IdentityServer4 中文文档 -13- （快速入门）切换到混合流并添加 API 访问

---

原文：http://docs.identityserver.io/en/release/quickstarts/5_hybrid_and_api_access.html

目 录

上一篇：IdentityServer4 中文文档 -12- （快速入门）添加外部认证支持

下一篇：IdentityServer4 中文文档 -14- （快速入门）使用 ASP.NET Core Identity

在之前的快速入门中我们探讨了 API 访问和用户认证。现在我们想要把这两部分结合起来。

OpenID Connect 和 OAuth 2.0 结合的美妙之处在于，你既可以使用单一的协议，也可以向令牌服务做一次往返交互。

之前我们使用的是 OpenID Connect 隐式流。在隐式流中所有令牌都通过浏览器来传输，这对于 身份令牌 来说是完全没有问题的。现在我们还想要请求一个 访问令牌。

与身份令牌相比，访问令牌更加敏感，如果没有必要，我们是不会想将他们暴露给“外部世界”的。OpenID Connect 包含了一个叫做 “混合流（Hybrid flowe）” 的流，它为我们提供了两方面优点 —— 身份令牌通过浏览器频道来传输，这样客户端就能够在做任何工作前验证它；如果验证成功了，客户端就会打开一个后端通道来连接令牌服务以检索访问令牌。

修改客户端配置

需要修改的东西不是很多。首先我们想要允许客户端使用混合流（Hybrid Flow），另外我们还想要客户端允许服务于服务之间的 API 调用，并且这种调用不会与用户上下文混杂在一起（这与我们的客户端凭证快速入门非常相似）。这是使用 AllowedGrantTypes 属性来表示的。

然后我们要添加一个客户端密码，这将被用于在后端通道上检索访问令牌。

最后我们还要允许客户端访问 offline_access scope - 这允许为长期使用的 API 访问请求刷新令牌：

new Client

{

    ClientId = "mvc",

    ClientName = "MVC 客户端",

    AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,

    ClientSecrets =

    {

        new Secret("secret".Sha256())

    },

    RedirectUris           = { "http://localhost:5002/signin-oidc" },

    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

    AllowedScopes =

    {

        IdentityServerConstants.StandardScopes.OpenId,

        IdentityServerConstants.StandardScopes.Profile,

        "api1"

    },

    AllowOfflineAccess = true

};

修改 MVC 客户端

对 MVC 客户端的修改同样也很少 - ASP.NET Core OpenID Connect 中间件是内置支持混合流的，所以我们只需要更改一些配置值。

我们配置 ClientSecret 以让它跟 IdentityServer 上的信息相匹配。添加 offline_access scopes，然后设置 ResponseType 为 code id_token（基本的意思就是“使用混合流”）

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions

{

    AuthenticationScheme = "oidc",

    SignInScheme = "Cookies",

    Authority = "http://localhost:5000",

    RequireHttpsMetadata = false,

    ClientId = "mvc",

    ClientSecret = "secret",

    ResponseType = "code id_token",

    Scope = { "api1", "offline_access" },

    GetClaimsFromUserInfoEndpoint = true,

    SaveTokens = true

});

当你运行 MVC 客户端的时候，不会有太大的区别。除此之外，授权确认页现在还会向你请求访问 额外的 API 和 离线访问（offline access） scope。

使用访问令牌

OpenID Connect 中间件会自动为你保存令牌（身份令牌，访问令牌和现在我们例子中的刷新令牌）。这就是 SaveTokens 设置的效果。

技术上，令牌是存储在 cookie 的属性片段之内的，访问它们最简单的方式是使用 Microsoft.AspNetCore.Authentication 名称空间下的扩展方法。

比如在你的身份信息视图上：

<dt>access token</dt>

<dd>@await ViewContext.HttpContext.Authentication.GetTokenAsync("access_token")</dd>

<dt>refresh token</dt>

<dd>@await ViewContext.HttpContext.Authentication.GetTokenAsync("refresh_token")</dd>

为了使用访问令牌访问 API，你所需要做的只是检索令牌，然后将其设置到你的 HttpClient 中：

public async Task<IActionResult> CallApiUsingUserAccessToken()

{

    var accessToken = await HttpContext.Authentication.GetTokenAsync("access_token");

    var client = new HttpClient();

    client.SetBearerToken(accessToken);

    var content = await client.GetStringAsync("http://localhost:5001/identity");

    ViewBag.Json = JArray.Parse(content).ToString();

    return View("json");

}

目 录

上一篇：IdentityServer4 中文文档 -12- （快速入门）添加外部认证支持

下一篇：IdentityServer4 中文文档 -14- （快速入门）使用 ASP.NET Core Identity

IdentityServer4 中文文档 -13- （快速入门）切换到混合流并添加 API 访问的更多相关文章

1. IdentityServer4 中文文档 -14- （快速入门）使用 ASP.NET Core Identity

   IdentityServer4 中文文档 -14- (快速入门)使用 ASP.NET Core Identity 原文:http://docs.identityserver.io/en/release ...

