示例#1
0
        public static void SetOIDC(IServiceCollection services, IdentityOption identityOption)
        {
            /* 简单来说:OIDC 是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议
             * iss = Issuer Identifier:必须。提供认证信息者的唯一标识。一般是一个https的url(不包含querystring和fragment部分)。
             * sub = Subject Identifier:必须。iss提供的EU的标识,在iss范围内唯一。它会被RP用来标识唯一的用户。最长为255个ASCII个字符。
             * aud = Audience(s):必须。标识ID Token的受众。必须包含OAuth2的client_id。
             * exp = Expiration time:必须。过期时间,超过此时间的ID Token会作废不再被验证通过。
             * iat = Issued At Time:必须。JWT的构建的时间。
             * auth_time = AuthenticationTime:EU完成认证的时间。如果RP发送AuthN请求的时候携带max_age的参数,则此Claim是必须的。
             * nonce:RP发送请求的时候提供的随机字符串,用来减缓重放攻击,也可以来关联ID Token和RP本身的Session信息。
             * acr = Authentication Context Class Reference:可选。表示一个认证上下文引用值,可以用来标识认证上下文类。
             * amr = Authentication Methods References:可选。表示一组认证方法。
             * azp = Authorized party:可选。结合aud使用。只有在被认证的一方和受众(aud)不一致时才使用此值,一般情况下很少使用。
             */
            var apiResources = new List <ApiResource>
            {
                //给api资源定义Scopes 必须与 Client 的 AllowedScopes 对应上,不然显示 invalid_scope
                new ApiResource(identityOption.Scope, identityOption.Scope)
            };
            Collection <Secret> clientSecrets = new Collection <Secret>()
            {
                new Secret(identityOption.Secret.Sha256())
            };

            services.AddIdentityServer()
            .AddSigningCredential(GetRsaSecurityKey())
            //.AddDeveloperSigningCredential()//设置RSA的加密证书(注意:默认是使用临时证书的,就是AddTemporarySigningCredential(),无论如何不应该使用临时证书,因为每次重启授权服务,就会重新生成新的临时证书),RSA加密证书长度要2048以上,否则服务运行会抛异常
            .AddInMemoryApiResources(apiResources)   //添加api资源
            .AddInMemoryClients(new List <Client> {
                new Client {
                    ClientId            = identityOption.ClientId,
                    AllowedGrantTypes   = GrantTypes.Implicit,
                    ClientSecrets       = clientSecrets,
                    AccessTokenLifetime = identityOption.ExpiresIn,
                    ClientName          = identityOption.ClientName,
                    // where to redirect to after login
                    RedirectUris = { identityOption.RedirectUri },   //登录成功后定向地址
                    // where to redirect to after logout
                    PostLogoutRedirectUris = { identityOption.LogoutRedirectUri },
                    AllowedScopes          = new List <string>
                    {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile
                    }
                }
            }
                                )
            .AddResourceOwnerValidator <ResourceOwnerPasswordValidator>();
        }
示例#2
0
        /// <summary>
        /// 生成一个新的 Token
        /// </summary>
        /// <param name="option">身份配置信息,生成Token所需要的信息</param>
        /// <param name="claims">用户信息实体</param>
        /// <returns></returns>
        private JsonResult CreateToken(IdentityOption option, Claim[] claims)
        {
            #region Claim
            // var claims = new Claim[]
            //{

            //     new Claim(JwtRegisteredClaimNames.Aud, _options.Audience),
            //     new Claim(JwtRegisteredClaimNames.Sid, username),
            //     new Claim(JwtRegisteredClaimNames.Sub, username),
            //     new Claim(JwtRegisteredClaimNames.Exp, _options.ExpiresIn.ToString()),
            //     new Claim(JwtRegisteredClaimNames.AuthTime, DateTime.Now.ToString()),
            //     new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
            //     new Claim(JwtRegisteredClaimNames.Iat, _options.Issued.ToString(), ClaimValueTypes.Integer64),//发行时间
            //     //用户名
            //     new Claim("UserName","中国人民"),
            //     //角色
            //     new Claim("Role","我是角色"),
            //     new Claim("Country","中国"),
            //     new Claim("Expired",_options.ExpiresIn.ToString()),
            //     new Claim("Mobile","13556891160")
            //};
            #endregion
            var jwt = new JwtSecurityToken(
                issuer: option.Issuer,     // 发行者(颁发机构)
                audience: option.Audience, //订阅人 , 令牌的观众(颁发给谁)
                claims: claims,
                notBefore: DateTime.UtcNow,
                expires: option.ExpiresTime,
                signingCredentials: option.SigningCredentials);
            var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);

