首页 文章

IdentityServer4 - API的用户权限

提问于
浏览
3

我目前正在 Build 一个带有Web API和MVC UI的新项目(最终将拥有一个可以与同一API通信的移动UI) .

所以,我有以下计划:

  • 用户导航到MVC UI,将其带到IdentityServer4服务器以登录或注册
    然后将

  • IdentityServer用户添加到数据库中的应用程序自己的用户表中

  • 然后可以在用户上设置权限以限制其访问权限

这意味着身份服务器只是一个身份服务器(这意味着我允许人们通过谷歌等登录,而不必担心他们的角色和权限) .

所以,要实现上述目标,我需要检查用户对API的权限,而不是客户端(客户端可以是任何东西 - 网络,手机应用程序,JavaScript客户端等等,所以我们不能依赖它来处理用户权限) .

在API上,我实现了Permissionhandler和PermissionRequirement授权策略 . 因此,在API控制器或方法上,我可以执行以下操作:[Authorize(Policy =“CreateUser”)] . 看起来我需要根据系统权限制定策略 .

所以在授权处理程序中我需要:

  • 获取当前用户的用户名

  • 如果它们存在于应用程序数据库中,请检查其权限并进行身份验证或拒绝

  • 如果它们不存在于应用程序数据库中,请添加它们,然后我们可以稍后从管理面板设置其权限

在我尝试从身份服务器请求用户的用户名之前,情况一直很顺利 . 我知道我需要使用UserInfoClient来做到这一点,但我无法弄清楚如何使用用户的令牌/凭证从身份服务器获取他们的声明或至少获取他们的User.Identity.Name .

现在我可以使用子ID将用户添加到应用程序数据库,但是无论谁管理权限都不知道该人是谁,所以我需要真正使用他们的电子邮件 .

现在在MVC客户端中,我可以看到User.Identity.Name没有任何问题,但在API中该值为null!?

所以我的问题是:我如何从API中获取当前用户的Identity.Name,用户名或电子邮件?

谢谢 .

c# asp.net-mvc api permissions identityserver4

2 回答

  • 2

    我想我现在已经破解了它 .

    var mvcContext = context.Resource as Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext;
        if (mvcContext != null)
        {
            // Use the UserInfo endpoint to get the user's claims
            var discoveryClient = new DiscoveryClient("http://localhost:5000");
            var doc = await discoveryClient.GetAsync();

            var accessToken = await mvcContext.HttpContext.Authentication.GetTokenAsync("access_token");

            var userInfoClient = new UserInfoClient(doc.UserInfoEndpoint);
            var response = await userInfoClient.GetAsync(accessToken);

            var claims = response.Claims;
        }

    这在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies的底部详细说明,所以根据微软的说法,这是正确的方法 .

    然而你确实激发了这个想法,谢谢Win . 几个小时我一直盯着这个血腥的东西 . 你有时需要的只是别人说些什么,什么,诅咒都破了! :)

    如果有人的话,我仍然愿意接受更好的方法 .

    干杯

    回复于
  • 3

    我相信你已经在 Web API 中配置 IdentityServerAuthentication ,类似于this -

    public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
   ...
   app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
   {
      Authority = "http://UrlOfIentityServer",
      RequireHttpsMetadata = false,
      ApiName = "exampleapi"
   });
   ...
}

    当您进行Web服务调用时,您需要传递从 IdentityServer 收到的 token ,如this -

    using (var httpClient = new HttpClient())
{
   string accessToken = await HttpContext.Authentication.GetTokenAsync("access_token");

   httpClient.BaseAddress = new Uri("http://UrlOfWebAPI");
   httpClient.DefaultRequestHeaders.Clear();
   httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);

   return await httpClient.GetStringAsync("api/clock/time");
}
    回复于

相关问题