身份提供器


layout: docs-default

身份提供器

IdentityServer支持通过第三方身份认证器来认证,第三方认证机制必须封装在katana认证中间件中。

katana本身带有Google,Facebook,Twitter,Microsoft Accounts,WS-Federation和OpenID Connect认证中间件。社区也提供了一些其它认证中间件(如 Yahoo, LinkedIn, and SAML2p). 请看 完整列表.

要支持第三方登陆,项目里需要增加一个带IAppBuilder 和 a string 参数的方法。

public static void ConfigureIdentityProviders(IAppBuilder app, string signInAsType)
{
    var google = new GoogleOAuth2AuthenticationOptions
    {
        AuthenticationType = "Google",
        Caption = "Google",
        SignInAsAuthenticationType = signInAsType,
        ClientId = "...",
        ClientSecret = "..."
    };
    app.UseGoogleAuthentication(google);

    var fb = new FacebookAuthenticationOptions
    {
        AuthenticationType = "Facebook",
        Caption = "Facebook",
        SignInAsAuthenticationType = signInAsType,
        AppId = "...",
        AppSecret = "..."
    };
    app.UseFacebookAuthentication(fb);

    var twitter = new TwitterAuthenticationOptions
    {
        AuthenticationType = "Twitter",
        Caption = "Twitter",
        SignInAsAuthenticationType = signInAsType,
        ConsumerKey = "...",
        ConsumerSecret = "..."
    };
    app.UseTwitterAuthentication(twitter);
}

解释

  • AuthenticationType 必须是第三方登录器的唯一标识,这个值会保存在令牌的idp声明中。而且在认证授权的过程中,同样的值会用于身份提供器的预选择中,这个值会存在于acr_values参数里 (详细信息,请看 this ). 在客户端配置中,也会使用这个值来限制客户端中允许的第三方登陆。
  • Caption用于在登陆界面显示第三方登陆名字。如果Caption是空的,这个第三方登陆不会出现在登陆页面。但是可以通过登陆提示使用。
  • SignInAsAuthenticationType 必须填上我们传入的参数 signInAsType

必须把这个方法传递给AuthenticationOptionsIdentityProviders属性里。

var idsrvOptions = new IdentityServerOptions
{
    SiteName = "IdentityServer3",
    Factory = factory,
    SigningCertificate = Cert.Load(),

    AuthenticationOptions = new AuthenticationOptions 
    {
        IdentityProviders = ConfigureIdentityProviders
    }
};

app.UseIdentityServer(idsrvOptions);

添加WS-Federation 第三方登陆

基于WS-Federation的第三方登陆可以和上面一样的方式配置。

出于向后兼容的原因,WS-Federation中间件会监听所有的请求并检查她们带有的token数据。如果有多于一个WS-Federation中间件,就需要显示设置一个唯一的CallbackPath属性,这个属性需要匹配IdP里的返回URL的。注意CallbackPath必须是相对于根目录,不是相对于Identity Server模块的目录。比如:第三方登陆配置post auth tokens 到 http://mydomain.com/SubFolder/IdSrv/MyExternalProvider, 然后 CallbackPath 应该配置为 /SubFolder/IdSrv/MyExternalProvider.

var adfs = new WsFederationAuthenticationOptions
{
    AuthenticationType = "adfs",
    Caption = "ADFS",
    SignInAsAuthenticationType = signInAsType,

    MetadataAddress = "https://adfs.leastprivilege.vm/federationmetadata/2007-06/federationmetadata.xml",
    Wtrealm = "urn:idsrv3"
};
app.UseWsFederationAuthentication(adfs);
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • layout: docs-default 用户服务 用户服务的例子,请看这里 IdentityServer3 定义...
    灭蒙鸟阅读 1,240评论 0 1
  • 这篇文章介绍了Mobile BI(移动商务智能)使用过程中涉及的各种身份认证的方式,主要目的是对这些方式的原理进行...
    雨_树阅读 2,085评论 1 2
  • 请点击此处输入图片描述 中国有一个成语叫“知足常乐”,意思就是自知满足则心常快乐。它强调的是感恩,要感激现在所拥有...
    云淡风轻任平生阅读 1,047评论 0 1
  • 随笔 相由心生,你面部的表情就是你的状态,你随口说出的话就是你心里所想。听了很多课,老师讲的都是让自己回归原始状态...
    遇见继承阅读 109评论 0 0
  • have a crush on sb 迷恋某人 take up/accept the challenge 接受挑战...
    芒果酱紫阅读 302评论 0 0