            var token = new
            {
                access_token = encodedJwt,
                token_type   = option.TokenType,
                expires_in   = option.ExpiresIn,                                   //过期时间(秒)
                expires_time = option.ExpiresTime.ToString("yyyy-MM-dd HH:mm:ss"), //过期时间(日期)
                claims       = claims
            };
            return(Json(token));
        }
示例#3
0
        //private readonly IConnectionMultiplexer _redis;

        public IdentityService(
            IOptions <IdentityOption> options,
            IHttpContextAccessor httpContextAccessor,
            UserManager <User> userManager,
            SignInManager <User> signInManager,
            IPasswordHasher <User> passwordHasher,
            ICoreUnitOfWork uow,
            IEnumerable <IUserInfoService> userInfoServices,
            IDistributedCache cache,
            //IConnectionMultiplexer redis,
            IWorkContext workContext)
        {
            _options             = options.Value;
            _httpContextAccessor = httpContextAccessor;
            _userManager         = userManager;
            _signInManager       = signInManager;
            _passwordHasher      = passwordHasher;
            _uow = uow;
            _userInfoServices = userInfoServices;
            _cache            = cache;
            _workContext      = workContext;
            //_redis = redis;
        }
示例#4
0
        /// <summary>
        /// 注入服务
        /// </summary>
        /// <param name="services">IServiceCollection</param>
        /// <param name="Configuration">IConfiguration</param>
        public static void AddServiceSingleton(this IServiceCollection services, IConfiguration Configuration)
        {
            services.Configure <IdentityOption>(Configuration.GetSection("IdentityOption"));
            //var identityConfigurationSection = Configuration.GetSection("IdentityOption");
            // 添加服务设置实例配置
            var identity = Configuration.GetSection("IdentityOption");

            #region 【读取配置】
            var            symmetricKeyAsBase64 = Configuration["IdentityOption:Secret"];
            var            keyByteArray         = Encoding.ASCII.GetBytes(symmetricKeyAsBase64);
            var            signingKey           = new SymmetricSecurityKey(keyByteArray);
            var            signingCredentials   = new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256);
            IdentityOption identityOption       = new IdentityOption
            {
                Secret             = Configuration["IdentityOption:Secret"],                     //密钥
                Issuer             = Configuration["IdentityOption:Issuer"],                     //发行者
                Audience           = Configuration["IdentityOption:Audience"],                   //令牌的观众
                TokenType          = Configuration["IdentityOption:TokenType"],                  //表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
                Scope              = Configuration["IdentityOption:Scope"],                      //表示权限范围,如果与客户端申请的范围一致,此项可省略
                Subject            = Configuration["IdentityOption:Subject"],                    //主题
                ExpiresIn          = Convert.ToInt32(Configuration["IdentityOption:ExpiresIn"]), //表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
                ClientId           = Configuration["IdentityOption:ClientId"],                   //表示客户端的ID,必选项
                ResponseType       = Configuration["IdentityOption:ResponseType"],               //表示授权类型,必选项,此处的值固定为"code"
                RedirectUri        = Configuration["IdentityOption:RedirectUri"],
                State              = Configuration["IdentityOption:State"],                      //表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
                SigningCredentials = signingCredentials
            };
            #endregion
            #region 【客户端模式】【密码模式】
            LicensingMode.SetResourceOwnerPasswordAndClientCredentials(services, identityOption);
            #endregion
            #region JWT JwtRegisteredClaimNames 方式 直接读取配置文件信息,初始化Token 需要验证的信息,如果不同在一台服务,则产生的Token与验证的Token的服务器验证信息与产生的信息要一致
            var            jwtKeyAsBase64        = Configuration["JWTTokenOption:Secret"];
            var            jwtKeyByteArray       = Encoding.ASCII.GetBytes(jwtKeyAsBase64);
            var            jwtSigningKey         = new SymmetricSecurityKey(jwtKeyByteArray);
            var            jwtSigningCredentials = new SigningCredentials(jwtSigningKey, SecurityAlgorithms.RsaSha256Signature);
            JWTTokenOption jwtOption             = new JWTTokenOption
            {
                Issuer             = Configuration["JWTTokenOption:Issuer"],                     //发行者
                Audience           = Configuration["JWTTokenOption:Audience"],                   //令牌的观众
                ExpiresIn          = Convert.ToInt32(Configuration["JWTTokenOption:ExpiresIn"]), //表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
                ClientId           = Configuration["JWTTokenOption:ClientId"],                   //表示客户端的ID,必选项
                SigningCredentials = jwtSigningCredentials
            };
            // 从文件读取密钥
            string keyDir = PlatformServices.Default.Application.ApplicationBasePath;
            if (RSAUtils.TryGetKeyParameters(keyDir, false, out RSAParameters keyParams) == false)
            {
                keyParams = RSAUtils.GenerateAndSaveKey(keyDir);
            }
            jwtOption.RsaSecurityKey = new RsaSecurityKey(keyParams);
            // 添加到 IoC 容器
            // services.SigningCredentials(_tokenOptions);


