1、開篇

首先明確一點(diǎn)，文章只是學(xué)習(xí)過程的筆記，參考目前網(wǎng)絡(luò)上的博客，主要便于自己加深理解，同時(shí)也督促自己持續(xù)學(xué)習(xí)，沒有其他目的。感謝網(wǎng)上資源的提供者。

IdentityServer是為ASP.NET Core2.x系列打造的一款基于OpenID Connect和OAnth2.0認(rèn)證框架。其特點(diǎn)或者說是用途有以下幾點(diǎn)：

認(rèn)證服務(wù)

可以為網(wǎng)站、本地應(yīng)用、移動(dòng)端、服務(wù)等做集中的登錄邏輯和工作流控制（未接觸）

單點(diǎn)登錄

在各種類型的應(yīng)用中實(shí)現(xiàn)單點(diǎn)登錄登出（SSO）

API訪問控制

為客戶端頒發(fā)access token，比如服務(wù)之間的通訊，網(wǎng)站應(yīng)用、本地應(yīng)用或者移動(dòng)應(yīng)用等

2、 專業(yè)術(shù)語

image

身份認(rèn)證服務(wù)器（IdentityServer）是基于OpenId Connect協(xié)議標(biāo)準(zhǔn)的身份認(rèn)證和授權(quán)程序，在軟件應(yīng)用中為客戶端頒發(fā)令牌并用于安全訪問。

可以實(shí)現(xiàn)的功能：

• 保護(hù)你的資源

• 使用本地賬戶或通過外部身份提供程序?qū)τ脩暨M(jìn)行身份驗(yàn)證

• 會(huì)話管理和單點(diǎn)登錄

• 管理和驗(yàn)證客戶機(jī)

• 向客戶發(fā)出標(biāo)識(shí)和訪問令牌

• 驗(yàn)證令牌

需要了解幾個(gè)專業(yè)術(shù)語：

用戶（User）

用戶是使用已注冊(cè)的客戶端（在IdentityServer中已經(jīng)注冊(cè)）訪問資源的人

客戶端（Client）

客戶端就是從IdentityServer請(qǐng)求令牌的軟件（可以簡單理解為一個(gè)app），既可以通過身份認(rèn)證領(lǐng)來來驗(yàn)證識(shí)別用戶身份，又可以通過授權(quán)令牌來訪問服務(wù)器的資源。但是客戶端首先必須在申請(qǐng)令牌前已經(jīng)在IdentityServer服務(wù)中注冊(cè)過。

客戶端可以是，web應(yīng)用程序、app或者桌面應(yīng)用程序，SPA，服務(wù)器進(jìn)程等

資源（Resources）

資源就是你想用IdentityServer保護(hù)的東西，可以是用戶的身份數(shù)據(jù)或者api資源

每個(gè)資源都有一個(gè)唯一的名稱，客戶端使用這個(gè)唯一的名稱來確定想訪問哪一個(gè)資源（在訪問之前，實(shí)際IdentityServer服務(wù)端已經(jīng)配置好了那個(gè)客戶端可以訪問哪個(gè)資源，所以你不必理解為客戶端只要指定名稱他們就可以隨便訪問任何一個(gè)資源）。

用戶的身份信息實(shí)際由一組claim組成，例如姓名或者郵件等都會(huì)包含在身份信息中（將來通過Identityserver校驗(yàn)后都會(huì)返回給被調(diào)用的客戶端）。

API資源及時(shí)客戶端需要調(diào)用的功能（通常以Json或者xml的形式返回給客戶端，例如webapi，webservice，wcf），這里我們習(xí)慣使用json形式，通過webapi來建立模型。

身份令牌（Identity Token）

身份令牌指的就是對(duì)認(rèn)證過程的描述。它標(biāo)識(shí)某個(gè)用戶的主要身份信息（claim）和該用戶的認(rèn)證時(shí)間和認(rèn)證方式。當(dāng)然也可以包含額外身份信息，根據(jù)開發(fā)具體情況而定。

訪問令牌（Access Token）

訪問令牌指的是客戶端訪問api資源?？蛻舳苏?qǐng)求訪問令牌，然后使用令牌來訪問api資源。 訪問令牌包含有關(guān)客戶端和用戶的信息（如果存在）。 API使用該信息來授權(quán)訪問其數(shù)據(jù)。

IdentityServer4 中文文檔與實(shí)戰(zhàn)

IdentityServer4 知多少