一、前言

上一篇我分享了一篇關(guān)于 Asp.Net Core 中IdentityServer4 授權(quán)中心之應(yīng)用實(shí)戰(zhàn) 的文章，其中有不少博友給我提了問(wèn)題，其中有一個(gè)博友問(wèn)我的一個(gè)場(chǎng)景，我給他解答的還不夠完美，之后我經(jīng)過(guò)自己的學(xué)習(xí)查閱并閱讀了相關(guān)源代碼，發(fā)現(xiàn) IdentityServer4 可以實(shí)現(xiàn)自定義GrantType 授權(quán)方式。

聲明：看這篇文章時(shí)如果你沒(méi)有閱讀我上一篇 Asp.Net Core 中IdentityServer4 授權(quán)中心之應(yīng)用實(shí)戰(zhàn) 的文章，那請(qǐng)先移步看上面的文章，再來(lái)看這篇文章會(huì)更加清晰，感謝支持，感謝關(guān)注！

二、場(chǎng)景模擬

上篇文章已經(jīng)把電商系統(tǒng)從單一網(wǎng)關(guān)架構(gòu)升級(jí)到多網(wǎng)關(guān)架構(gòu)，架構(gòu)圖如下：

然而上面的授權(quán)中心 使用的是密碼授權(quán)模式，但是對(duì)于微信小程序、微信公眾號(hào)商城端使用的授權(quán)還不是很合適； 微信小程序和微信公眾號(hào)微商城客戶端的場(chǎng)景如下： 用戶訪問(wèn)小程序商城或者微信公眾號(hào)商城后會(huì)到微信服務(wù)端獲得授權(quán)拿到相關(guān)的用戶openId、unionId、userName 等相關(guān)信息，再攜帶openId、unionId、userName等信息訪問(wèn)授權(quán)中心網(wǎng)關(guān)，進(jìn)行授權(quán)，如果不存在則自動(dòng)注冊(cè)用戶，如果存在則登錄授權(quán)成功等操作。那這個(gè)場(chǎng)景后我該如何改造授權(quán)中心服務(wù)網(wǎng)關(guān)呢？經(jīng)過(guò)研究和探討，我把上面的架構(gòu)圖細(xì)化成如下的網(wǎng)關(guān)架構(gòu)圖：

三、授權(quán)中心改造升級(jí)

通過(guò)上面的需求場(chǎng)景分析，我們目前的授權(quán)中心還不夠這種需求，故我們可以通過(guò)IdentityServer4 自定義授權(quán)方式進(jìn)行改造升級(jí)來(lái)滿足上面的場(chǎng)景需求。

經(jīng)過(guò)查看源代碼我發(fā)現(xiàn)我們可以通過(guò)實(shí)現(xiàn)IExtensionGrantValidator抽象接口進(jìn)行自定義授權(quán)方式來(lái)實(shí)現(xiàn)，并且實(shí)現(xiàn)ValidateAsync 方法， 現(xiàn)在我在之前的解決方案授權(quán)中心項(xiàng)目中新增WeiXinOpenGrantValidator類代碼如下：

public class WeiXinOpenGrantValidator : IExtensionGrantValidator {public string GrantType => GrantTypeConstants.ResourceWeixinOpen;public async Task ValidateAsync(ExtensionGrantValidationContext context){try{#region 參數(shù)獲取var openId = context.Request.Raw[ParamConstants.OpenId];var unionId = context.Request.Raw[ParamConstants.UnionId];var userName = context.Request.Raw[ParamConstants.UserName];#endregion#region 通過(guò)openId和unionId 參數(shù)來(lái)進(jìn)行數(shù)據(jù)庫(kù)的相關(guān)驗(yàn)證var claimList = await ValidateUserAsync(openId, unionId);#endregion#region 授權(quán)通過(guò)//授權(quán)通過(guò)返回context.Result = new GrantValidationResult(subject: openId,authenticationMethod: "custom",claims: claimList.ToArray());#endregion}catch (Exception ex){context.Result = new GrantValidationResult(){IsError = true,Error = ex.Message};}}#region Private Method/// <summary>/// 驗(yàn)證用戶/// </summary>/// <param name="loginName"></param>/// <param name="password"></param>/// <returns></returns>private async Task<List<Claim>> ValidateUserAsync(string openId, string unionId){//TODO 這里可以通過(guò)openId 和unionId 來(lái)查詢用戶信息(數(shù)據(jù)庫(kù)查詢)，//我這里為了方便測(cè)試還是直接寫測(cè)試的openId 相關(guān)信息用戶var user = OAuthMemoryData.GetWeiXinOpenIdTestUsers();if (user == null){//注冊(cè)用戶}return new List<Claim>(){new Claim(ClaimTypes.Name, $"{openId}"),};}#endregion}

GrantTypeConstants 代碼是靜態(tài)類,主要用于定義GrantType的自定義授權(quán)類型，可能后續(xù)還有更多的自定義授權(quán)方式所以，統(tǒng)一放這里面進(jìn)行管理，方便維護(hù)，代碼如下：

public static class GrantTypeConstants{/// <summary>/// GrantType - 微信端授權(quán)/// </summary>public const string ResourceWeixinOpen = "weixinopen";}

ParamConstants 類主要是定義自定義授權(quán)需要的參數(shù)，代碼如下：

public class ParamConstants {public const string OpenId = "openid";public const string UnionId = "unionid";public const string UserName = "user_name"; }

