Question

我正在尝试在新项目中使用IdentityServer4。我在PluralSight视频＆＃39;了解ASP.NET核心安全＆＃39; IdentityServer4可以与基于声明的安全性一起使用，以保护Web API。我已将IdentityServer4设置为单独的项目/解决方案。

我还看到你可以添加一个IProfileService来为IdentityServer4返回的令牌添加自定义声明。

一个计划是向用户添加新的声明，以授予他们访问api不同部分的权限。但是，我无法弄清楚如何从api项目管理IdentityServer上的用户声明。我假设我应该调用IdentotyServer4来添加和删除用户声明？

此外，这通常是一种很好的方法，因为我不确定允许客户为自己的内部安全目的向IdentityServer添加声明是否合理 - 并且可能导致冲突（例如，多个客户端使用＆＃39 ;角色＆＃39;声称有价值＆＃39; admin＆＃39;）。也许我应该在api项目中本地处理安全性，然后只使用＆＃39; sub＆＃39;声称要查找它们？

有没有人有这方面的好方法？

由于

Answer 1

旧问题但仍然相关。至少是特权在评论中说的

声明是关于身份 - 而不是权限

这是正确的，但身份也可能包含哪些类型的用户（管理员，用户，经理等），可用于确定API中的权限。也许设置具有特定权限的用户角色？基本上，如果CLIENT1-Admin不具有与CLIENT2-Admin相同的权限，您还可以在客户端之间拆分角色以获得更多控制权。

因此，请将您的角色作为IProfileService中的声明传递。

public class ProfileService : IProfileService
{
    private readonly Services.IUserService _userService;

    public ProfileService(Services.IUserService userService)
    {
        _userService = userService;
    }

    public async Task GetProfileDataAsync(ProfileDataRequestContext context)
    {
        try
        {
            switch (context.Client.ClientId)
            {
                //setup profile data for each different client
                case "CLIENT1":
                {
                    //sub is your userId.
                    var userId = context.Subject.Claims.FirstOrDefault(x => x.Type == "sub");

                    if (!string.IsNullOrEmpty(userId?.Value) && long.Parse(userId.Value) > 0)
                    {
                        //get the actual user object from the database
                        var user = await _userService.GetUserAsync(long.Parse(userId.Value));

                        // issue the claims for the user
                        if (user != null)
                        {
                            var claims = GetCLIENT1Claims(user);

                            //add the claims
                            context.IssuedClaims = claims.Where(x => context.RequestedClaimTypes.Contains(x.Type)).ToList();
                        }
                    }
                }
                break;
                case "CLIENT2":
                {
                    //...
                }
            }
        }
        catch (Exception ex) 
        {
            //log your exceptions
        }
    }

    // Gets all significant user claims that should be included
    private static Claim[] GetCLIENT1Claims(User user)
    {
        var claims = new List<Claim>
        {
            new Claim("user_id", user.UserId.ToString() ?? ""),
            new Claim(JwtClaimTypes.Name, user.Name),
            new Claim(JwtClaimTypes.Email, user.Email ?? ""),
            new Claim("some_other_claim", user.Some_Other_Info ?? "")
        };

        //----- THIS IS WHERE ROLES ARE ADDED ------
        //user roles which are just string[] = { "CLIENT1-Admin", "CLIENT1-User", .. }
        foreach (string role in user.Roles)
            claims.Add(new Claim(JwtClaimTypes.Role, role));

        return claims.ToArray();
    }
}

然后将[Authorize]属性添加到控制器以获取特定权限。这只允许特定角色访问它们，从而设置您自己的权限。

[Authorize(Roles = "CLIENT1-Admin, CLIENT2-Admin, ...")]
public class ValuesController : Controller
{
    //...
}

上述这些声明也可以在身份验证时传递，例如，如果您使用自定义ResourceOwnerPasswordValidator的ResourceOwner设置。您可以像验证方法一样以相同的方式传递声明。

context.Result = new GrantValidationResult(
    subject: user.UserId.ToString(),
    authenticationMethod: "custom",
    claims: GetClaims(user));

所以就像leastprivilege所说的那样，你不想使用IdentityServer来设置权限并将其作为声明传递（比如谁可以编辑哪条记录），因为它们太具体而且混乱了令牌，但设置角色 - < / p>

授予他们访问api不同部分的权限。

用户角色完全没问题。

希望这有帮助。

如何在IdentityServer4

1 个答案: