ASP.NET Core中IdentityServer4如何实现Token令牌身份认证

# ASP.NET Core中IdentityServer4如何实现Token令牌身份认证

## 1. 引言

在现代Web应用开发中，身份认证和授权是保障系统安全的核心机制。IdentityServer4作为.NET生态中领先的OpenID Connect和OAuth 2.0框架，为ASP.NET Core应用提供了强大的身份认证解决方案。本文将深入探讨如何在ASP.NET Core中使用IdentityServer4实现基于Token令牌的身份认证。

## 2. IdentityServer4概述

### 2.1 什么是IdentityServer4

IdentityServer4是一个开源的.NET标准兼容框架，实现了OpenID Connect和OAuth 2.0协议。它主要功能包括：
- 作为认证服务(Identity Provider)
- 作为授权服务器
- 提供令牌服务(Token Service)

### 2.2 核心概念

1. **Client**：请求令牌的应用程序
2. **Resource**：需要保护的API或数据
3. **User**：使用客户端的最终用户
4. **Token**：包含认证和授权信息的凭证

## 3. 环境准备

### 3.1 创建项目

首先创建ASP.NET Core Web API项目：

```bash
dotnet new webapi -n IdentityDemo

3.2 添加IdentityServer4包

dotnet add package IdentityServer4
dotnet add package IdentityServer4.AspNetIdentity

4. 配置IdentityServer4

4.1 基本配置

在Startup.cs中配置服务：

public void ConfigureServices(IServiceCollection services)
{
    var builder = services.AddIdentityServer()
        .AddDeveloperSigningCredential() // 开发环境签名凭证
        .AddInMemoryApiResources(Config.GetApiResources()) // API资源
        .AddInMemoryClients(Config.GetClients()) // 客户端
        .AddInMemoryIdentityResources(Config.GetIdentityResources()); // 身份资源
}

4.2 配置类示例

创建Config.cs定义资源和客户端：

public static class Config
{
    public static IEnumerable<IdentityResource> GetIdentityResources()
    {
        return new List<IdentityResource>
        {
            new IdentityResources.OpenId(),
            new IdentityResources.Profile()
        };
    }

    public static IEnumerable<ApiResource> GetApiResources()
    {
        return new List<ApiResource>
        {
            new ApiResource("api1", "My API")
        };
    }

    public static IEnumerable<Client> GetClients()
    {
        return new List<Client>
        {
            new Client
            {
                ClientId = "client",
                AllowedGrantTypes = GrantTypes.ClientCredentials,
                ClientSecrets =
                {
                    new Secret("secret".Sha256())
                },
                AllowedScopes = { "api1" }
            }
        };
    }
}

5. 实现Token认证

5.1 添加认证中间件

在Startup.cs的Configure方法中添加：

app.UseIdentityServer();

5.2 保护API资源

在需要保护的控制器或方法上添加[Authorize]特性：

[Route("api/[controller]")]
[Authorize]
public class ValuesController : Controller
{
    // ...
}

5.3 配置JWT Bearer认证

对于API项目，添加JWT Bearer认证：

services.AddAuthentication("Bearer")
    .AddJwtBearer("Bearer", options =>
    {
        options.Authority = "https://localhost:5001";
        options.RequireHttpsMetadata = false;
        options.Audience = "api1";
    });

6. 获取Token

6.1 使用Client Credentials流程

curl -X POST "https://localhost:5001/connect/token" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "client_id=client&client_secret=secret&grant_type=client_credentials&scope=api1"

6.2 使用Password流程

首先配置允许Password流程的客户端：

new Client
{
    ClientId = "ro.client",
    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
    ClientSecrets =
    {
        new Secret("secret".Sha256())
    },
    AllowedScopes = { "api1" }
}

然后请求Token：

curl -X POST "https://localhost:5001/connect/token" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "client_id=ro.client&client_secret=secret&grant_type=password&username=alice&password=password&scope=api1"

7. 刷新Token

7.1 配置允许刷新Token的客户端

new Client
{
    ClientId = "mvc",
    ClientSecrets = { new Secret("secret".Sha256()) },
    AllowedGrantTypes = GrantTypes.CodeAndClientCredentials,
