IdentityServer4 指定角色授权(Authorize(Roles="admin"))
2017-06-24 08:15
375 查看
1. 业务场景
IdentityServer4 授权配置Client中的
AllowedScopes,设置的是具体的 API 站点名字,也就是使用方设置的
ApiName,示例代码:
//授权中心配置 new Client { ClientId = "client_id_1", AllowedGrantTypes = GrantTypes.ResourceOwnerPassword, AllowOfflineAccess = true, AccessTokenLifetime = 3600 * 6, //6小时 SlidingRefreshTokenLifetime = 1296000, //15天 ClientSecrets = { new Secret("secret".Sha256()) }, AllowedScopes = { "api_name1" }, } //API 服务配置 app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions { Authority = $"http://localhost:5000", ApiName = "api_name1", RequireHttpsMetadata = false });
上面两个
api_name1配置要一致,问题来了,因为授权中心的
scope配置是整个 API 服务,如果我们存在多个
Client配置,比如一个前台和后台,然后都需要访问
api_name1,就会出现一些问题。
比如,
api_name1服务中的一个接口服务配置代码:
[Authorize()] [Route("api/values")] [HttpGet]public IActionResult Get(){ return Ok(); }
Authorize()的配置,说明
api/values接口需要授权后访问,如果授权中心配置了两个
Client(前台和后台),并且
scope都包含了
api_name1,现在就会出现两种情况:
前台
Client和后台
Client,都需要授权后访问
api/values接口:没有问题。
前台
Client不需要授权后访问,后台
Client需要授权后访问:有问题,前台
Client没办法访问了,因为
api/values接口设置了
Authorize()。
其实,说明白些,就是该如何让 API 服务指定
Client授权访问?比如:
[Authorize(ClientId = 'client_id_1')]。
2. 解决方案
没有[Authorize(ClientId = 'client_id_1')]这种解决方式,不过可以使用
[Authorize(Roles = 'admin')]。
授权中心的
ResourceOwnerPasswordValidator代码,修改如下:
public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator { private readonly IUserService _userService; public ResourceOwnerPasswordValidator(IUserService userService) { _userService = userService; } public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context) { var user = await _userService.Login(context.UserName, context.Password); if (user != null) { var claims = new List<Claim>() { new Claim("role", "admin") }; //根据 user 对象,设置不同的 role context.Result = new GrantValidationResult(user.UserId.ToString(), OidcConstants.AuthenticationMethods.Password, claims); } } }
授权中心的
startup配置,修改如下
var builder = services.AddIdentityServer(); builder.AddTemporarySigningCredential() //.AddInMemoryIdentityResources(Config.GetIdentityResources()) .AddInMemoryApiResources(new List<ApiResource> { new ApiResource("api_name1", "api1"){ UserClaims = new List<string> {"role"}}, //增加 role claim new ApiResource("api_name2", "api2"){ UserClaims = new List<string> {"role"}} }) .AddInMemoryClients(Config.GetClients());
API 服务接口,只需要配置如下:
[Authorize()] [Route("api/values")] [HttpGet] public IActionResult Get() { return Ok(); } [Authorize(Roles = "admin")] [Route("api/values2")] [HttpGet] public IActionResult Get2() { return Ok(); } [Authorize(Roles = "admin,normal")] [Route("api/values3")] [HttpGet] public IActionResult Get3() { return Ok(); }
需要注意的是,
api/values接口虽然没有设置具体的
Roles,但每个
Role都可以访问。
相关文章:
IdentityServer4(OAuth2.0服务)折腾笔记
IdentityServer4 实现 OpenID Connect 和 OAuth 2.0
IdentityServer4 使用OpenID Connect添加用户身份验证
IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API
原文地址:http://www.cnblogs.com/xishuai/p/identityserver4-apiresource-userclaim-role-authorize.html
.NET社区新闻,深度好文,微信中搜索dotNET跨平台或扫描二维码关注
相关文章推荐
- IdentityServer4 指定角色授权(Authorize(Roles="admin"))
- 【翻译自mos文章】Weblogic AdminServer 启动fail,报错为"unable to get file lock, will retry"
- "Host 'admin-PC' is not allowed to connect to this MySQLserver"
- message from server: "Host 'admin-PC' is not a
- 让"指定的 MSProjectServerRole 帐户不属于 MSProjectServerRole 角色"去死吧
- 【从翻译mos文章】Weblogic AdminServer 启动fail,报错"unable to get file lock, will retry"
- Server Error in '/' Application. Access to the Path Is Denied" error message appears
- Active Server Pages 错误 'ASP 0201' 无效的默认脚本语言 为此应用程序指定的默认脚本语言无效。
- 导入SQL导致"MySQL server has gone away"的解决方法
- 想看"当事人角色"大图片的点这里看
- 在2003server的iis中设置一个网站,但访问此网站总显示“错误: 拒绝访问"???
- Mysql的错误,待解决[已解决]Data source rejected establishment of connection message from server: "Too many connections";
- 谈JDBC SQLSERVER"Error establishing socket"
- SQLServer "not in"
- Visual Studio .NET已检测到指定的Web服务器运行的不是ASP.NET 1.1 版..."的解决办法
- Potential causes of the "SQL Server does not exist or access denied" error message
- 安装sqlserver"以前进行的程序安装创建了挂起的文件操作"的解决办法
- 从identity impersonate="false"谈起
- 天网规则 - "指定网络地址"
- SQLServer "not in"