            var tokenValidationParameters = new TokenValidationParameters
            {
                #region  面三个参数是必须
                // 签名秘钥
                ValidateIssuerSigningKey = true,
                IssuerSigningKey         = jwtSigningKey,
                // 发行者(颁发机构)
                ValidateIssuer = true,
                ValidIssuer    = jwtOption.Issuer,
                // 令牌的观众(颁发给谁)
                ValidateAudience = true,
                ValidAudience    = jwtOption.Audience,
                #endregion
                // 是否验证Token有效期
                ValidateLifetime = true,
                ClockSkew        = TimeSpan.Zero //ClockSkew:允许的服务器时间偏移量,默认是5分钟,如果不设置,时间有效期间到了以后,5分钟之内还可以访问资源
                                                 /***********************************TokenValidationParameters的参数默认值***********************************/
                                                 // RequireSignedTokens = true,
                                                 // SaveSigninToken = false,
                                                 // ValidateActor = false,
                                                 // 将下面两个参数设置为false,可以不验证Issuer和Audience,但是不建议这样做。
                                                 // ValidateAudience = true,
                                                 // ValidateIssuer = true,
                                                 // ValidateIssuerSigningKey = false,
                                                 // 是否要求Token的Claims中必须包含Expires
                                                 // RequireExpirationTime = true,
                                                 // 允许的服务器时间偏移量
                                                 // ClockSkew = TimeSpan.FromSeconds(300),//TimeSpan.Zero
                                                 // 是否验证Token有效期,使用当前时间与Token的Claims中的NotBefore和Expires对比
                                                 // ValidateLifetime = true
            };
            services.AddAuthentication(options =>
            {
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme    = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(o =>
            {
                //不使用https
                //o.RequireHttpsMetadata = false;
                o.TokenValidationParameters = tokenValidationParameters;
            });
            #endregion

            #region 【密码模式 OIDC】和用户有关,一般用于第三方登录
            //services.AddAuthentication(options =>
            //{
            //    options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
            //    options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
            //    options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
            //})
            // .AddCookie()
            // .AddOpenIdConnect(o =>
            // {
            //     o.ClientId = "oidc.hybrid";
            //     o.ClientSecret = "secret";

            //    // 若不设置Authority,就必须指定MetadataAddress
            //    o.Authority = "https://oidc.faasx.com/";
            //    // 默认为Authority+".well-known/openid-configuration"
            //    //o.MetadataAddress = "https://oidc.faasx.com/.well-known/openid-configuration";
            //    o.RequireHttpsMetadata = false;

            //    // 使用混合流
            //    o.ResponseType = OpenIdConnectResponseType.CodeIdToken;
            //    // 是否将Tokens保存到AuthenticationProperties中
            //    o.SaveTokens = true;
            //    // 是否从UserInfoEndpoint获取Claims
            //    o.GetClaimsFromUserInfoEndpoint = true;
            //    // 在本示例中,使用的是IdentityServer,而它的ClaimType使用的是JwtClaimTypes。
            //    o.TokenValidationParameters.NameClaimType = "name"; //JwtClaimTypes.Name;

