一、前言

上一篇我分享了一篇關(guān)于?Asp.Net Core 中IdentityServer4 授權(quán)中心之應(yīng)用實(shí)戰(zhàn)的文章，其中有不少博友給我提了問題，其中有一個(gè)博友問我的一個(gè)場景，我給他解答的還不夠完美，之后我經(jīng)過自己的學(xué)習(xí)查閱并閱讀了相關(guān)源代碼，發(fā)現(xiàn)?IdentityServer4?可以實(shí)現(xiàn)自定義GrantType?授權(quán)方式。

聲明：看這篇文章時(shí)如果你沒有閱讀我上一篇?Asp.Net Core 中IdentityServer4 授權(quán)中心之應(yīng)用實(shí)戰(zhàn)的文章，那請(qǐng)先點(diǎn)擊下面的鏈接移步閱讀，再來看這篇文章會(huì)更加清晰，感謝支持，感謝關(guān)注！

• Asp.Net Core 中IdentityServer4 授權(quán)中心之應(yīng)用實(shí)戰(zhàn)
  

二、場景模擬

上篇文章已經(jīng)把電商系統(tǒng)從單一網(wǎng)關(guān)架構(gòu)升級(jí)到多網(wǎng)關(guān)架構(gòu)，架構(gòu)圖如下：

然而上面的授權(quán)中心?使用的是密碼授權(quán)模式，但是對(duì)于微信小程序、微信公眾號(hào)商城端使用的授權(quán)還不是很合適；?微信小程序和微信公眾號(hào)微商城客戶端的場景如下：用戶訪問小程序商城或者微信公眾號(hào)商城后會(huì)到微信服務(wù)端獲得授權(quán)拿到相關(guān)的用戶openId、unionId、userName?等相關(guān)信息，再攜帶openId、unionId、userName等信息訪問授權(quán)中心網(wǎng)關(guān)，進(jìn)行授權(quán)，如果不存在則自動(dòng)注冊(cè)用戶，如果存在則登錄授權(quán)成功等操作。那這個(gè)場景后我該如何改造授權(quán)中心服務(wù)網(wǎng)關(guān)呢？經(jīng)過研究和探討，我把上面的架構(gòu)圖細(xì)化成如下的網(wǎng)關(guān)架構(gòu)圖：

三、授權(quán)中心改造升級(jí)

通過上面的需求場景分析，我們目前的授權(quán)中心還不滿足這種需求，故我們可以通過IdentityServer4?自定義授權(quán)方式進(jìn)行改造升級(jí)來滿足上面的場景需求。

經(jīng)過查看源代碼我發(fā)現(xiàn)我們可以通過實(shí)現(xiàn)IExtensionGrantValidator抽象接口進(jìn)行自定義授權(quán)方式來實(shí)現(xiàn)，并且實(shí)現(xiàn)ValidateAsync?方法， 現(xiàn)在我在之前的解決方案授權(quán)中心項(xiàng)目中新增WeiXinOpenGrantValidator類代碼如下：

public class WeiXinOpenGrantValidator : IExtensionGrantValidator {public string GrantType => GrantTypeConstants.ResourceWeixinOpen;public async Task ValidateAsync(ExtensionGrantValidationContext context){try{#region 參數(shù)獲取var openId = context.Request.Raw[ParamConstants.OpenId];var unionId = context.Request.Raw[ParamConstants.UnionId];var userName = context.Request.Raw[ParamConstants.UserName];#endregion#region 通過openId和unionId 參數(shù)來進(jìn)行數(shù)據(jù)庫的相關(guān)驗(yàn)證var claimList = await ValidateUserAsync(openId, unionId);#endregion#region 授權(quán)通過//授權(quán)通過返回context.Result = new GrantValidationResult(subject: openId,authenticationMethod: "custom",claims: claimList.ToArray());#endregion}catch (Exception ex){context.Result = new GrantValidationResult(){IsError = true,Error = ex.Message};}}#region Private Method/// <summary>/// 驗(yàn)證用戶/// </summary>/// <param name="loginName"></param>/// <param name="password"></param>/// <returns></returns>private async Task<List<Claim>> ValidateUserAsync(string openId, string unionId){//TODO 這里可以通過openId 和unionId 來查詢用戶信息(數(shù)據(jù)庫查詢)，//我這里為了方便測試還是直接寫測試的openId 相關(guān)信息用戶var user = OAuthMemoryData.GetWeiXinOpenIdTestUsers();if (user == null){//注冊(cè)用戶}return new List<Claim>(){new Claim(ClaimTypes.Name, $"{openId}"),};}#endregion}

GrantTypeConstants?代碼是靜態(tài)類,主要用于定義GrantType的自定義授權(quán)類型，可能后續(xù)還有更多的自定義授權(quán)方式所以，統(tǒng)一放這里面進(jìn)行管理，方便維護(hù)，代碼如下：

public static class GrantTypeConstants{/// <summary>/// GrantType - 微信端授權(quán)/// </summary>public const string ResourceWeixinOpen = "weixinopen";}

ParamConstants?類主要是定義自定義授權(quán)需要的參數(shù)，代碼如下：

public class ParamConstants {public const string OpenId = "openid";public const string UnionId = "unionid";public const string UserName = "user_name"; }

