郴州网站建设公司简介,银座网上商城,开发一个小程序一般需要多少钱呢,期货交易网站开发—————————Grant_Allen 是一位博客园新晋博主#xff0c;目前开始专注于Azure方向的学习和研究#xff0c;是我认识不多的、打算长时间研究Azure的群友#xff0c;因此打算帮他开个专栏#xff0c;同时也希望并祝愿他能一直坚持下去#xff0c;学有所成。正文一目前开始专注于Azure方向的学习和研究是我认识不多的、打算长时间研究Azure的群友因此打算帮他开个专栏同时也希望并祝愿他能一直坚持下去学有所成。正文一引言 上一节讲到Azure AD的一些基础概念以及Azure AD究竟可以用来做什么本节就接着讲如何在我们的项目中集成Azure AD 包含我们的API资源其实这里还可以在 SPA单页面应用Web项目移动/桌面应用程序集成Azure AD号了废话不多说开始今天的内容。二正文上一篇介绍到 Azure AD 其实是微软基于云的表示和授权访问管理服务它可以帮助我们在Azure中登录和访问资源。我们可以通过Azure的标识平台生成应用程序采用微软表示登录以及获取令牌来调用受保护的API资源。也就是说这一切功能也是基于包含Oauth 2.0和Open ID Connect的身份验证服务。下面先去了解熟悉一下关于Identity Server 4的 OpenID 和 OAuth 的区别以及授权模式如果之前有了解 Identity Server 4 这种授权验证的框架可以跳过下面的介绍identityServer4 知多少圣杰https://www.cnblogs.com/sheng-jie/p/9430920.html授权服务器identityServer4 开篇老张的哲学https://www.cnblogs.com/laozhang-is-phi/p/10483922.html一 OpenID 和 OAuth 的区别 以下的介绍来自google和 OAuth官网 1OpenID 是一个以用户为中心的数字身份识别框架它具有开放、分散性。OpenID 的创建基于这样一个概念我们可以通过 URI 又叫 URL 或网站地址来认证一个网站的唯一身份简单通俗的理解OpenID是用来做为身份验证的 2OAuth 2.0是用于授权的行业标准协议。OAuth 2.0致力于简化客户端开发人员的工作同时为Web应用程序桌面应用程序移动电话和客厅设备提供特定的授权流程。也就是说 OAuth 2.0 是用来进行授权的 3OpenID Connect 是基于OAuth 协议的简单身份层。它允许客户端基于授权服务器执行的身份验证来验证最终用户的身份并以可互操作且类似于REST的方式获取有关最终用户的基本配置文件信息。OpenID Connect允许所有类型的客户端包括基于Web的客户端移动客户端和JavaScript客户端请求并接收有关经过身份验证的会话和最终用户的信息。规范套件是可扩展的允许参与者在对他们有意义的时候使用可选功能例如身份数据加密OpenID提供程序的发现以及会话管理。 OpenID Connect执行许多与OpenID 2.0相同的任务但是这样做的方式是API友好的并且可由本机和移动应用程序使用OpenID Connect定义了用于可靠签名和加密的可选机制。OAuth 1.0a和OpenID 2.0的集成需要扩展而在OpenID Connect中OAuth 2.0功能与协议本身集成在一起。二授权模式 1隐式模式Implicit Flow 2客户端授权模式Client Credentials Flow 3授权码授权模式Authorization Code Flow 4资源持有者密码模式Resource Owner Password Credentials 注意一下这里的密码翻译的不正确应该是单单指密码证书也是可以的 。。。。。等这里暂时只了解这四种常见的授权模式。三添加受保护资源1VS 创建 “Asp.Net Core WebApi” 项目并且添加 “OrderController” 控制器并且新增相应的方法此步骤暂时省略详细代码我整理完成后会添加到github上。2安装 nugetMicrosoft.AspNetCore.Authentication.AzureAD.UI3需要注册验证服务整个地方默认的是 “AzureADJwtBearer”AddAzureADBearer方法绑定Azure AD身份验证终结点租户租户所在的自定义域以及客户端Idservices.AddAuthentication(AzureADDefaults.JwtBearerAuthenticationScheme).AddAzureADBearer(options Configuration.Bind(AzureAd, options));
开启Authentication中间件// open authentication middleware
app.UseAuthentication();
4在Azure Portal 上添加一个租户 4.1 在Azure Portal 上选择 菜单 “Azure Active Directory” 4.2点击图中的 “创建目录” 4.3目录选择默认 “Azure Active Directory”点击 “下一步-配置” 4.4添加对应的组织名称和初始域名 组织名myCommpany 初始域名trainingdiscussion 点击 “产看创建” 进行验证验证完成后点击 “创建” 5注册 “应用程序” 5.1Azure Portal 点击个人头像切换目录 5.2选中刚刚创建的 “MyCompany” 的目录继续在Portal首页左侧选择 “Azure Active Directory”选中 “应用注册” 点击 “新注册” 5.3填写应用注册的一些基本信息 1添加受保护的Api资源的名称也就是我们在VS中创建的.Net Core 的 WebApi 项目我这里暂时命名为 “WebApi” 2选择支持的账户类型我这里选择的是一个多租户的类型 3平台配置选择 Web API这里的平台配置怎么理解就好在Web项目中是在成功验证用户身份后会携带令牌我们作为目标接受的URL,称其为 ”回调地址“ 5.4 点击 ”注册“然后选择 ”管理“---》”身份验证“点击”切换到旧体验“5.5找到隐式授权模式勾选 ”访问令牌“”ID令牌“两个复选框 OK以上我们在Azure Portal 就配置好一个客户端的注册5.6在此我们真正在代码中开启验证的话还需要4个参数也就是上面提到的 ”自定义域Domain“”租户IdTenantId“”客户端IdClientId“”应用注册终结点Instance“ 1DomainTenantId Domain 参数可以在创建目录时先行复制好 2ClientId选择刚刚注册好的应用程序进入应用程序页面后找到对象Id 进行复制操作。 3Instance每个国家都有一个单独的Azure门户。