如何在 .net core 5.0 中使用 keycloak 和 AspNet Core Identity?
How to use keycloak in .net core 5.0 with AspNet Core Identity?
我在我的项目中使用带有 CQRS 的 aspnet core 5.0 webapi,并且已经有 jwt 实现。不使用来自 aspnet core 的角色管理,而是为 aspnet 用户手动添加 table 角色字段,它无处不在。在互联网上我找不到任何文章来为现有的身份验证和授权实施密钥斗篷。我的观点是现在用户使用他们的电子邮件+密码登录,这个想法并不适用于所有用户,但对于他们已经存储在 keycloak 中的某些用户,或者对于我们将存储在那里的某些用户,也可以选择使用 keycloak 登录我们的应用程序。
场景 1:
我的数据库和 keycloak 中都有 admin@gmail.com 并且他们都是管理员角色,我需要授予两者的访问权限才能登录我的应用程序,第一个场景已经工作需要在旁边实现第二个场景第一.
只找到这篇实现安全应用程序的文章(因为我们已经有了,不是试图替换而是扩展)
我的 jwt 配置如下:
public static IServiceCollection AddCustomAuthentication(this IServiceCollection services,
IConfiguration configuration)
{
var key = new SymmetricSecurityKey(
Encoding.UTF8.GetBytes(configuration.GetSection("AppSettings:Token").Value));
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(opt =>
{
opt.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = key,
ValidateAudience = false,
ValidateIssuer = false,
ClockSkew = TimeSpan.Zero
};
opt.Events = new JwtBearerEvents
{
OnAuthenticationFailed = context =>
{
if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
{
context.Response.Headers.Add("Token-Expired", "true");
}
return Task.CompletedTask;
}
};
});
return services;
}
我的 jwt 服务看起来像:
public JwtGenerator(IConfiguration config)
{
_key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(config.GetSection("AppSettings:Token").Value));
}
public string CreateToken(User user)
{
var claims = new List<Claim>
{
new(ClaimTypes.NameIdentifier, user.Id),
new(ClaimTypes.Email, user.Email),
new(ClaimTypes.Name, user.UserName),
new(ClaimTypes.Role, user.Role.ToString("G").ToLower())
};
var creds = new SigningCredentials(_key, SecurityAlgorithms.HmacSha512);
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(claims),
Expires = DateTime.UtcNow.AddMinutes(15),
SigningCredentials = creds
};
var tokenHandler = new JwtSecurityTokenHandler();
var token = tokenHandler.CreateToken(tokenDescriptor);
return tokenHandler.WriteToken(token);
}
我的登录方法如下:
public async Task<GetToken> Handle(LoginCommand request, CancellationToken cancellationToken)
{
var user = await _userManager.FindByEmailAsync(request.Email);
if (user == null)
throw new BadRequestException("User not found");
UserManagement.ForbiddenForLoginUser(user);
var result = await _signInManager.CheckPasswordSignInAsync(user, request.Password, false);
if (result.Succeeded)
{
user.IsRoleChanged = false;
RefreshToken refreshToken = new RefreshToken
{
Name = _jwtGenerator.GenerateRefreshToken(),
DeviceName = $"{user.UserName}---{_jwtGenerator.GenerateRefreshToken()}",
User = user,
Expiration = DateTime.UtcNow.AddHours(4)
};
await _context.RefreshTokens.AddAsync(refreshToken, cancellationToken);
await _context.SaveChangesAsync(cancellationToken);
return new GetToken(_jwtGenerator.CreateToken(user),refreshToken.Name);
}
throw new BadRequestException("Bad credentials");
}
我的授权处理程序:
public static IServiceCollection AddCustomMvc(this IServiceCollection services)
{
services.AddMvc(opt =>
{
var policy = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build();
opt.Filters.Add(new AuthorizeFilter(policy));
// Build the intermediate service provider
opt.Filters.Add<CustomAuthorizationAttribute>();
}).AddFluentValidation(cfg => cfg.RegisterValidatorsFromAssemblyContaining<CreateProjectCommand>());
return services;
}
除我当前的方法外,实施 keycloak authentiaction+authorization 的最佳实践是什么,并为用户提供两种登录场景,正常登录和 keycloak 登录。
P.S。 Ui 不同,我们正在使用 angular 这个只是后端的 webapi。
由于您的登录方法 returns 是一个 jwt,您可以通过链接 .AddJwtBearer() 配置多个承载令牌,一个用于正常登录,一个用于密钥斗篷。
这里有一个 link 的问题可能会解决您的问题:。
Keycloak 配置:
- 转到角色 -> 领域角色并创建相应的角色。
- 转到客户端 -> 您的客户端 -> 映射器。
- 创建一个新的角色映射器和 select 映射器类型的“用户领域角色”,令牌声明名称的“角色”和声明 JSON 类型的“字符串”。如果没有映射,之前配置的角色将嵌套在 jwt 的其他地方。
您可以使用 jwt.io 处的调试器来检查您的令牌是否正确。结果应如下所示:
{
"exp": 1627565901,
"iat": 1627564101,
"jti": "a99ccef1-afa9-4a62-965b-15e8d33de7de",
// [...]