2. IdentityServer4 中文文档 -12- （快速入门）添加外部认证支持

   IdentityServer4 中文文档 -12- (快速入门)添加外部认证支持 原文:http://docs.identityserver.io/en/release/quickstarts/4_e ...

3. IdentityServer4 中文文档 -8- （快速入门）设置和概览

   IdentityServer4 中文文档 -8- (快速入门)设置和概览 原文:http://docs.identityserver.io/en/release/quickstarts/0_overv ...

4. IdentityServer4 中文文档 -16- （快速入门）使用 EntityFramework Core 存储配置数据

   IdentityServer4 中文文档 -16- (快速入门)使用 EntityFramework Core 存储配置数据 原文:http://docs.identityserver.io/en/r ...

5. IdentityServer4 中文文档 -15- （快速入门）添加 JavaScript 客户端

   IdentityServer4 中文文档 -15- (快速入门)添加 JavaScript 客户端 原文:http://docs.identityserver.io/en/release/quicks ...

6. IdentityServer4 中文文档 -11- （快速入门）添加基于 OpenID Connect 的用户认证

   IdentityServer4 中文文档 -11- (快速入门)添加基于 OpenID Connect 的用户认证 原文:http://docs.identityserver.io/en/releas ...

7. IdentityServer4 中文文档 -9- （快速入门）使用客户端凭证保护API

   IdentityServer4 中文文档 -9- (快速入门)使用客户端凭证保护API 原文:http://docs.identityserver.io/en/release/quickstarts/ ...

8. IdentityServer4 中文文档 -10- （快速入门）使用密码保护API

   IdentityServer4 中文文档 -10- (快速入门)使用密码保护API 原文:http://docs.identityserver.io/en/release/quickstarts/2_ ...

9. IdentityServer4【QuickStart】之切换到混合流并且添加API访问

   切换到混合流并且添加API访问 前面的示例中我们开发了API访问和用户认证,现在我们要将两个合并到一起. OpenID Connect&OAuth 2.0组合的美妙之处是,你可以使用单一协议和 ...

随机推荐

1. C/C++学习链接

   C/C++堆和栈的区别:http://blog.csdn.net/hairetz/article/details/4141043

2. oracle数据库从入门到精通之四

   序列是oracle中较为重要的概念事务对于ddl是不起作用的查询,更新,数据表,约束这些个概念要掌握.在许多数据库之中都会存在一种数据类型--自动增长列,它能够创建流水号12c之前并没有提供这样一个自 ...

3. CSS 居中方法集锦

   记录收集纯CSS层面实现的水平.垂直居中方法可用于块级.行内快.内联元素以及文字图片等. 水平或垂直居中 1.1 text-align 1.2 margin 1.3 line-height 1.4 p ...

4. [原]OpenGL基础教程（五）缓冲区数据更新方式

   1.glBufferSubData 适用于相同数据类型 void SetPositionY(float y){    vector<Vector3<float>>::itera ...

5. 更加直观地了解hasLayout和BFC

   网络上有很多关于hasLayout和BFC相关的文章,但是大部分都显得有些晦涩难懂.所以想用一些比较直观的例子来说明hasLayout和BFC给平时的布局带来的影响. 基础知识 在讲hasLayout ...

6. IO流基础加强

   字节流对象:InputStream,OutputStream 缓冲字节流对象:BufferedInputStream , BufferedOutputStream 用法和字符流对象一样,但也有区别, ...

7. 151&period; Reverse Words in a String（java 注意细节处理）

   题目:reverse words in a string Given an input string, reverse the string word by word. For example,Giv ...

8. js语言中的新发现和一些总结

   js中定义变量加var和不加var的区别 原创 2016年09月01日 10:17:33 标签: js 3658 这个问题其实我在面试的时候有被问到过,当时我记得我回答的很模糊,面试官看到我好像不太清 ...

9. 运行批处理文件怎么不显示DOS命令窗口

   运行批处理文件怎么不显示DOS命令窗口   BAT没法不显示DOS窗口.你可以考虑用脚本保持以下到文本文件,重命名为AutoUp_ddyy.vbs set WshShell = WScript.Cre ...

10. codeforces水题100道 第二十二题 Codeforces Beta Round &num;89 &lpar;Div&period; 2&rpar; A&period; String Task &lpar;strings&rpar;

    题目链接:http://www.codeforces.com/problemset/problem/118/A题意:字符串转换……C++代码: #include <string> #inc ...