我试图通过身份服务器让我的脑袋脱离 Cloud 端 .
我想实现身份服务器项目以进行身份验证
-
ASP.NET MVC 5应用程序
-
ASP.NET Web API
-
一个Windows服务实现
Int this blog post我已经阅读了有关客户的一些细节 . 作者简单地说:
OAuth 2为不同的用例提供了几种“授权类型” . 定义的授权类型包括:在Web服务器上运行的应用程序的授权代码对基于浏览器或移动应用程序的隐式使用用户名和密码登录的密码应用程序访问的客户端凭据
授权码和隐式之间有什么区别?这是否意味着隐式应该用于例如javascript代码?
说我需要:
-
ASP.NET MVC应用程序的密码授予
-
Web API的客户端凭据
-
Windows服务的授权码?
另外一个问题,我想基于Bearer Token和简单的apiKey在我的web api中实现授权 . 这两种类型都可以融合吗?如何使用Identity Server实现apiKey?
非常感谢,如果这些都是愚蠢的问题,请原谅 .
1 回答
我尽力保持这个答案简短(但我被迫添加了很多背景来理解答案)
Confidential vs Public Clients
客户端(代表您请求访问的应用程序 - MVC App,SPA等)根据其与授权服务器(在我们的示例中为Identity Server)进行安全身份验证的能力分类为机密客户端和公共客户端 .
例如,Web应用程序(MVC App)被认为是机密客户端,因为它是在安全服务器上实现的,并且能够通过授权服务器进行安全的客户端身份验证(通过反向信道 - 无需用户代理或公共信道的参与) . 此外,它可以维护保护免受公共访问的秘密令牌(基本上是客户端凭证,access_token和刷新令牌)(例如,由用户代理/资源所有者)
然而,基于用户代理的应用程序(SPA)和本机应用程序(移动应用程序)被视为公共客户端 . 这是因为资源所有者可以轻松访问协议数据和客户端凭据 .
Authorization Code Grant
Oauth2 Spec将授权代码授予定义为:
这简单地说,授权代码流针对通过用户代理(浏览器)与资源所有者交互的机密客户端进行了优化,该用户代理能够接收和重定向来自Auth服务器(Identity Server)的传入请求 .
在抽象术语中 - 授权代码流程具有以下顺序,
资源所有者使用授权服务器验证(通过 - 用户代理)并获取authorization_code
资源所有者向客户端提供Authorization_code(从授权服务器重定向后通过用户代理)
客户端使用授权服务器进行身份验证(通过反向信道请求)并交换Authorization_code以获取access_token
access_token存储在客户端中,资源所有者被重定向到适当的资源
由于Client(MVC App)具有access_token,因此它可以从授权服务器请求刷新令牌(如果需要) .
但重要的一点是 - 在授权代码流中,资源所有者永远不会看到(或有权访问)Access_token . 客户安全地存储它 .
Implicit grant
Oauth2 Spec将隐式授权定义为:
所以主要区别在于:
在隐式授权中,客户端不会单独请求授权和访问令牌 .
授权和访问令牌都传递给资源所有者,编码到重定向URI中
这会导致此处描述的安全漏洞https://tools.ietf.org/html/rfc6749#section-10.16
由于这些安全隐患,通过体系结构,不会向公共客户端发布刷新令牌(无法保持客户端机密,因此Access_token和刷新令牌)
是 . 由于上面讨论的细节和通常的做法,大多数JS / SPA使用Oauth2隐式流来保护应用程序 .
(为了避免混淆,请跳过此本部有这种隐含的流动几个变化 . 总体而言,的oauth2规格在本质上,这导致我们沿的oauth2建议建行的几个混合/自定义实现流体 . OpenID的连接解决一些关注点,是在Oauth2之上构建的相对新的(和成熟的)规范)
密码授权旨在用于资源所有者与客户端具有强信任关系的场景(例如本机应用程序) . 对于此用例,建议的授权类型将是授权代码流 .
你是对的 . 当应用程序本身也是资源所有者时,将使用客户端凭据授予类型
由于规范中的上述原因(用户代理重定向要求等),授权代码流将不适合此处 . 根据Windows服务的类型,我将使用客户端凭据或密码授予类型
我不是100%肯定你的要求 . 但是,如果你可以发布一些关于你想要达到的目标的更多细节和背景here . 我很确定Brock / Dominick应该能够证实 .