claim简单当做用户的身份信息使用，修改post方法里面的client：

                client c1 = new client
                {
                    clientid = "superadmin",
                    allowedgranttypes = granttypes.clientcredentials,
                    clientsecrets =
                    {
                        new secret("secret".sha256())
                    },
                    allowedscopes = { "api1" },
                    claims = new list<claim>
                    {
                        new claim(jwtclaimtypes.role, "admin")
                    }
                };

可以看出，claims为list，可以是很多个角色，这里只添加一个。

ctrl+f5，运行成功添加superadmin client。

现在，需要对server服务端的新增client接口进行claim身份验证，添加如下代码：

[authorize(roles ="admin")]

然后再客户端修改授权的账号为superadmin。

tokenclient tokenclient = new tokenclient(disco.tokenendpoint, "superadmin", "secret");

ctrl+f5运行

问题出现了，返回了forbidden，没有权限进行访问。

这时候我们上官网查阅了资料，发现在添加client的claim时候，identityserver entityframework会为claim的role添加一个默认前缀，为client_。所以，实际上它为client_role。

而服务端只能对role进行验证。

此时我们需要把claim的默认前缀去掉，设置为空clientclaimsprefix = "" 。

去掉server的role验证，添加形如下面代码的client。

client c1 = new client
                {
                    clientid = "adminclient",
                    allowedgranttypes = granttypes.clientcredentials,
                    clientsecrets =
                    {
                        new secret("secret".sha256())
                    },
                    allowedscopes = { "api1" },
                    claims = new list<claim>
                    {
                        new claim(jwtclaimtypes.role, "admin")
                    },
                    clientclaimsprefix = "" //把client_ 前缀去掉
                };

ctrl+f5，运行成功添加adminclient client，这次的是role为admin。

然后重新再server服务端加上[authorize(roles ="admin")]

同时修改验证账号为adminclient。

tokenclient tokenclient = new tokenclient(disco.tokenendpoint, "adminclient", "secret");

最后运行程序，成功地在[authorize(roles ="admin")]权限下访问并新增了client。

六、需要注意的问题

（1）新增client到数据库时候，这里需要接收identityserver4.entityframework.entities.client

而不是identityserver4.models.client，否则api接口在接收和转化client模型的时候会报错。

（2）此外，本节介绍的client的allowedgranttypes 都为 granttypes.clientcredentials，相应的，客户端请求是，需要用requestclientcredentialsasync方法。

最后再次提下，clientcredentials模式的适用场景：用于和用户无关，服务与服务之间直接交互访问资源。

server服务端源码地址：https://github.com/bingjian-zhu/server

client客户端源码地址：https://github.com/bingjian-zhu/client

文中如有错漏，欢迎指正。

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

带参数存储过程写法

create or replace package body PKG_CheckVehicleInfo is– ... [阅读全文]
mysql中如何实现 row_number分组求topN的功能

业务场景：从成绩表中，查询每门课程的top2的学生的所有信息建表语句：CREATE TABLE `subject... [阅读全文]
MySQL聚簇索引概念总结

MySQL聚簇索引聚簇索引定义聚簇索引就是每张表构建一个B+树，每一个节点都是一***页***,叶子节点存放的是... [阅读全文]
unity C#把指定时间转化成时间戳

今天又学到一种用C#把指定时间转化成时间戳比如今天的晚上八点DateTime today = new Date... [阅读全文]
SQLSERVER中RANK OVER(PARTITION BY)的用法

查询出每个班级成绩是第一名的同学SELECT * FROM (SELECT s.name,s.class,RAN... [阅读全文]
MySQL 按日期模拟查询

– 查询出付费的所有通道select channels, count(*) from t_auth_core_f... [阅读全文]
多表查询中对应关系的汇总规则

多表查询中对应关系的汇总规则多表查询连接方式决定多表连接结果的三个属性对应关系一对一多对多一对多多表查询通过不同... [阅读全文]
Kaspersky Endpoint Security 10 for Windows version 10.2.6.3733 is no longer supported

Kaspersky Endpoint Security 10 for Windows version 10.3.... [阅读全文]
case when 使用小结

1、等值转换2、范围转换3、行转列1、等值转换性别转换selectname as '名字',(case sex... [阅读全文]
C# TreeView实现从数据库中读取菜单并显示

一、效果图二、实现部分代码List<TreeNode> parent = new List<T... [阅读全文]

网友评论


验证码：