一.前言

本文為系列補坑之作，拖了許久決定先把坑填完。

下文演示所用代碼采用的 IdentityServer4 版本為 2.3.0，由于時間推移可能以后的版本會有一些改動，請參考查看，文末附上Demo代碼。

本文所訴Token如無特殊說明皆為 JWT Token。

眾所周知 JWT Token 由三部分組成，第一部分 Header，包含 keyid、簽名算法、Token類型；第二部分 Payload 包含 Token 的信息主體，如授權時間、過期時間、頒發者、身份唯一標識等等；第三部分是Token的簽名。我們對一個 Token 進行解碼，觀察其中 Payload 部分，你將會發現一個 "iss" 字段，那么它代表什么呢，它又有什么作用呢，請看后文分解。

二. Issuer 的前世今生

iss 是 OpenId Connect（后文簡稱OIDC）協議中定義的一個字段，其全稱為 “Issuer Identifier”，中文意思就是：頒發者身份標識，表示 Token 頒發者的唯一標識，一般是一個 http(s) url，如?https://www.baidu.com。

在 Token 的驗證過程中，會將它作為驗證的一個階段，如無法匹配將會造成驗證失敗，最后返回 HTTP 401。

三. Issuer 的驗證流程分析

JWT的驗證是去中心化的驗證，實際這個驗證過程是發生在API資源的，除了必要的從 IdentityServer4 獲取元數據（獲取后會緩存，不用重復獲取）比如獲取公鑰用于驗證簽名，是不會再去交互的（詳細介紹：https://www.cnblogs.com/stulzq/p/9226059.html）。那么我們就從 API 資源作為入口開始分析。

我們在 API 資源的配置認證的代碼如下：

一個攜帶 Token 的請求從認證中間件到最終驗證 Issuer 的邏輯如下圖（懶得畫流程圖了，直接做個gif）。請看原文

最終驗證 Issuer 的代碼：

由源碼分析可以獲得幾個結論：

1.驗證 Token 必定會驗證 Issuer，如果 Issuer 驗證失敗，那么表示則整個 Token 的驗證結果就是失敗。

Issuer 默認從 IdentityServer4 的 Discovery Endpoint（/.well-known/openid-configuration）獲取Issuer

3.Issuer 可以自定義，并且可以設置一個列表，如果手動設置了會覆蓋默認值

4.Issuer 驗證邏輯默認只驗證是否相等，即 Token 攜帶的 Issuer 是否與 設置的 Issuer 值相等。

5.Issuer 驗證邏輯可以自定義

6.Issuer 的驗證可以關閉

以上設置如無特殊需求直接使用默認值即可，不需要額外設置。

關于以上結論的在代碼（API資源）中的實現：

四.如何設置 Token 的 Issuer

第三節講的是 Issuer 驗證時有效 Issuer 的設置，本節講的是 設置 Token 的 Issuer，Token攜帶的 Issuer 與API資源設置的有效 Issuer 進行驗證匹配完成整個流程，這里提一下，避免搞混。

設置 Token 的 Issuer 需要在 IdentityServer4 設置。在 Startup 里中設置：

services.AddIdentityServer(option=>option.IssuerUri="https://www.baidu.com")

此值必須是一個 http(s) url。

驗證是否生效：

1.訪問 Discovery Endpoint（/.well-known/openid-configuration）

2.對Token解碼，查看 iss 字段

如果在 IdentityServer4 設置此值，默認情況下所有API資源都會獲取此值作為默認有效Issuer。

如果你自定義了 Issuer，在使用 Client 訪問時會出現 Issuer 與 Authority 不匹配的錯誤，是因為Client在默認情況下作了限制，關閉即可：

var client = new HttpClient();var disco = await client.GetDiscoveryDocumentAsync(new DiscoveryDocumentRequest(){Address = "http://localhost:5000" ,Policy = new DiscoveryPolicy(){ValidateIssuerName = false}});

五.默認值問題

如果沒有手動設置 IdentityServer4 IssuerUri 值那么它默認會取你訪問 IdentityServer4 時的 Host，下面舉例說明。

首先修改 IdentityServer4 項目的監聽地址，使其能夠通過局域網IP訪問

然后分別通過 localhost 和 局域網ip 訪問 Discovery Endpoint，觀察 Issuer 的值：

localhost:

局域網IP：

看出差異了吧，這一點需要注意，下一節將會講一下這個引發的問題。

六.Issuer 默認值問題可能出現的場景及解決

這種情況一般出現在 IdentityServer4 經過了一層或多層代理，比如 Nginx反代、網關等，外網地址經過代理傳遞到了 IdentityServer4，如果直接通過外網請求的 Token Endpoint（/connect/token） 生成的 Token，那么這個 Token 攜帶的 iss 地址將會是外網地址（正常情況下，Host是會經過代理傳過來的，如果你不配置傳過來，那么就沒有這個問題，那么你的后端服務獲取的地址與預期肯定有差別，不推薦這種做法）。但是本地API資源（與IdentityServer4在同一臺服務器或者同一個局域網）與IdentityServer4交互的地址（Authority）肯定會配成localhost 或者是局域網地址（如果你這里配置成外網地址，那么你可以不繼續往下看了，內部交互還要走外部網絡嚴重不推薦甚至是禁止此種做法）。

上圖的架構即便是把 Gateway、IdentityServer、Basket服務（API資源）放在一臺機器上也是一樣的道理，都會出現這種情況，其原因就是如果 IdentityServer 不設置 Issuer，就會取你訪問IdentityServer時的Host作為Issuer，外網進來的Host地址和你內部交互的不一樣就造成了這個問題，解決辦法就是在 IdentityServer 手動指定一個 Issuer 即可解決（第四節），取消掉它的默認取Host的機制，不管你怎么訪問IdentityServer返回的Issuer都是一個地址。

七.結束

Demo:

https://github.com/stulzq/IdentityServer4.Samples/tree/master/Practice/03_Issuer

參考資料：

OIDC（OpenId Connect）身份認證授權（核心部分）?by blackheart.

原文地址：https://www.cnblogs.com/stulzq/p/10339024.html

.NET社區新聞，深度好文，歡迎訪問公眾號文章匯總 http://www.csharpkit.com

總結

以上是生活随笔為你收集整理的IdentityServer4实战 - JWT Token Issuer 详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。