若要在应用程序中与Azure AD进行集成需要在每个特定环境的Azure门户中单独注册应用程序。 所有用于验证应用程序的Azure AD终结点的URL也是不同的适用于美国政府的 Azure AD https://login.microsoftonline.usAzure AD 德国https://login.microsoftonline.de由世纪互联运营的 Azure AD 中国https://login.chinacloudapi.cnAzure AD全球服务 https://login.microsoftonline.com 例如对于 Azure 中国授权常用终结点为https://login.chinacloudapi.cn/common/oauth2/authorize令牌常用终结点为 https://login.chinacloudapi.cn/common/oauth2/token对于单租户应用程序请将先前 URL 中的“common”替换为你的租户 ID 或名称。 示例为 https://login.chinacloudapi.cn/myCommany。6配置文件中的内容如下所示AzureAd: {Instance: https://login.chinacloudapi.cn/,Domain: trainingdiscussion.partner.onmschina.cn,TenantId: 53359126-8bcf-455d-a934-5fe72d349207,ClientId: f38ec09d-203e-4b2d-a1c1-faf76a608528},
给需要验证的方法或者控制器加上验证标签[Authorize]详情请看完整代码完整代码public class Startup{public Startup(IConfiguration configuration, IWebHostEnvironment environment){Configuration configuration;Environment environment;}public IConfiguration Configuration { get; }public IWebHostEnvironment Environment { get; }// This method gets called by the runtime. Use this method to add services to the container.public void ConfigureServices(IServiceCollection services){services.AddSingleton(new Appsettings(Environment.ContentRootPath));services.AddAuthentication(AzureADDefaults.JwtBearerAuthenticationScheme).AddAzureADBearer(options Configuration.Bind(AzureAd, options));services.AddSwaggerGen(c {c.SwaggerDoc(v1, new OpenApiInfo { Title My API, Version v1 });c.AddSecurityDefinition(oauth2, new OpenApiSecurityScheme{Description JWT授权(数据将在请求头中进行传输) 直接在下框中输入Bearer {token}注意两者之间是一个空格\,Type SecuritySchemeType.OAuth2,In ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)Flows new OpenApiOAuthFlows(){Implicit new OpenApiOAuthFlow{Scopes new Dictionarystring, string{{ user_impersonation, Access API }},AuthorizationUrl new Uri($https://login.chinacloudapi.cn/{ Appsettings.app(new string[] { AzureAD, TenantId })}/oauth2/authorize)}}});// 在header中添加token传递到后台c.OperationFilterSecurityRequirementsOperationFilter();});services.AddControllers();}// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.public void Configure(IApplicationBuilder app, IWebHostEnvironment env){if (env.IsDevelopment()){app.UseDeveloperExceptionPage();}#region Swaggerapp.UseSwagger();app.UseSwaggerUI(c {//根据版本名称倒序 遍历展示var ApiName Appsettings.app(new string[] { Startup, ApiName });c.SwaggerEndpoint($/swagger/v1/swagger.json, ${ApiName} v1);c.OAuthClientId(Appsettings.app(new string[] { Swagger, ClientId }));c.OAuthClientSecret(Appsettings.app(new string[] { Swagger, ClientSecret }));c.OAuthRealm(Appsettings.app(new string[] { AzureAD, ClientId }));c.OAuthAppName(My API V1);c.OAuthScopeSeparator( );c.OAuthAdditionalQueryStringParams(new Dictionarystring, string() { { resource, Appsettings.app(new string[] { AzureAD, ClientId }) } });});#endregion// open authentication middlewareapp.UseAuthentication();app.UseRouting();app.UseAuthorization();app.UseEndpoints(endpoints {endpoints.MapControllers();});}}
