【实战 Ids4】║ 又一个项目迁移完成(MVC)

迎周一,腊月十九,小年倒计时

新年还有两周时间就要到了,学习可不能停,这几天一直在加班调休,周末也如此,不过也是趁着半夜凌晨的时间,继续迁移我的项目到IdentityServer4统一认证授权中心Blog.IdentityServer上,也是基本统一了,目前进度如下:

01、 前后端分离全家桶已经完成升级:Blog.Core为api,Blog.Admin为后台管理,Blog.Vue为前台信息展示已经全部搞定,具体的代码查看指定Github的分支即可,分支名基本都是Is4,Ids4等字样;

02、 Nuxt.tBug项目目前正在升级中,其实和Vue的前后端分离是一样的,都是使用的同一个组件框架oidc-client,这里就不多说了,如果真的差别大,我就单写一篇文章,否则直接看我的代码就行;

03、 ChristDDD MVC项目已经完成迁移,就是今天本文讲解的。

04、 WPF项目在进度种,到时候简单写个小Demo就行,我会在我的视频中,给大家讲解,预计春节后出来。

上边共涉及到了我开源的六个项目,三个后端,三个前端,想想这一年也是够可以了,但是在迁移的IdentityServer4中,只用到了常用的两种模式, Implicit和Code模式 ,其实一般我们web开发,掌握四种就行,除了这两个,还有Hybrid和Client,其他的如果没有精力,可以放一放,那下边我们就快速的说一下如何将MVC项目迁移到Ids4上。这里就简单的说一下操作过程,不会讲解原理,原理我会在视频教程中,详细说到。

Idp项目如何配置

具体的原型图,运行原理,等我视频吧,直接看代码,这里要说一下,如果你是第一次 开发学习,我建议尽量使用内存模式 ,这样会很好的调试,如果直接生成到数据库的话,可能有时候修改了一个配置,还需要重新生成数据库,这个有些浪费时间。

在我们的Config.cs中,新建一个Client,用来应对我们的MVC客户端:

// interactive ASP.NET Core MVC client

new Client

{

ClientId = "chrisdddmvc",

ClientName="Chris DDD MVC项目",

ClientSecrets = { new Secret("secret".Sha256()) },


AllowedGrantTypes = GrantTypes.Code,

RequireConsent = false,

RequirePkce = true,

AlwaysIncludeUserClaimsInIdToken=true,//将用户所有的claims包含在IdToken内


// 登录回调

RedirectUris = { "http://ddd.neters.club/signin-oidc" },


// 登出回调地址

PostLogoutRedirectUris = { "http://ddd.neters.club/signout-callback-oidc" },


// 注意这些scope,一定是上边已经定义好的资源

AllowedScopes = new List<string>

{

IdentityServerConstants.StandardScopes.OpenId,

IdentityServerConstants.StandardScopes.Profile,

IdentityServerConstants.StandardScopes.Email,

"roles",

"rolename",

}

}

这里就强调两点,就是配置一下回调地址,然后就是AlwaysIncludeUserClaimsInIdToken要设置为true,以方便我们后边要从claims声明中获取返回的值。

当然,最后还有一个知识点,就是scope中,如果想要自定义的话,需要先在claims中注册添加,然后在GetIdentityResources中配置:

// scopes define the resources in your system

public static IEnumerable<IdentityResource> GetIdentityResources()

{

return new List<IdentityResource>

{

new IdentityResources.OpenId(),

new IdentityResources.Profile(),

new IdentityResources.Email(),

new IdentityResource("roles", "角色", new List<string> { JwtClaimTypes.Role }),

new IdentityResource("rolename", "角色名", new List<string> { "rolename" }),

};

}

这里配置就是很简单的,咱们继续看看如何在MVC中配置。

ChristDDD如何配置

如果你之前看过或者用到了我的DDD项目,会发现其实本来是用Identity写的,这次我们迁移到Ids4后,需要做一些变化,具体的直接下载我的 Ids4 分支 就行了,修改的内容比较多。

首先我们把响应的认证服务给抽出来,单独封装,上边的是Ids4的,下边的是普通的Identity的:

然后注入服务:

// IdentityServer4 注入

services.AddId4OidcSetup();

那我们直接看看服务是如何设置的:

private static readonly string config= "https://ids.neters.club";

public static void AddId4OidcSetup(this IServiceCollection services)

