一、前言

上一篇我分享了一篇關于 Asp.Net Core 中IdentityServer4 授權中心之應用實戰 的文章，其中有不少博友給我提了問題，其中有一個博友問我的一個場景，我給他解答的還不夠完美，之后我經過自己的學習查閱并閱讀了相關源代碼，發現 IdentityServer4 可以實現自定義GrantType 授權方式。

聲明：看這篇文章時如果你沒有閱讀我上一篇 Asp.Net Core 中IdentityServer4 授權中心之應用實戰 的文章，那請先移步看上面的文章，再來看這篇文章會更加清晰，感謝支持，感謝關注！

二、場景模擬

上篇文章已經把電商系統從單一網關架構升級到多網關架構，架構圖如下：

然而上面的授權中心 使用的是密碼授權模式，但是對于微信小程序、微信公眾號商城端使用的授權還不是很合適； 微信小程序和微信公眾號微商城客戶端的場景如下： 用戶訪問小程序商城或者微信公眾號商城后會到微信服務端獲得授權拿到相關的用戶openId、unionId、userName 等相關信息，再攜帶openId、unionId、userName等信息訪問授權中心網關，進行授權，如果不存在則自動注冊用戶，如果存在則登錄授權成功等操作。那這個場景后我該如何改造授權中心服務網關呢？經過研究和探討，我把上面的架構圖細化成如下的網關架構圖：

三、授權中心改造升級

通過上面的需求場景分析，我們目前的授權中心還不夠這種需求，故我們可以通過IdentityServer4 自定義授權方式進行改造升級來滿足上面的場景需求。

經過查看源代碼我發現我們可以通過實現IExtensionGrantValidator抽象接口進行自定義授權方式來實現，并且實現ValidateAsync 方法， 現在我在之前的解決方案授權中心項目中新增WeiXinOpenGrantValidator類代碼如下：

public class WeiXinOpenGrantValidator : IExtensionGrantValidator {public string GrantType => GrantTypeConstants.ResourceWeixinOpen;public async Task ValidateAsync(ExtensionGrantValidationContext context){try{#region 參數獲取var openId = context.Request.Raw[ParamConstants.OpenId];var unionId = context.Request.Raw[ParamConstants.UnionId];var userName = context.Request.Raw[ParamConstants.UserName];#endregion#region 通過openId和unionId 參數來進行數據庫的相關驗證var claimList = await ValidateUserAsync(openId, unionId);#endregion#region 授權通過//授權通過返回context.Result = new GrantValidationResult(subject: openId,authenticationMethod: "custom",claims: claimList.ToArray());#endregion}catch (Exception ex){context.Result = new GrantValidationResult(){IsError = true,Error = ex.Message};}}#region Private Method/// <summary>/// 驗證用戶/// </summary>/// <param name="loginName"></param>/// <param name="password"></param>/// <returns></returns>private async Task<List<Claim>> ValidateUserAsync(string openId, string unionId){//TODO 這里可以通過openId 和unionId 來查詢用戶信息(數據庫查詢)，//我這里為了方便測試還是直接寫測試的openId 相關信息用戶var user = OAuthMemoryData.GetWeiXinOpenIdTestUsers();if (user == null){//注冊用戶}return new List<Claim>(){new Claim(ClaimTypes.Name, $"{openId}"),};}#endregion}

GrantTypeConstants 代碼是靜態類,主要用于定義GrantType的自定義授權類型，可能后續還有更多的自定義授權方式所以，統一放這里面進行管理，方便維護，代碼如下：

public static class GrantTypeConstants{/// <summary>/// GrantType - 微信端授權/// </summary>public const string ResourceWeixinOpen = "weixinopen";}

ParamConstants 類主要是定義自定義授權需要的參數，代碼如下：

public class ParamConstants {public const string OpenId = "openid";public const string UnionId = "unionid";public const string UserName = "user_name"; }

