歡迎光臨
每天分享高質量文章

IdentityServer4實戰 – JWT Token Issuer 詳解

一.前言

本文為系列補坑之作,拖了許久決定先把坑填完。

下文演示所用代碼採用的 IdentityServer4 版本為 2.3.0,由於時間推移可能以後的版本會有一些改動,請參考查看,文末附上Demo代碼。

本文所訴Token如無特殊說明皆為 JWT Token。

眾所周知 JWT Token 由三部分組成,第一部分 Header,包含 keyid、簽名演算法、Token型別;第二部分 Payload 包含 Token 的信息主體,如授權時間、過期時間、頒發者、身份唯一標識等等;第三部分是Token的簽名。我們對一個 Token 進行解碼,觀察其中 Payload 部分,你將會發現一個 “iss” 欄位,那麼它代表什麼呢,它又有什麼作用呢,請看後文分解。

二. Issuer 的前世今生

iss 是 OpenId Connect(後文簡稱OIDC)協議中定義的一個欄位,其全稱為 “Issuer Identifier”,中文意思就是:頒發者身份標識,表示 Token 頒發者的唯一標識,一般是一個 http(s) url,如 https://www.baidu.com

在 Token 的驗證過程中,會將它作為驗證的一個階段,如無法匹配將會造成驗證失敗,最後傳回 HTTP 401。

三. Issuer 的驗證流程分析

JWT的驗證是去中心化的驗證,實際這個驗證過程是發生在API資源的,除了必要的從 IdentityServer4 獲取元資料(獲取後會快取,不用重覆獲取)比如獲取公鑰用於驗證簽名,是不會再去交互的(詳細介紹:https://www.cnblogs.com/stulzq/p/9226059.html)。那麼我們就從 API 資源作為入口開始分析。

我們在 API 資源的配置認證的代碼如下:

一個攜帶 Token 的請求從認證中間件到最終驗證 Issuer 的邏輯如下圖(懶得畫流程圖了,直接做個gif)。請看原文

最終驗證 Issuer 的代碼:

由原始碼分析可以獲得幾個結論:

1.驗證 Token 必定會驗證 Issuer,如果 Issuer 驗證失敗,那麼表示則整個 Token 的驗證結果就是失敗。

  1. Issuer 預設從 IdentityServer4 的 Discovery Endpoint(/.well-known/openid-configuration)獲取Issuer

3.Issuer 可以自定義,並且可以設置一個串列,如果手動設置了會改寫預設值

4.Issuer 驗證邏輯預設只驗證是否相等,即 Token 攜帶的 Issuer 是否與 設置的 Issuer 值相等。

5.Issuer 驗證邏輯可以自定義

6.Issuer 的驗證可以關閉

以上設置如無特殊需求直接使用預設值即可,不需要額外設置。

關於以上結論的在代碼(API資源)中的實現:

四.如何設置 Token 的 Issuer

第三節講的是 Issuer 驗證時有效 Issuer 的設置,本節講的是 設置 Token 的 Issuer,Token攜帶的 Issuer 與API資源設置的有效 Issuer 進行驗證匹配完成整個流程,這裡提一下,避免搞混。

設置 Token 的 Issuer 需要在 IdentityServer4 設置。在 Startup 里中設置:

services.AddIdentityServer(option=>option.IssuerUri="https://www.baidu.com")

此值必須是一個 http(s) url。

驗證是否生效:

1.訪問 Discovery Endpoint(/.well-known/openid-configuration)

2.對Token解碼,查看 iss 欄位

如果在 IdentityServer4 設置此值,預設情況下所有API資源都會獲取此值作為預設有效Issuer。

如果你自定義了 Issuer,在使用 Client 訪問時會出現 Issuer 與 Authority 不匹配的錯誤,是因為Client在預設情況下作了限制,關閉即可:

var client = new HttpClient();var disco = await client.GetDiscoveryDocumentAsync(new DiscoveryDocumentRequest(){Address = "http://localhost:5000" ,Policy = new DiscoveryPolicy(){ValidateIssuerName = false}});

五.預設值問題

如果沒有手動設置 IdentityServer4 IssuerUri 值那麼它預設會取你訪問 IdentityServer4 時的 Host,下麵舉例說明。

首先修改 IdentityServer4 專案的監聽地址,使其能夠通過局域網IP訪問

然後分別通過 localhost 和 局域網ip 訪問 Discovery Endpoint,觀察 Issuer 的值:

localhost:

局域網IP:

看出差異了吧,這一點需要註意,下一節將會講一下這個引發的問題。

六.Issuer 預設值問題可能出現的場景及解決

這種情況一般出現在 IdentityServer4 經過了一層或多層代理,比如 Nginx反代、網關等,外網地址經過代理傳遞到了 IdentityServer4,如果直接通過外網請求的 Token Endpoint(/connect/token) 生成的 Token,那麼這個 Token 攜帶的 iss 地址將會是外網地址(正常情況下,Host是會經過代理傳過來的,如果你不配置傳過來,那麼就沒有這個問題,那麼你的後端服務獲取的地址與預期肯定有差別,不推薦這種做法)。但是本地API資源(與IdentityServer4在同一臺服務器或者同一個局域網)與IdentityServer4交互的地址(Authority)肯定會配成localhost 或者是局域網地址(如果你這裡配置成外網地址,那麼你可以不繼續往下看了,內部交互還要走外部網絡嚴重不推薦甚至是禁止此種做法)。

上圖的架構即便是把 Gateway、IdentityServer、Basket服務(API資源)放在一臺機器上也是一樣的道理,都會出現這種情況,其原因就是如果 IdentityServer 不設置 Issuer,就會取你訪問IdentityServer時的Host作為Issuer,外網進來的Host地址和你內部交互的不一樣就造成了這個問題,解決辦法就是在 IdentityServer 手動指定一個 Issuer 即可解決(第四節),取消掉它的預設取Host的機制,不管你怎麼訪問IdentityServer傳回的Issuer都是一個地址。

七.結束

Demo:

https://github.com/stulzq/IdentityServer4.Samples/tree/master/Practice/03_Issuer

參考資料:

OIDC(OpenId Connect)身份認證授權(核心部分) by blackheart.

原文地址:https://www.cnblogs.com/stulzq/p/10339024.html


.NET社區新聞,深度好文,歡迎訪問公眾號文章彙總 http://www.csharpkit.com


 

    閱讀原文

    赞(0)

    分享創造快樂