IdentityServer4(OAuth2.0服务)折腾笔记

以下，称这个使用了IdentityServer4的OAuth2.0服务的项目称为Passport项目。

组件说明（Nuget）

Passport项目所需组件

• 项目以Asp.net Core Identity项目模板初始化，集成IdentityServer4中间件；

• 集成IdentityServer4.AspNetIdentity用于管理User体系；

• 集成IdentityServer4.EntityFramework用于持久化OAuth2.0相关角色数据；

• 集成NLog.Web.AspNetCore用于输出日志；

• 集成System.Security.Cryptography.Csp使用RSA进行Token签名；

ApiResource（提供Api服务，注册到Passport中）所需组件

• 如果是Asp.Net Core WebApi项目：集成IdentityServer4.AccessTokenValidation(使用Authorize Policy机制即可)；

• 如果是Asp.Net WebApi项目：集成IdentityServer3.AccessTokenValidation（中间件）+Thinktecture.IdentityModel.WebApi.ScopeAuthorization（提供ScopeAuthorize）

Client所需组件 IdentityModel（提供TokenClient）

注意事项：

• 其一，ApiResource 无需配置ApiSecret（中间件会请求http://{passport-project-domain}/.well-known/openid-configuration/jwks获取RSA公钥验签）;

• 其二，Client端（调用方）必须设置密码（clientId,clientSecret,请求所需scopes）

• 其三，配置RSA的时候，千万不能忘记设置KeyId，否则IdentityServer3.AccessTokenValidation获取jwks时kid为null将抛异常。建议KeyId和Rsa的Base64字符串一起存配置文件。参考issue

搭建路线

1. IdentityServer4官方文档:using-asp-net-core-identity

2. IdentityServer4官方文档:using-entityframework-core-for-configuration-data

3. （可选）UI方面可临时用quickstart-ui

4. （可选）如果是IdentityServer3，还有IdentityServer3.Admin和IdentityServer3.Admin.EntityFramework

5. Token签名及验签机制选择:RSA。配置方法参考，再强调一遍千万不能忘记设置KeyId

6. ApiResource及Client的配置参考IdentityServer3和4各组件兼容性测试项目

7. Asp.Net WebApi(非.Net Core项目)对Scope进行细粒度验证（落实到一个具体Api），使用ScopeAuthorize,安装Nuget组件源码参考
   Install-Package Thinktecture.IdentityModel.WebApi.ScopeAuthorization

Asp.Net Core项目部署笔记

1. 服务器安装DotNetCore.1.0.4_1.1.1-WindowsHosting.exe

2. 服务器管理员cmd执行 net stop was /y && net start w3svc

3. 新建站点

4. 站点应用程序池设为无托管代码（IIS仅作为反向代理和方便站点发布）

5. 启用web部署

6. 手动vs发布，选iis，webdeploy，执行连接字符串，指定迁移连接字符串

7. 如果遇到IIS Aspnet Core Module启动dotnet进程失败，web.config启用stdoutLogEnabled，并创建logs目录，查看错误信息

参考资源

• IdentityServer4官方文档

• IdentityServer3和4各组件兼容性测试项目

• IdentityServer4.Samples

• validating-scopes-in-asp-net-4-and-5

• ASP.NET Core实现OAuth2.0的ResourceOwnerPassword和ClientCredentials模式

• NLog.Web/wiki/Getting-started-with-ASP.NET-Core-(csproj—vs2017)

• Host on Windows with IIS

原文地址：http://personball.com/oauth2/2017/06/04/tips-of-identity-server-4-application
         
.NET社区新闻，深度好文，微信中搜索dotNET跨平台或扫描二维码关注