技術研究_單點登入(SSO)技術實作_基於OpenID Connect的技術IdentityServer4(IDS4)認證與授權

-


理論跟概念部分在前幾篇稍微有些消化,大概能知道一些大範圍方向後。
稍微來研究技術實作細節

IdentityServer是根據OpenID Connect協定標準的身份認證和授權程序,它實作了OpenID 和OAuth 2.0 協定。

  • 在 WebAPI 中,由於使用的是 HTTP 協定實現資料的傳輸,因此具有無狀態性,只是透過一個 URL 位址即可取得想要的資源,可供任意客戶端調用,靈活性強並且掩蓋底層的技術實現。
  • 所以,We bAPI 是非常受開發者喜歡的,可連接任意處的客戶端,不受限制用途很廣。
  • 但是,由於客戶端的多樣性,使用傳統根據 Session 和 Cookies已無法滿足身份驗證和授權,此時,基於JWT的身份驗證和授權就出現了。
  • JWT 只需要在認證伺服器上拿到一個 Token,這個 Token 包含了用戶身分的聲明,可以用來授權某個使用者,很像買車票要驗票概念。
  • OAuth 2.0 主要是用來向第三方應用頒發令牌的,是基於 JWT的授權解決方案。
  • 所頒發的令牌包含使用者和授權訊息,並決定這個令牌可以存取資源伺服器上的哪些資源。
  • 也就是在「資源伺服器」和「客戶端」之間加一個授權伺服器,負責使用者的授權。
  • IdentityServer4 是基於 OpenID Connect 和 OAuth2.0 的 JWT身份驗證和授權框架。
  • Identity Server4 目前最新版本是 V4.x,是專門為 ASP. NET Core研發的身份驗證和授權框架。
  • 目前可以在 ASP.NET Core 3. x 以上版本中整合使用。

https://www.chinatimes.com/realtimenews/20231031001777-260405?chdtv
https://www.thsrc.com.tw/ArticleContent/baba745a-d802-440c-b762-3eef37b96b60

於Visual Studio 2022 建立三個專案
(1) 一個是認證授權中心專案,用於頒發 AccessToken。
對於認證授權項目和 API 資源專案,可以使用獨立的伺服器部署,共同給客戶端提供服務。
(2) 一個或多個 API 資源中心專案,用於提供資料資源。
(3) 一個或多個客戶端專案,提供使用者服務,面向使用者。



(1) 一個是認證授權中心專案,用於頒發 AccessToken。





配置IDS4的套件在授權Server專案


1-1.配置API 作用域
在 IdentityServer4 中,可以設定 API 作用域,也就是對 API 數據資源或client端的資源程式存取權限進行配置。可以對客戶端或使用者配置 ApiScope,表示具有某個 API 資源的權。

  • IdentityServer4 只是提供一套針對 API或client端的資源程式進行驗證和授權的框架,本身是不提供任何資源的。
  • 因此,IdentityServer4 在執行授權時,需要提前在IdentityServer4 伺服器上規劃好 API 資源的權限(也可理解為備案),哪些 API 資源可供哪些客戶端呼叫存取。
  • 每個 API或client端的資源的授權,就可以透過一個 ApiScope 物件進行配置,用戶端在呼叫時,也要指定要存取的 ApiScope 作用域。

    • ApiScope 配置如下:
    (1). 設定在 ApiResource 中,1 個 ApiResource 可以包含多個 ApiScope,ApiResource 與 WebAPI 資源專案有關聯,ApiResource 包含的 ApiScope都可以存取與之關聯的 WebAPI 資源。

    (2). 使用策略授權,將 ApiScope 與策略授權關聯,在 WebAPI 資源專案中使用策略授權進行更精細化的控制權限。

    在「Study.TestIDS4.Server」專案中,新增 IdentityConfig.cs 類別文件,
    IdentityConfig.cs



    1-2.配置ApiResource

    在 IdentityServer4 中,設定了 ApiScope 之後,是不能單獨在
    API 資源中配置的,也需要結合 ApiResource 組合在一起使用。

