IdentityServer4 学习

1，概念：

　　 IdentityServer ：身份认证服务器，是基于OpenID Connect协议标准的身份认证和授权程序，它实现了OpenID Connect 和 OAuth 2.0 协议。

　　User:用户是使用已注册的客户端（指在id4中已经注册）访问资源的人。

　　Client:应用程序。

　　Resources:资源就是你想用identityserver保护的东西，可以是用户的身份数据或者api资源。

　　AccessToken:访问令牌,访问令牌允许访问API资源。 客户端请求访问令牌并将其转发到API。 访问令牌包含有关客户端和用户的信息（如果存在）。 API使用该信息来授权访问其数据。

　　Id Token：身份令牌，ID Token是一个安全令牌，是一个授权服务器提供的包含用户信息（由一组Cliams构成以及其他辅助的Cliams）的JWT格式的数据结构，

ID Token的主要构成部分如下（使用OAuth2流程的OIDC）。

1. iss = Issuer Identifier：必须。提供认证信息者的唯一标识。一般是一个https的url（不包含querystring和fragment部分）。
2. sub = Subject Identifier：必须。iss提供的EU的标识，在iss范围内唯一。它会被RP用来标识唯一的用户。最长为255个ASCII个字符。
3. aud = Audience(s)：必须。标识ID Token的受众。必须包含OAuth2的client_id。
4. exp = Expiration time：必须。过期时间，超过此时间的ID Token会作废不再被验证通过。
5. iat = Issued At Time：必须。JWT的构建的时间。
6. auth_time = AuthenticationTime：EU完成认证的时间。如果RP发送AuthN请求的时候携带max_age的参数，则此Claim是必须的。
7. nonce：RP发送请求的时候提供的随机字符串，用来减缓重放攻击，也可以来关联ID Token和RP本身的Session信息。
8. acr = Authentication Context Class Reference：可选。表示一个认证上下文引用值，可以用来标识认证上下文类。
9. amr = Authentication Methods References：可选。表示一组认证方法。
10. azp = Authorized party：可选。结合aud使用。只有在被认证的一方和受众（aud）不一致时才使用此值，一般情况下很少使用

Refresh Token:刷新令牌，access token 是客户端访问资源服务器的令牌。拥有这个令牌代表着得到用户的授权。然而，这个授权应该是临时的，有一定有效期。这是因为，access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险

OAuth：：：

OAuth（开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。就比如我用QQ登录博客园，那博客园（第三方应用）的昵称就可以是我的QQ（某网站）昵称，它获取到了我的QQ昵称，并存到了博客园的数据库，我以后就一直可以使用QQ来登录博客园，但是博客园却不知道我QQ的用户名和密码。

OAuth 允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站（例如，视频编辑网站）在特定的时段（例如，接下来的 2 小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth 让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息，而非所有内容。

OAuth 2.0 四种授权模式：

授权码模式（authorization code）

简化模式（implicit grant type） 

密码模式（resource owner password credentials）

客户端模式（Client Credentials Grant）

OpenID Connect：：：

• OpenID Connect是基于OAuth 2.0规范族的可互操作的身份验证协议。它使用简单的REST / JSON消息流来实现，和之前任何一种身份认证协议相比，开发者可以轻松集成。
• OpenID Connect允许开发者验证跨网站和应用的用户，而无需拥有和管理密码文件。
• OpenID Connect允许所有类型的客户,包括基于浏览器的JavaScript和本机移动应用程序,启动登录流动和接收可验证断言对登录用户的身份。

OpenID：：：

一个网站如果想要接入 OpenID 认证是非常简单的，不需要创建应用，不需要 App Key ，不需要 Secret ，只需要将用户导向 OpenID Provider 的 Entry 并带上 Callback ，用户只要同意提供信息，你就可以拿到这个用户的“唯一标识”。

请注意这里我使用了“唯一标识”这种说法，因为对于网站来说，OpenID Provider 提供的既不是用户的 UID ，也不是用户的 E-Mail ，比如 Google 在默认情况下提供的就是一个几十位长的字符串，这个字符串是随机生成的，第三方网站无法从中获得用户的任何私人信息。这么说可能很抽象，举个例子：

比如我用 Google 的 OpenID 服务登录 xxx.com ， xxx.com 先把我导向 Google 的授权页面，我使用 Google 帐号 test@gmail.com 登录并同意后，页面跳回 xxx.com ， xxx.com 拿到了我的“唯一标识”，这个唯一标识可能是 cdxxxxxxxaaf6b73bcb04a1 ，xxx.com 从这个字符串里无法获得任何 test@gmail.com 的个人信息（甚至连邮箱地址也不知道）， xxx.com 只知道以后只要使用谷歌登录并返回 cdxxxxxxxaaf6b73bcb04a1 这个标识符，那就是我在登录。

OAuth：：：

与 OpenID 相比，网站想接入 OAuth 要稍微麻烦点，网站需要先创建应用，拿到 Key 和 Secret ，才能接入 Provider 。

OAuth 的授权过程并不是身份认证的过程，这一点需要特别清楚，网站走完 OAuth 流程并拿到用户的授权 token 后还需要通过 token 调用相应的用户信息接口才能获得“唯一标识”，举个例子：

我想通过新浪微博登录 xxx.com ，xxx.com 要先把我 redirect 到新浪微博的授权页面，我通过微博帐号登录并授权后，页面跳回 xxx.com ，xxx.com 拿到我的访问 token 后还要再调用一个接口来获得我的新浪会员 UID ，这个 UID 就是新浪用户的“唯一标识”了。

OAuth和OpenID区别：：：

可以看出，OAuth 相对于 OpenID 最大的区别就是，网站实际上是拿到了你的帐户访问权限继而确认你的身份，这是一个安全隐患，因为网站在拿到你的“唯一标识”的同时还拿到了一把你的账户的 “临时钥匙”。至于网站会不会拿这把钥匙“干坏事”，这个只有站长心里清楚。同时 OAuth 还比 OpenID 多了几个额外的请求步骤，登录所费时间一定是长于 OpenID 的。

OAuth关注的是authorization；而OpenID侧重的是authentication。从表面上看，这两个英文单词很容易混淆，但实际上，它们的含义有本质的区别：

• authorization: n. 授权，认可；批准，委任
• authentication: n. 证明；鉴定；证实

OAuth关注的是授权，即：“用户能做什么”；而OpenID关注的是证明，即：“用户是谁”。

IdentityServer4 学习

原文：https://www.cnblogs.com/waxyy/p/13364425.html