{

if (services == null) throw new ArgumentNullException(nameof(services));

//关闭默认映射,否则它可能修改从授权服务返回的各种claim属性

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

//添加认证服务,并设置其有关选项

services.AddAuthentication(options =>

{

// 客户端应用设置使用"Cookies"进行认证

options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;

// identityserver4设置使用"oidc"进行认证

options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;


}).AddCookie(CookieAuthenticationDefaults.AuthenticationScheme)

// 对使用的OpenIdConnect进行设置,此设置与Identityserver的config.cs中相应client配置一致才可能登录授权成功

.AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>

{

options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;

options.Authority = config;

options.RequireHttpsMetadata = false;//必须https协议

options.ClientId = "chrisdddmvc";//idp项目中配置的client

options.ClientSecret = "secret";

options.SaveTokens = true;

options.ResponseType = "code";//响应类型


// 下边是所有的scope,必须要和idp项目中一致,至少是一部分

options.Scope.Clear();

options.Scope.Add("roles");//"roles"

options.Scope.Add("rolename");//"roles"

options.Scope.Add(OidcConstants.StandardScopes.OpenId);//"openid"

options.Scope.Add(OidcConstants.StandardScopes.Profile);//"profile"

options.Scope.Add(OidcConstants.StandardScopes.Email);//"email"


});


}

这里有几个注意事项:ClientId一定要填对,Scope必须是Idp项目中配置的子集,Scope一定要写对,不然的话,会报错,比如我们随便把roles改成roles3:

当然全部粘贴过去就行,其他的都有注释,看看即可。

这里配置也是很简单的,运行到了这里,我们就可以简单的调试了,所有的地址,都可以换成localhost来调试。

没有错误的话,我们就可以正式的跳转登录,登录成功后,跳转回来MVC项目,下面我们就说说如何在MVC客户端项目中,进行策略授权。

MVC客户端做策略授权

上边我们已经登录成功,并也跳回了,那现在就要根据情况,设计授权了,毕竟有些页面是test用户不能访问的,只有超级管理员才能访问的:

首先,在声明策略,然后在控制器配置策略


services.AddAuthorization(options =>

{

options.AddPolicy("CanWriteStudentData", policy => policy.Requirements.Add(new ClaimRequirement("Students", "Write")));

options.AddPolicy("CanRemoveStudentData", policy => policy.Requirements.Add(new ClaimRequirement("Students", "Remove")));

options.AddPolicy("CanWriteOrRemoveStudentData", policy => policy.Requirements.Add(new ClaimRequirement("Students", "WriteOrRemove")));

});


// 这里的策略内容可以任意扩展

[HttpGet]

[Authorize(Policy = "CanWriteStudentData")]

public IActionResult Edit(Guid? id)

{

}

接着,我们就来定义授权策略处理器

public class ClaimsRequirementHandler : AuthorizationHandler<ClaimRequirement>

{

protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, ClaimRequirement requirement)

{


var roleId = context.User.Claims.FirstOrDefault(c => c.Type == "role");

var rolename = context.User.Claims.FirstOrDefault(c => c.Type == "rolename");

var loginUserName = context.User.Claims.FirstOrDefault(c => c.Type == "preferred_username");

if (roleId != null && roleId.Value == "4" && rolename != null && rolename.Value == "SuperAdmin")

{

context.Succeed(requirement);

}


return Task.CompletedTask;

}

}

复杂策略授权如何写,逻辑如何调,上下文中的claims声明如何获取,这里就不多说了,默认已经会了我的第一个项目的Blog.Core的相关内容,这里我们只是来看看是不是能获取到相应的Claims就行:

可以看到我们已经获取到了这个scope,这样我们就可以任意的扩展了

登录与登出设计

这个其实就很简单了,我们在客户端里,直接登出就行,我写的比较low,当然你可以自己找找例子,我就简单的写了写:

[Authorize]

public IActionResult Login()

{

return Redirect("index");


}

public async Task<IActionResult> Logout()

{

await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);

await HttpContext.SignOutAsync(OpenIdConnectDefaults.AuthenticationScheme);


return View("Index");

}

登录取了个巧,不写内容,直接加了个Authorize,这样肯定就跳转到登录页了。

然后设计下UI展示 _LoginPartial.cshtml ,注入服务就行

@inject Christ3D.Domain.Interfaces.IUser SignInManager


@if (SignInManager.IsAuthenticated())