好了上面的自定義驗(yàn)證器已經(jīng)實(shí)現(xiàn)了，但是還不夠，我們還需要讓客戶端支持自定義的授權(quán)類型，我們打開OAuthMemoryData代碼中的GetClients,代碼如下：

public static IEnumerable<Client> GetClients() {return new List<Client>{new Client(){ClientId =OAuthConfig.UserApi.ClientId,AllowedGrantTypes = new List<string>(){GrantTypes.ResourceOwnerPassword.FirstOrDefault(),//Resource Owner Password模式GrantTypeConstants.ResourceWeixinOpen,//新增的自定義微信客戶端的授權(quán)模式},ClientSecrets = {new Secret(OAuthConfig.UserApi.Secret.Sha256()) },AllowedScopes= {OAuthConfig.UserApi.ApiName},AccessTokenLifetime = OAuthConfig.ExpireIn,},}; }

客戶端AllowedGrantTypes?配置新增了我剛剛自定義的授權(quán)方式GrantTypeConstants.ResourceWeixinOpen, 現(xiàn)在客戶端的支持也已經(jīng)配置好了，最后我們需要通過AddExtensionGrantValidator<>擴(kuò)展方法把自定義授權(quán)驗(yàn)證器注冊(cè)到DI中，代碼如下：

public void ConfigureServices(IServiceCollection services) {services.AddControllers();#region 數(shù)據(jù)庫存儲(chǔ)方式services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryApiResources(OAuthMemoryData.GetApiResources())//.AddInMemoryClients(OAuthMemoryData.GetClients()).AddClientStore<ClientStore>().AddResourceOwnerValidator<ResourceOwnerPasswordValidator>().AddExtensionGrantValidator<WeiXinOpenGrantValidator>();#endregion}

好了，簡單的授權(quán)中心代碼升級(jí)已經(jīng)完成，我們分別通過命令行運(yùn)行授權(quán)中心和用戶業(yè)務(wù)網(wǎng)關(guān)?，之前的用戶業(yè)務(wù)網(wǎng)關(guān)無需改動(dòng)任何代碼，運(yùn)行圖分別如下：

Jlion.NetCore.Identity.Server 授權(quán)中心運(yùn)行如下：

Jlion.NetCore.Identity.UserApiServer 用戶業(yè)務(wù)網(wǎng)關(guān)運(yùn)行如下

我們現(xiàn)在用postman模擬openId、unionId、userName參數(shù)來請(qǐng)求授權(quán)中心獲得AccessToken，請(qǐng)求如下：

我們?cè)偻ㄟ^postman 攜帶授權(quán)信息訪問用戶業(yè)務(wù)網(wǎng)關(guān)數(shù)據(jù)，結(jié)果圖如下：

好了，自定義授權(quán)模式已經(jīng)完成，簡單的授權(quán)中心也已經(jīng)升級(jí)完成，上面WeiXinOpenGrantValidator驗(yàn)證器中我沒有直接走數(shù)據(jù)庫方式進(jìn)行驗(yàn)證和注冊(cè)，簡單的寫了個(gè)Demo ，大家有興趣可以 把TODO那一塊數(shù)據(jù)庫的操作去實(shí)現(xiàn)，代碼我已經(jīng)提交到 github上了，這里再次分享下我博客同步實(shí)戰(zhàn)的demo 地址 https://github.com/a312586670/IdentityServerDemo

四、思考與總結(jié)

本篇我介紹了自定義授權(quán)方式，通過查看源代碼及查閱資料學(xué)習(xí)了IdentityServer4?可以通過自定義授權(quán)方式進(jìn)行擴(kuò)展。這樣授權(quán)中心可以擴(kuò)展多套授權(quán)方式，比如今天所分享的 自定義微信openId 授權(quán)、短信驗(yàn)證碼授權(quán)等其他自定義授權(quán)，一套Api資源可以兼并多套授權(quán)模式，靈活擴(kuò)展，靈活升級(jí)。本篇涉及的知識(shí)點(diǎn)不多，但是非常重要，因?yàn)槲覀冊(cè)谑褂檬跈?quán)中心統(tǒng)一身份認(rèn)證時(shí)經(jīng)常會(huì)遇到多種認(rèn)證方式的結(jié)合，和多套不同應(yīng)用用戶的使用，在掌握了授權(quán)原理后，就能在不同的授權(quán)方式中切換的游刃有余，到這里有的博友會(huì)問AccentToken?有過期時(shí)間，會(huì)過期怎么辦？難道要重新授權(quán)一次嗎？這些問題我會(huì)安排下一篇文章分享。

靈魂一問：

上面的授權(quán)中心?例子主要是為了讓大家更好的理解自定義授權(quán)的使用場景及它的靈活性，真實(shí)的場景這樣直接把?openId等相關(guān)信息來驗(yàn)證授權(quán)安全嗎？大家可以思考下，如果不安全大家又有什么好的解決方案呢？自我提升在于不停的自我思考，大家可以敬請(qǐng)的發(fā)揮自己的思考，把解決方案留在留言板中，以供大家參考學(xué)習(xí)，感謝！！！

如果覺得對(duì)你有用，希望幫忙點(diǎn)下右下角星星，寫文章、寫代碼都不容易。鼓勵(lì)下堅(jiān)持寫文章的動(dòng)力！

總結(jié)

以上是生活随笔為你收集整理的Asp.Net Core 中IdentityServer4 授权中心之自定义授权模式的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。