好了上面得自定義驗(yàn)證器已經(jīng)實(shí)現(xiàn)了，但是還不夠，我們還需要讓客戶端支持自定義的授權(quán)類型，我們打開OAuthMemoryData代碼中的GetClients,代碼如下：

public static IEnumerable<Client> GetClients() {return new List<Client>{new Client(){ClientId =OAuthConfig.UserApi.ClientId,AllowedGrantTypes = new List<string>(){GrantTypes.ResourceOwnerPassword.FirstOrDefault(),//Resource Owner Password模式GrantTypeConstants.ResourceWeixinOpen,//新增的自定義微信客戶端的授權(quán)模式},ClientSecrets = {new Secret(OAuthConfig.UserApi.Secret.Sha256()) },AllowedScopes= {OAuthConfig.UserApi.ApiName},AccessTokenLifetime = OAuthConfig.ExpireIn,},}; }

客戶端AllowedGrantTypes 配置新增了我剛剛自定義的授權(quán)方式GrantTypeConstants.ResourceWeixinOpen, 現(xiàn)在客戶端的支持也已經(jīng)配置好了，最后我們需要通過(guò)AddExtensionGrantValidator<>擴(kuò)展方法把自定義授權(quán)驗(yàn)證器注冊(cè)到DI中，代碼如下：

public void ConfigureServices(IServiceCollection services) {services.AddControllers();#region 數(shù)據(jù)庫(kù)存儲(chǔ)方式services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryApiResources(OAuthMemoryData.GetApiResources())//.AddInMemoryClients(OAuthMemoryData.GetClients()).AddClientStore<ClientStore>().AddResourceOwnerValidator<ResourceOwnerPasswordValidator>().AddExtensionGrantValidator<WeiXinOpenGrantValidator>();#endregion}

好了，簡(jiǎn)單的授權(quán)中心代碼升級(jí)已經(jīng)完成，我們分別通過(guò)命令行運(yùn)行授權(quán)中心和用戶業(yè)務(wù)網(wǎng)關(guān) ，之前的用戶業(yè)務(wù)網(wǎng)關(guān)無(wú)需改動(dòng)任何代碼，運(yùn)行圖分別如下：

Jlion.NetCore.Identity.Server 授權(quán)中心運(yùn)行如下

Jlion.NetCore.Identity.UserApiServer 用戶業(yè)務(wù)網(wǎng)關(guān)運(yùn)行如下

我們現(xiàn)在用postman模擬openId、unionId、userName參數(shù)來(lái)請(qǐng)求授權(quán)中心獲得AccessToken，請(qǐng)求如下：

我們?cè)偻ㄟ^(guò)postman 攜帶授權(quán)信息訪問(wèn)用戶業(yè)務(wù)網(wǎng)關(guān)數(shù)據(jù)，結(jié)果圖如下：

好了，自定義授權(quán)模式已經(jīng)完成，簡(jiǎn)單的授權(quán)中心也已經(jīng)升級(jí)完成，上面WeiXinOpenGrantValidator驗(yàn)證器中我沒(méi)有直接走數(shù)據(jù)庫(kù)方式進(jìn)行驗(yàn)證和注冊(cè)，簡(jiǎn)單的寫了個(gè)Demo ，大家有興趣可以 把TODO那一快數(shù)據(jù)庫(kù)的操作去實(shí)現(xiàn)，代碼我已經(jīng)提交到 github上了，這里再次分享下我博客同步實(shí)戰(zhàn)的demo 地址 https://github.com/a312586670/IdentityServerDemo

四、思考與總結(jié)

本篇我介紹了自定義授權(quán)方式，通過(guò)查看源代碼及查閱資料學(xué)習(xí)了IdentityServer4 可以通過(guò)自定義授權(quán)方式進(jìn)行擴(kuò)展。這樣授權(quán)中心可以擴(kuò)展多套授權(quán)方式，比如今天所分享的 自定義微信openId 授權(quán)、短信驗(yàn)證碼授權(quán)等其他自定義授權(quán)，一套Api資源可以兼并多套授權(quán)模式，靈活擴(kuò)展，靈活升級(jí)。本篇涉及的知識(shí)點(diǎn)不多，但是非常重要，因?yàn)槲覀冊(cè)谑褂檬跈?quán)中心統(tǒng)一身份認(rèn)證時(shí)經(jīng)常會(huì)遇到多種認(rèn)證方式的結(jié)合，和多套不同應(yīng)用用戶的使用，在掌握了授權(quán)原理后，就能在不同的授權(quán)方式中切換的游刃有余，到這里有的博友會(huì)問(wèn)AccentToken 有過(guò)期時(shí)間，會(huì)過(guò)期怎么辦？難道要重新授權(quán)一次嗎？這些問(wèn)題我會(huì)安排下一篇文章分享。

靈魂一問(wèn)：

上面的授權(quán)中心 例子主要是為了讓大家更好的理解自定義授權(quán)的使用場(chǎng)景及它的靈活性，真實(shí)的場(chǎng)景這樣直接把 openId等相關(guān)信息來(lái)驗(yàn)證授權(quán)是不安全的，也是不建議的。大家可以思考下為什么不安全？那么要解決這個(gè)安全問(wèn)題大家又有什么好的解決方案呢？自我提升在于不停的自我思考，大家可以敬請(qǐng)的把自己想到的解決方案留在下面，以供大家參考學(xué)習(xí)，感謝！！！

歡迎大家微信掃碼關(guān)注【dotNET博士】公眾號(hào)

dotNET博士

總結(jié)

以上是生活随笔為你收集整理的.net授权获取openid_Asp.Net Core 中IdentityServer4 授权中心之自定义授权的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。