Asp.Net Core 中IdentityServer4 授权中心之自定义授权模式

一、前言

上一篇我分享了一篇关于 asp.net core 中identityserver4 授权中心之应用实战 的文章，其中有不少博友给我提了问题，其中有一个博友问我的一个场景，我给他解答的还不够完美，之后我经过自己的学习查阅并阅读了相关源代码，发现 identityserver4 可以实现自定义granttype 授权方式。

声明：看这篇文章时如果你没有阅读我上一篇 asp.net core 中identityserver4 授权中心之应用实战 的文章，那请先移步看上面的文章，再来看这篇文章会更加清晰，感谢支持，感谢关注！

二、场景模拟

上篇文章已经把电商系统从单一网关架构升级到多网关架构，架构图如下：

然而上面的授权中心 使用的是密码授权模式，但是对于微信小程序、微信公众号商城端使用的授权还不是很合适；
微信小程序和微信公众号微商城客户端的场景如下：
用户访问小程序商城或者微信公众号商城后会到微信服务端获得授权拿到相关的用户openid、unionid、username 等相关信息，再携带openid、unionid、username等信息访问授权中心网关，进行授权，如果不存在则自动注册用户，如果存在则登录授权成功等操作。那这个场景后我该如何改造授权中心服务网关呢？经过研究和探讨，我把上面的架构图细化成如下的网关架构图：

三、授权中心改造升级

上一篇文章中我们的解决方案中已经建立了三个项目：

• jlion.netcore.identity.service：授权中心 网关 - webapi 项目
• jlion.netcore.identity.userapiservice ：用户业务网关 -webapi项目
• jlion.netcore.identity ：基础类库，主要用于把公共的基础设施层放到这一块

通过上面的需求场景分析，我们目前的授权中心还不够这种需求，故我们可以通过identityserver4 自定义授权方式进行改造升级来满足上面的场景需求。

经过查看源代码我发现我们可以通过实现iextensiongrantvalidator抽象接口进行自定义授权方式来实现，并且实现validateasync 方法，
现在我在之前的解决方案授权中心项目中新增weixinopengrantvalidator类代码如下：

public class weixinopengrantvalidator : iextensiongrantvalidator
{
  public string granttype => granttypeconstants.resourceweixinopen;

  public async task validateasync(extensiongrantvalidationcontext context)
  {
      try
      {
         #region 参数获取
         var openid = context.request.raw[paramconstants.openid];
         var unionid = context.request.raw[paramconstants.unionid];
         var username = context.request.raw[paramconstants.username];
         #endregion

         #region 通过openid和unionid 参数来进行数据库的相关验证
         var claimlist = await validateuserasync(openid, unionid);
         #endregion

         #region 授权通过
         //授权通过返回
         context.result = new grantvalidationresult
         (
             subject: openid,
             authenticationmethod: "custom",
             claims: claimlist.toarray()
         );
         #endregion
     }
     catch (exception ex)
     {
         context.result = new grantvalidationresult()
         {
             iserror = true,
             error = ex.message
         };
     }
  }

   #region private method
   /// <summary>
   /// 验证用户
   /// </summary>
   /// <param name="loginname"></param>
   /// <param name="password"></param>
   /// <returns></returns>
   private async task<list<claim>> validateuserasync(string openid, string unionid)
   {
      //todo 这里可以通过openid 和unionid 来查询用户信息(数据库查询)，
      //我这里为了方便测试还是直接写测试的openid 相关信息用户
      var user = oauthmemorydata.getweixinopenidtestusers();

      if (user == null)
      {
         //注册用户
      }

      return new list<claim>()
      {
          new claim(claimtypes.name, $"{openid}"),
      };
   }
   #endregion
 }

granttypeconstants 代码是静态类,主要用于定义granttype的自定义授权类型，可能后续还有更多的自定义授权方式所以，统一放这里面进行管理，方便维护，代码如下：