好了上面得自定義驗證器已經實現了，但是還不夠，我們還需要讓客戶端支持自定義的授權類型，我們打開OAuthMemoryData代碼中的GetClients,代碼如下：

public static IEnumerable<Client> GetClients() {return new List<Client>{new Client(){ClientId =OAuthConfig.UserApi.ClientId,AllowedGrantTypes = new List<string>(){GrantTypes.ResourceOwnerPassword.FirstOrDefault(),//Resource Owner Password模式GrantTypeConstants.ResourceWeixinOpen,//新增的自定義微信客戶端的授權模式},ClientSecrets = {new Secret(OAuthConfig.UserApi.Secret.Sha256()) },AllowedScopes= {OAuthConfig.UserApi.ApiName},AccessTokenLifetime = OAuthConfig.ExpireIn,},}; }

客戶端AllowedGrantTypes 配置新增了我剛剛自定義的授權方式GrantTypeConstants.ResourceWeixinOpen, 現在客戶端的支持也已經配置好了，最后我們需要通過AddExtensionGrantValidator<>擴展方法把自定義授權驗證器注冊到DI中，代碼如下：

public void ConfigureServices(IServiceCollection services) {services.AddControllers();#region 數據庫存儲方式services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryApiResources(OAuthMemoryData.GetApiResources())//.AddInMemoryClients(OAuthMemoryData.GetClients()).AddClientStore<ClientStore>().AddResourceOwnerValidator<ResourceOwnerPasswordValidator>().AddExtensionGrantValidator<WeiXinOpenGrantValidator>();#endregion}

好了，簡單的授權中心代碼升級已經完成，我們分別通過命令行運行授權中心和用戶業務網關 ，之前的用戶業務網關無需改動任何代碼，運行圖分別如下：

Jlion.NetCore.Identity.Server 授權中心運行如下

Jlion.NetCore.Identity.UserApiServer 用戶業務網關運行如下

我們現在用postman模擬openId、unionId、userName參數來請求授權中心獲得AccessToken，請求如下：

我們再通過postman 攜帶授權信息訪問用戶業務網關數據，結果圖如下：

好了，自定義授權模式已經完成，簡單的授權中心也已經升級完成，上面WeiXinOpenGrantValidator驗證器中我沒有直接走數據庫方式進行驗證和注冊，簡單的寫了個Demo ，大家有興趣可以 把TODO那一快數據庫的操作去實現，代碼我已經提交到 github上了，這里再次分享下我博客同步實戰的demo 地址 https://github.com/a312586670/IdentityServerDemo

四、思考與總結

本篇我介紹了自定義授權方式，通過查看源代碼及查閱資料學習了IdentityServer4 可以通過自定義授權方式進行擴展。這樣授權中心可以擴展多套授權方式，比如今天所分享的 自定義微信openId 授權、短信驗證碼授權等其他自定義授權，一套Api資源可以兼并多套授權模式，靈活擴展，靈活升級。本篇涉及的知識點不多，但是非常重要，因為我們在使用授權中心統一身份認證時經常會遇到多種認證方式的結合，和多套不同應用用戶的使用，在掌握了授權原理后，就能在不同的授權方式中切換的游刃有余，到這里有的博友會問AccentToken 有過期時間，會過期怎么辦？難道要重新授權一次嗎？這些問題我會安排下一篇文章分享。

靈魂一問：

上面的授權中心 例子主要是為了讓大家更好的理解自定義授權的使用場景及它的靈活性，真實的場景這樣直接把 openId等相關信息來驗證授權是不安全的，也是不建議的。大家可以思考下為什么不安全？那么要解決這個安全問題大家又有什么好的解決方案呢？自我提升在于不停的自我思考，大家可以敬請的把自己想到的解決方案留在下面，以供大家參考學習，感謝！！！

歡迎大家微信掃碼關注【dotNET博士】公眾號

dotNET博士

總結

以上是生活随笔為你收集整理的.net授权获取openid_Asp.Net Core 中IdentityServer4 授权中心之自定义授权的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。