            //    // 以下参数均有对应的默认值,通常无需设置。
            //    //o.CallbackPath = new PathString("/signin-oidc");
            //    //o.SignedOutCallbackPath = new PathString("/signout-callback-oidc");
            //    //o.RemoteSignOutPath = new PathString("/signout-oidc");
            //    //o.Scope.Add("openid");
            //    //o.Scope.Add("profile");
            //    //o.ResponseMode = OpenIdConnectResponseMode.FormPost;

            //    /***********************************相关事件***********************************/
            //    // 未授权时,重定向到OIDC服务器时触发
            //    //o.Events.OnRedirectToIdentityProvider = context => Task.CompletedTask;

            //    // 获取到授权码时触发
            //    //o.Events.OnAuthorizationCodeReceived = context => Task.CompletedTask;
            //    // 接收到OIDC服务器返回的认证信息(包含Code, ID Token等)时触发
            //    //o.Events.OnMessageReceived = context => Task.CompletedTask;
            //    // 接收到TokenEndpoint返回的信息时触发
            //    //o.Events.OnTokenResponseReceived = context => Task.CompletedTask;
            //    // 验证Token时触发
            //    //o.Events.OnTokenValidated = context => Task.CompletedTask;
            //    // 接收到UserInfoEndpoint返回的信息时触发
            //    //o.Events.OnUserInformationReceived = context => Task.CompletedTask;
            //    // 出现异常时触发
            //    //o.Events.OnAuthenticationFailed = context => Task.CompletedTask;

            //    // 退出时,重定向到OIDC服务器时触发
            //    //o.Events.OnRedirectToIdentityProviderForSignOut = context => Task.CompletedTask;
            //    // OIDC服务器退出后,服务端回调时触发
            //    //o.Events.OnRemoteSignOut = context => Task.CompletedTask;
            //    // OIDC服务器退出后,客户端重定向时触发
            //    //o.Events.OnSignedOutCallbackRedirect = context => Task.CompletedTask;

            //});

            #endregion
            //注册简单的定时任务执行
            //services.AddSingleton<Microsoft.Extensions.Hosting.IHostedService, MainService>();
        }
示例#5
0
        /// <summary>
        /// 【客户端模式】【密码模式】
        /// </summary>
        /// <param name="services">IServiceCollection</param>
        /// <param name="identityOption">IdentityOption</param>
        public static void SetResourceOwnerPasswordAndClientCredentials(IServiceCollection services, IdentityOption identityOption)
        {
            #region 【客户端模式】【密码模式】

            /*
             * 【客户端模式】和用户无关,用于应用程序与 API 资源的直接交互场景,经常运用于服务器对服务器中间通讯使用。
             * 【密码模式】和用户有关,一般用于第三方登录
             */
            var apiResources = new List <ApiResource>
            {
                //给api资源定义Scopes 必须与 Client 的 AllowedScopes 对应上,不然显示 invalid_scope
                new ApiResource(identityOption.Scope, identityOption.Scope)
            };
            Collection <Secret> clientSecrets = new Collection <Secret>()
            {
                new Secret(identityOption.Secret.Sha256())
            };
            services.AddIdentityServer()
            .AddSigningCredential(GetRsaSecurityKey())
            //.AddDeveloperSigningCredential()//设置RSA的加密证书(注意:默认是使用临时证书的,就是AddTemporarySigningCredential(),无论如何不应该使用临时证书,因为每次重启授权服务,就会重新生成新的临时证书),RSA加密证书长度要2048以上,否则服务运行会抛异常
            .AddInMemoryApiResources(apiResources)   //添加api资源
            .AddInMemoryClients(new List <Client> {
                new Client {
                    ClientId            = identityOption.ClientId,
                    AllowedGrantTypes   = GrantTypes.ResourceOwnerPasswordAndClientCredentials,
                    ClientSecrets       = clientSecrets,
                    AccessTokenLifetime = identityOption.ExpiresIn,
                    AllowedScopes       = { identityOption.Scope }
                }
            }
                                )
            .AddResourceOwnerValidator <ResourceOwnerPasswordValidator>();
            #endregion
        }