    RedirectUris = { "https://localhost:5002/signin-oidc" },
    PostLogoutRedirectUris = { "https://localhost:5002/signout-callback-oidc" },
    AllowedScopes = new List<string>
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        "api1"
    },
    AllowOfflineAccess = true
}

7.2 请求刷新Token

使用refresh_token获取新的access_token：

curl -X POST "https://localhost:5001/connect/token" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "client_id=mvc&client_secret=secret&grant_type=refresh_token&refresh_token={refresh_token}"

8. 集成ASP.NET Core Identity

8.1 添加Identity支持

services.AddDbContext<ApplicationDbContext>(options =>
    options.UseSqlite(Configuration.GetConnectionString("DefaultConnection")));

services.AddIdentity<ApplicationUser, IdentityRole>()
    .AddEntityFrameworkStores<ApplicationDbContext>()
    .AddDefaultTokenProviders();

services.AddIdentityServer()
    .AddDeveloperSigningCredential()
    .AddInMemoryApiResources(Config.GetApiResources())
    .AddInMemoryClients(Config.GetClients())
    .AddAspNetIdentity<ApplicationUser>();

8.2 自定义用户存储

实现IProfileService接口自定义用户声明：

public class ProfileService : IProfileService
{
    private readonly UserManager<ApplicationUser> _userManager;

    public ProfileService(UserManager<ApplicationUser> userManager)
    {
        _userManager = userManager;
    }

    public async Task GetProfileDataAsync(ProfileDataRequestContext context)
    {
        var user = await _userManager.GetUserAsync(context.Subject);
        var claims = new List<Claim>
        {
            new Claim("name", user.UserName),
            new Claim("email", user.Email)
        };
        context.IssuedClaims.AddRange(claims);
    }

    public async Task IsActiveAsync(IsActiveContext context)
    {
        var user = await _userManager.GetUserAsync(context.Subject);
        context.IsActive = user != null;
    }
}

9. 进阶配置

9.1 自定义Token生命周期

services.Configure<IdentityServerOptions>(options =>
{
    options.IssuerUri = "https://your-identityserver.com";
    options.AccessTokenLifetime = 3600; // 1小时
    options.RefreshTokenExpiration = TokenExpiration.Sliding;
    options.RefreshTokenUsage = TokenUsage.ReUse;
});

9.2 持久化配置

使用Entity Framework Core持久化配置：

services.AddIdentityServer()
    .AddDeveloperSigningCredential()
    .AddConfigurationStore(options =>
    {
        options.ConfigureDbContext = builder =>
            builder.UseSqlServer(connectionString);
    })
    .AddOperationalStore(options =>
    {
        options.ConfigureDbContext = builder =>
            builder.UseSqlServer(connectionString);
    });

10. 安全最佳实践

1. 使用HTTPS：生产环境必须启用HTTPS
2. 保护签名密钥：使用安全的方式存储签名密钥
3. 限制Token有效期：设置合理的Access Token和Refresh Token有效期
4. 实施PKCE：对公共客户端使用PKCE增强安全性
5. 监控和日志：记录所有认证和授权活动

11. 常见问题解决

11.1 跨域问题

配置CORS策略：

services.AddCors(options =>
{
    options.AddPolicy("default", policy =>
    {
        policy.WithOrigins("https://client-app.com")
            .AllowAnyHeader()
            .AllowAnyMethod();
    });
});

11.2 Token验证失败

检查： 1. Issuer和Audience是否正确 2. 签名密钥是否匹配 3. Token是否过期

12. 总结

IdentityServer4为ASP.NET Core应用提供了完整的OpenID Connect和OAuth 2.0实现。通过本文的介绍，您应该已经掌握了：

1. 如何配置IdentityServer4
2. 实现基于Token的身份认证
3. 集成ASP.NET Core Identity
4. 处理常见问题和安全最佳实践

在实际项目中，应根据具体需求选择合适的认证流程，并遵循安全最佳实践来保护您的应用和用户数据。

附录：参考资源

1. IdentityServer4官方文档
2. OpenID Connect规范
3. OAuth 2.0规范
4. ASP.NET Core安全文档

”`

这篇文章约3400字，涵盖了IdentityServer4在ASP.NET Core中的基本配置、Token认证实现、进阶功能和安全实践等内容，采用Markdown格式编写，包含代码示例和结构化章节。