    ApiResources()方法用於將多個 ApiScope 歸為一組,稱為 API 資源,其中包括多個 ApiScope。



    1-3.配置共享的ApiScope

    配置共享的ApiScope 有些ApiResource較沒有捨麼隱密權限問題,可以被定義成共享。
    比方新消息或是公告。

    當我們在 IdentityServer4 伺服器上,設定好 ApiResource 和 ApiScope之後,就可以設定 Client 用戶端及可存取的 API 資源範圍。
    • 設定客戶端,就是在 IdentityServer4 伺服器上先對客戶端進行備案
    • 然後客戶端使用備案過的資訊就可以在 IdentityServer4 伺服器上取得存取token
    • 再去API 資源伺服器上存取指定的資源。








    Ref:
    https://identityserver4.readthedocs.io/en/latest/

    初探IdentityServer4 - 為API增加角色驗證機制
    https://www.tpisoftware.com/tpu/articleDetails/2217

    適用於雲端原生應用程式的 IdentityServer
    https://learn.microsoft.com/zh-tw/dotnet/architecture/cloud-native/identity-server

    留言

    張貼留言

    這個網誌中的熱門文章

    何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

    -
    圖片
    當談到貨物的重量時,往往會分成所謂的淨重(Net Weight)與毛重(Gross Weight)。 會有以下公式關係存在 淨重=毛重-皮重(包裝物的重量) 毛重=淨重+皮重 淨重( Net Weight 縮寫為N.W.) 指物品本身的重量,不包括容器或包裝材料的重量。 凈重是國際貿易中最常見的計重辦法。 例如,如果運輸原材料,原材料的重量就是所運輸貨物的淨重。包裝原材料的容器或包裝不計入淨重。同樣地,當我們考慮一罐豆子時,罐子內所含物品的重量就算作淨重。因此,淨重將包括豆子、罐頭里的任何液體,以及保存豆子所含的物品。 大多數 以重量為計價的貨物買賣 ,採用此計價方法。 若合同中並未明確規範以何種方式計量和計價時,按慣例以凈重計價。 毛重( Gross Weight 縮寫G.W.) 貨物連同它的包裝的重量,是你托運的所有物品的總重量。 皮重(Tare Weight) 指商品外包裝材料的重量(即運輸包裝的重量),不包括內包裝材料和襯墊物的重量。 比方一個空的貨櫃、容器、或任何包裝材料的重量。 Net Net Weight純淨重 (指從Net Weight中扣除內包裝後的重量) 進出口商品為了因應運輸及消費需求, 一般都有內包裝與外包裝。 一般在買賣合同與信用狀中,通常只要求於裝箱單上註明Gross Weight和Net Weight即可, 但有些L/C 要求 Net Net Weight,大多是海關徵收從量稅時的依據 運輸重量對於航運業或者航空運輸等各自都通用這些術語 為何特別在意重量? 主要就在於會影響像是傳輸安全乘載限制。 就運輸層面(不同方式的運輸) 航空運輸:對機長而言,毛重包括皮重、產品淨重以及飛機、燃料、乘客和機組人員的重量。 公路/鐵路運輸:對於火車車長而言,毛重包括產品淨重、皮重和運輸車輛的重量。 水路航運運輸:對船長而言,毛重就是淨重和皮重之和。 就公司ERP成本角度 成本一般都會採用 "淨重" 主要是因為若用毛重,可能會有輔材不可控因素存在 比方一個 5cm 固定塑膠件,今天用一個 10cm 紙箱測重,明天用一個 100cm 紙箱測重,那可能就容易導致ERP資料比較會失真。 就物流層面來探討 通常還會有一名詞即所謂「實際重量」(Actual Weight) 根據稱重(過磅)所得到的重量,實際重量分為實際毛重(Gross Weig
    閱讀完整內容

    Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

    -
    圖片
    一個應用程式(軟體) 不管是  互動拍照 也好、 投影也好、車牌偵測... 舞台演唱會後方電視牆的互動應用程序、 粒子特效、3D或2D遊戲  等等 開發者通常都需要在一開始做規劃 ㄟ  假設我今天要寫 跟影像有關 可能需要偵測、可能需要提取前景、可能需要偵測圓形 之類的 我有  emgucv 、AForge.Net、 opencv 等等可以用 但是 假設我今天要做的應用程序是需要有視窗介面的~~ emgucv 跟 C# windows form 媒合性 就很高 而且直接在 visual studio 做開發 opencv 我可能還需要依賴 Qt 之類等等  framework 假設我今天是要寫一個 演唱會電視牆互動粒子特效 可能就會挑   openframeworks  、 processing 、kinect 來寫互動 Achitecture  --->全稱 :  Software Architecture   軟體架構 Achitecture   由好多 framework 組成 軟體架構(Software Architecture)是一種軟體在開發前的設計藍圖, 用來告訴軟體的結構,功能,介面,用法,與其他系統的構連以及資料交換等等規範, 但它並沒有叫你要用什麼方式實作, 因此軟體架構通常會產生文件,圖樣,原型以及規格等, 就是沒有可用的程式碼,因為那不是軟體架構應該有的東西, 就像蓋房子時是給你藍圖,而不是一幢蓋好的房子。 軟體框架(Framework):是一個已經成形的方法,而且有程式碼實體 (例如鋼構工法也是要有鋼材才能做),並且會告訴你要如何使用它 (即 Framework Documentation,MSDN Library 即為一最佳例子)
    閱讀完整內容

    (2021年度)駕訓學科筆試準備題庫歸納分析_法規是非題

    -
    圖片
      若是出現 「必須」、「必需」、「...必...」、「應由」、「應先」、「應...」 則很高機率是圈 是非通常只要是如下字眼 「不必」+動詞 、「不需」「不須」、「可不」、「可以不」、「可立即」 有出現或符合的都選叉 (X)1.違規記點又不登記在駕照上,所以可以 不必理會 而任意違反交通規則。 (X)2.發生重大交通事故,為迅速恢復交通,清除現場,可 不必等待 肇事處理機關之指示,即可進行。 (X)3.道路駕駛練習,行車前 不必實施 車輛安全檢查,因為那是駕駛教練的工作。 (X)4.開車前, 不必檢查 機件安全,但在行駛中要隨時注意儀錶功能顯示,確保行車安全。 (X)5.煞車油若經常低於"MIN"線,只要添加即可, 不必到修理廠檢修 。 (X)6.冷卻系統只要副水箱在滿水位,主水箱 不必檢查 也不會有問題。 (X)7.引擎冷卻水內含有防凍液或防銹劑,可 不必更換 。 (X)8.儀錶板上的「燃油油量錶」之指針高度,已經降低至「E」點,橘色的「低油料警示燈」點亮時, 不必急著加油 ,到達目的地後再行補充燃油即可。 (X)9.有安全氣囊裝備的汽車, 不必繫 安全帶。 (X)10.煞車時有異音,是正常的情況, 不必檢修 。 (X)11.汽車定期檢驗 不必檢驗 車輛故障標誌,所以隨車不一定要帶車輛故障標誌。 (X)12.開車時 不必理會 義交之指揮,一切以號誌為主。 (X)13.汽車經過隧道,因隧道內燈光明亮視線良好,為省電可 不必開亮 頭燈。 (X)14.駕駛人只求技術優良,對遵守交通規則 不必太重視 。 (X)15.在開車前, 不必檢查 機件,以免耽誤行車時間。 (X)16.遇幼童專用車、校車、身心障礙者用特製車或教練車, 不必禮讓 。 (X)17.行車 不必攜帶 隨車工具。 (X)18.行車起駛前進, 不必顯示 方向燈。 (X)19.汽車通過鐵路平交道,前後兩車間, 不必保持 距離。 (X)20.夜間將車輛停放在無燈光設備及照明不清之道路時,亦 不必顯示 停車燈光或反光標識。 (X)21.在夜間或有霧靄、雨雪、風沙及晝晦時,把車輛停在路旁, 不必顯示 停車燈光或反光標識。 (X)22.汽車駕駛人,僅需具有優良駕駛技術, 不需 具備急救的常識和技能。 (X)23.汽車車身、引擎、底盤、電系等重要設備變更或調換時, 不需 向公路主管機關申請臨時檢驗。
    閱讀完整內容