我们需要为我们构建的多个应用程序创建一个中央auth服务器,同时仍然具有特定于该特定应用程序的角色和声明。让我用微软的各种服务进行类比解释。客户端特定的声明身份server4使用asp.net核心身份
我注册了一个Microsoft帐户,因此我的身份验证信息存储在中央服务器中。现在我登录使用帐户,并假设我登陆在account.microsoft.com,现在我去msdn点击登录,它将我带到auth服务器上的登录页面,然后到同意屏幕并返回到msdn登录,现在我去到Xbox并做同样的事情。现在MDSN和XBOX是两个完全不同的应用程序,每个应用程序都有自己的Api,Web应用程序和移动应用程序,但使用相同的auth服务器。到目前为止,我一直在使用Identity Framework制作独立的应用程序,并且对此非常满意,但这比迄今为止我所做的要复杂得多。我正在浏览IdentityServer4以获得一个中央认证服务器,并且已经完成了官方doc站点上的所有教程,所以我对这些概念有一个基本概念。
我需要的是让每个应用程序都能够指定它自己的一组角色和声明,甚至没有任何有关其他应用程序的知识,并且中央服务器也将启用外部身份验证,因此ASP.NET核心身份在中央服务器。
当前的架构
- 中央身份服务器(使用IdentityServer4,ASP.NET核心身份,实体框架)
- 一个中央数据库的中央服务器
- 多个应用程序集(API,MVC应用程序,Xamarin移动应用)
- 一个或多个数据库的每个应用程序按照需要
的事情,我很能够实现至今
- 自定义身份资源来获得存储在数据库用户的权利要求,但如果我增加一个角色,它多次返回我的角色的次数为API资源和客户
,我在我的脑海里想出了
- 存放在专用的DB权利要求和角色,但我想我将要面对这些问题
-
01备选方案
- 接线认证逻辑过于费力,因为它必须先从中央服务器获取身份,然后从应用程序特定数据库获取声明
- 不知道如何使用asp来完成此任务。在客户端网络身份
- 中央auth服务器上未使用的表
- 跨应用
这些堆栈溢出问题AUTH逻辑重复获得最多的最接近但不是精确解
- ASP.NET Core Identity and Identity Server 4 - [Roles, Claims and IdentityResources]
- IdentityServer, Claims and Roles
- How to add additional claims to be included in the access_token using ASP.Net Identity with IdentityServer4
把我带向正确的方向任何指导将帮助
编辑#1:好像有人检举这个问题作为题外话,所以只是想澄清,我期待对于使用身份服务器4和asp.net核心身份的特定代码/解决方案,并没有提供一些建议,尽管除了答案之外的任何指导都可以得到更好的说明和理解,但只是代码就足够了,我觉得它是按照社区的指导方针。
编辑#2 我试图做的客户端授权由@ travis.js的建议,但我无法理解如何实现对客户端类似[授权(角色=“管理员”)
索赔
您需要指定到目前为止所尝试的内容以及您在代码中遇到的问题?欲了解更多信息,你可以随时参考Idsrv4文档 – Rohit
@Rohit我已经写了我能够实现的东西,直到现在即自定义身份资源获取用户声明存储在分贝,但如果我添加一个角色,我面临的问题它会多次返回我角色的次数,因为API资源和客户端的计数以及我需要的每个应用程序都能够指定它自己的一组角色和声明,甚至没有任何有关其他应用程序的知识也是我已经写了我已经完成了官方文档的所有教程,并阅读了他们的github代码文件的所有文档 –
您是否根据客户端定义了范围?您正在使用什么类型的身份验证模式? – Rohit