 public static class granttypeconstants
 {
     /// <summary>
     /// granttype - 微信端授权
     /// </summary>
     public const string resourceweixinopen = "weixinopen";
 }

paramconstants 类主要是定义自定义授权需要的参数，代码如下：

public class paramconstants
{
    public const string openid = "openid";

    public const string unionid = "unionid";

    public const string username = "user_name";
}

好了上面得自定义验证器已经实现了，但是还不够，我们还需要让客户端支持自定义的授权类型，我们打开oauthmemorydata代码中的getclients,代码如下：

public static ienumerable<client> getclients()
{
    return new list<client>
    {
        new client()
        {
            clientid =oauthconfig.userapi.clientid,
            allowedgranttypes = new list<string>()
            {
                granttypes.resourceownerpassword.firstordefault(),//resource owner password模式
                granttypeconstants.resourceweixinopen,//新增的自定义微信客户端的授权模式
            },
            clientsecrets = {new secret(oauthconfig.userapi.secret.sha256()) },
            allowedscopes= {oauthconfig.userapi.apiname},
            accesstokenlifetime = oauthconfig.expirein,
        },
                
    };
}

客户端allowedgranttypes 配置新增了我刚刚自定义的授权方式granttypeconstants.resourceweixinopen,
现在客户端的支持也已经配置好了，最后我们需要通过addextensiongrantvalidator<>扩展方法把自定义授权验证器注册到di中，代码如下：

public void configureservices(iservicecollection services)
{
    services.addcontrollers();


    #region 数据库存储方式
    services.addidentityserver()
        .adddevelopersigningcredential()
        .addinmemoryapiresources(oauthmemorydata.getapiresources())
        //.addinmemoryclients(oauthmemorydata.getclients())
        .addclientstore<clientstore>()
        .addresourceownervalidator<resourceownerpasswordvalidator>()
        .addextensiongrantvalidator<weixinopengrantvalidator>();
    #endregion
 }

好了，简单的授权中心代码升级已经完成，我们分别通过命令行运行授权中心和用户业务网关 ，之前的用户业务网关无需改动任何代码，运行图分别如下：

jlion.netcore.identity.server 授权中心运行如下

jlion.netcore.identity.userapiserver 用户业务网关运行如下

我们现在用postman模拟openid、unionid、username参数来请求授权中心获得accesstoken，请求如下：

我们再通过postman 携带授权信息访问用户业务网关数据，结果图如下：

好了，自定义授权模式已经完成，简单的授权中心也已经升级完成，上面weixinopengrantvalidator验证器中我没有直接走数据库方式进行验证和注册，简单的写了个demo ，大家有兴趣可以 把todo那一快数据库的操作去实现，代码我已经提交到 github上了，这里再次分享下我博客同步实战的demo 地址 https://github.com/a312586670/identityserverdemo

四、思考与总结

本篇我介绍了自定义授权方式，通过查看源代码及查阅资料学习了identityserver4 可以通过自定义授权方式进行扩展。这样授权中心可以扩展多套授权方式，比如今天所分享的 自定义微信openid 授权、短信验证码授权等其他自定义授权，一套api资源可以兼并多套授权模式，灵活扩展，灵活升级。本篇涉及的知识点不多，但是非常重要，因为我们在使用授权中心统一身份认证时经常会遇到多种认证方式的结合，和多套不同应用用户的使用，在掌握了授权原理后，就能在不同的授权方式中切换的游刃有余，到这里有的博友会问accenttoken 有过期时间，会过期怎么办？难道要重新授权一次吗？这些问题我会安排下一篇文章分享。

灵魂一问：

上面的授权中心 例子主要是为了让大家更好的理解自定义授权的使用场景及它的灵活性，真实的场景这样直接把 openid等相关信息来验证授权安全吗？大家可以可以思考下，如果不安全大家又有什么好的解决方案呢？自我提升在于不停的自我思考，大家可以敬请的发挥自己的思考，把答案留在留言板中，以供大家参考学习，感谢！！！