{

<form asp-area="" asp-controller="Home" asp-action="Logout" method="post" id="logoutForm" class="navbar-right">

<ul class="nav navbar-nav navbar-right">

<li>

<a asp-area="" asp-controller="Manage" asp-action="Index" title="Manage">Hello @SignInManager.Name!</a>

</li>

<li>

<button type="submit" class="btn btn-link navbar-btn navbar-link">Log out</button>

</li>

</ul>

</form>

}

else

{

<ul class="nav navbar-nav navbar-right">

<li><a asp-area="" asp-controller="Home" asp-action="Login">Log in</a></li>

</ul>

}

最终的展示效果是酱紫的, 登出:

登录:

到了这里,我们就已经完成了整体流程了!下边就是部署了。

生产环境部署联调

现在还是两个后端项目,一个是IdentityServer4的部署,很简单的,我目前用的是Nginx部署的,Https安全协议。

客户端是MVC项目,但是用的IIS部署的,因为如何也用Nginx部署的话,客户端向授权中心认证的时候,一直报错,错误是回调地址不匹配,因为nginx部署,显示的地址还是本地的:

但是我在idp项目里,明明配置的是ddd域名:

错误信息是这样的:

但是在IIS中配置,是一切正常的,真的是我学术不精啊,有小伙伴知道的,欢迎给我留言私信拍砖,这里我来个赏金( 20大洋 ),给开源事业做贡献了。

这个时候,PC端已经一切正常了,正当高兴的时候,手机访问,又不行了,这次我很机智,有了上次的JS客户端经验,我直接加了一个Cookie

手机移动端适配

在DDD项目中,新建一个扩展:

public static class SameSiteHandlingExtensions

{

public static IServiceCollection AddSameSiteCookiePolicy(this IServiceCollection services)

{

services.Configure<CookiePolicyOptions>(options =>

{

options.MinimumSameSitePolicy = (SameSiteMode)(-1);

options.OnAppendCookie = cookieContext =>

CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);

options.OnDeleteCookie = cookieContext =>

CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);

});


return services;

}

private static void CheckSameSite(HttpContext httpContext, CookieOptions options)

{

if (options.SameSite == SameSiteMode.None)

{

var userAgent = httpContext.Request.Headers["User-Agent"].ToString();

if (DisallowsSameSiteNone(userAgent))

{

// For .NET Core < 3.1 set SameSite = (SameSiteMode)(-1)

options.SameSite = (SameSiteMode)(-1);

}

}

}


private static bool DisallowsSameSiteNone(string userAgent)

{

// Cover all iOS based browsers here. This includes:

// - Safari on iOS 12 for iPhone, iPod Touch, iPad

// - WkWebview on iOS 12 for iPhone, iPod Touch, iPad

// - Chrome on iOS 12 for iPhone, iPod Touch, iPad

// All of which are broken by SameSite=None, because they use the iOS networking stack

if (userAgent.Contains("CPU iPhone OS 12") || userAgent.Contains("iPad; CPU OS 12"))

{

return true;

}


// Cover Mac OS X based browsers that use the Mac OS networking stack. This includes:

// - Safari on Mac OS X.

// This does not include:

// - Chrome on Mac OS X

// Because they do not use the Mac OS networking stack.

if (userAgent.Contains("Macintosh; Intel Mac OS X 10_14") &&

userAgent.Contains("Version/") && userAgent.Contains("Safari"))

{

return true;

}


// Cover Chrome 50-69, because some versions are broken by SameSite=None,

// and none in this range require it.

// Note: this covers some pre-Chromium Edge versions,

// but pre-Chromium Edge does not require SameSite=None.

if (userAgent.Contains("Chrome/5") || userAgent.Contains("Chrome/6"))

{

return true;

}


return false;

}

}

然后服务配置:

常见的错误

刚刚上边我们已经遇到了两个错误,其实总的来说,都是配置的问题,我会在博客园单写一篇文章,来总结IdentityServer4的所有错误,目前还没有,过一段时间查看就行,现在开发的还比较少。注意这两个错误,然后会调试就行,调试主要在F12,去查看network,看看请求的数据是否异常即可。

到了这里,基本就结束了,还是 建议大家多看看官网和官方Demo,真的很有用。

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章