{Logging: {LogLevel: {Default: Information,Microsoft: Warning,Microsoft.Hosting.Lifetime: Information}},AllowedHosts: *,AzureAd: {Instance: https://login.chinacloudapi.cn/,Domain: trainingdiscussion.partner.onmschina.cn,TenantId: 53359126-8bcf-455d-a934-5fe72d349207,ClientId: f38ec09d-203e-4b2d-a1c1-faf76a608528},Swagger: {ClientId: e15070c3-7e9a-40c0-b73f-2f34fb031641,ClientSecret: // ?fxV//pwlRjwQgoIdLRlPNlWBBQ8939}
}
[Route(api/[controller])][ApiController]public class OrderController : ControllerBase{// GET: api/Order[HttpGet][Authorize]public IEnumerablestring Get(){return new string[] { value1, value2 };}// GET: api/Order/5[HttpGet({id}, Name Get)]public string Get(int id){return value;}// POST: api/Order[HttpPost]public void Post([FromBody] string value){}// PUT: api/Order/5[HttpPut({id})]public void Put(int id, [FromBody] string value){}// DELETE: api/ApiWithActions/5[HttpDelete({id})]public void Delete(int id){}}
7项目添加Swagger的配置使用Swagger进行接口测试- 7.1安装 Swashbuckle.AspNetCore 7.1配置 Swagger 服务并且使用隐式授权模式 services.AddSwaggerGen(c {c.SwaggerDoc(v1, new OpenApiInfo { Title My API, Version v1 });c.AddSecurityDefinition(oauth2, new OpenApiSecurityScheme{Description JWT授权(数据将在请求头中进行传输) 直接在下框中输入Bearer {token}注意两者之间是一个空格\,Type SecuritySchemeType.OAuth2,In ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)Flows new OpenApiOAuthFlows(){Implicit new OpenApiOAuthFlow{AuthorizationUrl new Uri($https://login.chinacloudapi.cn/{ Appsettings.app(new string[] { AzureAD, TenantId })}/oauth2/authorize)}}});// 在header中添加token传递到后台c.OperationFilterSecurityRequirementsOperationFilter();});7.3开启中间件 app.UseSwagger();app.UseSwaggerUI(c {//根据版本名称倒序 遍历展示var ApiName Appsettings.app(new string[] { Startup, ApiName });c.SwaggerEndpoint($/swagger/v1/swagger.json, ${ApiName} v1);c.OAuthClientId(Appsettings.app(new string[] { Swagger, ClientId }));c.OAuthClientSecret(Appsettings.app(new string[] { Swagger, ClientSecret }));c.OAuthRealm(Appsettings.app(new string[] { AzureAD, ClientId }));c.OAuthAppName(My API V1);c.OAuthScopeSeparator( );c.OAuthAdditionalQueryStringParams(new Dictionarystring, string() { { resource, Appsettings.app(new string[] { AzureAD, ClientId }) } });});详细代码请看上面的的完整代码☝☝☝☝☝ 7.4注册应用程序Swagger 1现在我们将为Swagger添加一个 Azure AD 应用程序并授予它向 Web API 应用程序发出请求的权限 注意重定向URL的地址这里需要配置 swagger 的回调地址localhost:9021 是项目运行的地址 勾选启用隐式授权模式的 ”访问令牌“”ID令牌“2转到 WebApi 应用添加任意scopescope名随便定义那此应用的API将会被公开暴露我们这里添加了一个scope读) 3将应用程序ID复制到appsettings中的Swagger:ClientId4转到 “Swagger” 的应用注册点击”添加权限“---》“委托的权限” 来添加下面绿框架中的两个权限管理员同意后前端应用就拥有调用后端API的权限了。 8测试效果 启动项目在项目的 “Swagger” 首页点击 Try it out 尝试调用 api/order 接口Response 提示 401 无访问权限此时我们可以在Swagger首页点击 ”Authorize“ 验证和访问Api资源 登陆Azure账户进行认证授权 再次调用 api/Order 接口 Response200 OK 砰????????????????????????????????成功 三结尾今天的文章大概介绍了如果在我们的项目中集成Azure AD以及如果在 Swagger中使用隐士授权模式来访问Api资源今天就先分享到这里上面演示的是如果在Swagger中使用隐式访问模式访问受保护的资源下一篇继续介绍如何使用其他类型的授权访问模式来访问由Azure AD受保护的API资源。代码稍等我会整理一下上传到github中作者Allen 版权转载请在文章明显位置注明作者及出处。如发现错误欢迎批评指正。
