Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
71 lines (47 sloc) 3.86 KB

IdentityServer4 中文文档 -12- (快速入门)添加外部认证支持


接下来我们将添加外部认证支持。这真的很简单,因为你所需要的实际上只是一个 ASP.NET Core 兼容的认证中间件。

ASP.NET Core 自身已经承载了对 Google,Facebook,Twitter,Microsoft 账户 以及 OpenID Connect 的支持。另外你可以在 这里 找到更多其他的认证提供程序。

添加 Google 支持

为了能够使用 Google 进行身份验证,你首先需要对其进行注册。这应该是在开发人员控制台完成的。创建一个新项目,启用 Google+ API 并且通过添加 /signin-google 路径到你的基地址来配置你本地 IdentityServer 的回调地址(比如:http://localhost:5000/signin-google)。

如果你在 5000 端口上运行 IdentityServer - 那么你可以简单地从以下代码片段中使用客户端id/密码,因为这是我们预先注册的。

首先添加 Google 认证中间 NuGet 程序包到你的项目中(Microsoft.AspNetCore.Authentcation.Google

然后我们要将中间件添加到管道中。顺序很重要,额外的认证中间件必须在 IdentityServer 之后、MVC 之前运行

默认情况下我们会在幕后连接一个 cookie 中间件,这样的话外部认证就能够存储它的输出。你只需要将外部认证中间件添加到管道中,并让它使用 IdentityServerConstants.ExternalCookieAuthenticationScheme 登录方案:

app.UseGoogleAuthentication(new GoogleOptions
{
    AuthenticationScheme = "Google",
    DisplayName = "Google",
    SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme,

    ClientId = "434483408261-55tc8n0cs4ff1fe21ea8df2o443v2iuc.apps.googleusercontent.com",
    ClientSecret = "3gcoTrEDPPJ0ukn_aYYT6PWo"
});

注意:在 ASP.NET Core Identity 中使用外部认证的时候,SignInScheme 必须设置为 Identity.External,而不是 IdentityServerConstants.ExternalCookieAuthenticationScheme

现在运行 MVC 客户端,然后尝试进行认证 - 你将在登录页面上看到一个 Google 按钮:

通过认证后,你可以看到现在的身份信息是由 Google 数据提供的了:

进一步实验

你可以添加额外的外部认证提供程序。我们有一个云托管的 IdentityServer4 示例版本,你可以通过 OpenID Connect 集成它。

首先添加 Microsoft.AspNetCore.Authentication.OpenID Connect Nuget 程序包到你的 IdentityServer 项目中:

![](添加 Microsoft.AspNetCore.Authentication.OpenIdConnect.png)

然后添加对应的中间件:

// 外部 OpenId Connect 认证中间件。
app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
{
    SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme,
    SignOutScheme = IdentityServerConstants.SignoutScheme,
    DisplayName = "开放链接",
    Authority = "https://demo.identiyserver.io/",
    ClientId = "implicit",

    TokenValidationParameters = new TokenValidationParameters
    {
        NameClaimType = "name",
        RoleClaimType = "role"
    }
});

注意:快速入门 UI 会自动提供外部用户。换句话说,如果一个外部用户第一次登陆进来,就会创建一个本地用户,所有外部身份信息都会被复制过来并与新的本地用户关联。处理这种情况的方法完全取决于你怎么想。也许你会想要首先显示某种用户注册页面。默认的快速入门源代码可以在 这里 找到。

You can’t perform that action at this time.