// roles nested in realm_access :(
"realm_access": {
"roles": [
"offline_access",
"uma_authorization",
"Admin"
]
},
// [...]
// your mapped roles in your custom claim
"roles": [
"offline_access",
"uma_authorization",
"Admin"
]
// [...]
}
我在我的项目中使用带有 CQRS 的 aspnet core 5.0 webapi,并且已经有 jwt 实现。不使用来自 aspnet core 的角色管理,而是为 aspnet 用户手动添加 table 角色字段,它无处不在。在互联网上我找不到任何文章来为现有的身份验证和授权实施密钥斗篷。我的观点是现在用户使用他们的电子邮件+密码登录,这个想法并不适用于所有用户,但对于他们已经存储在 keycloak 中的某些用户,或者对于我们将存储在那里的某些用户,也可以选择使用 keycloak 登录我们的应用程序。
场景 1:
我的数据库和 keycloak 中都有 admin@gmail.com 并且他们都是管理员角色,我需要授予两者的访问权限才能登录我的应用程序,第一个场景已经工作需要在旁边实现第二个场景第一.
只找到这篇实现安全应用程序的文章(因为我们已经有了,不是试图替换而是扩展)
我的 jwt 配置如下:
public static IServiceCollection AddCustomAuthentication(this IServiceCollection services,
IConfiguration configuration)
{
var key = new SymmetricSecurityKey(
Encoding.UTF8.GetBytes(configuration.GetSection("AppSettings:Token").Value));
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(opt =>
{
opt.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = key,
ValidateAudience = false,
ValidateIssuer = false,
ClockSkew = TimeSpan.Zero
};
opt.Events = new JwtBearerEvents
{
OnAuthenticationFailed = context =>
{
if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
{
context.Response.Headers.Add("Token-Expired", "true");
}
return Task.CompletedTask;
}
};
});
return services;
}
我的 jwt 服务看起来像:
public JwtGenerator(IConfiguration config)
{
_key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(config.GetSection("AppSettings:Token").Value));
}
public string CreateToken(User user)
{
var claims = new List<Claim>
{
new(ClaimTypes.NameIdentifier, user.Id),
new(ClaimTypes.Email, user.Email),
new(ClaimTypes.Name, user.UserName),
new(ClaimTypes.Role, user.Role.ToString("G").ToLower())
};
var creds = new SigningCredentials(_key, SecurityAlgorithms.HmacSha512);
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(claims),
Expires = DateTime.UtcNow.AddMinutes(15),
SigningCredentials = creds
};
var tokenHandler = new JwtSecurityTokenHandler();
var token = tokenHandler.CreateToken(tokenDescriptor);
return tokenHandler.WriteToken(token);
}
我的登录方法如下:
public async Task<GetToken> Handle(LoginCommand request, CancellationToken cancellationToken)
{
var user = await _userManager.FindByEmailAsync(request.Email);
if (user == null)
throw new BadRequestException("User not found");
UserManagement.ForbiddenForLoginUser(user);
var result = await _signInManager.CheckPasswordSignInAsync(user, request.Password, false);
if (result.Succeeded)
{
user.IsRoleChanged = false;
RefreshToken refreshToken = new RefreshToken
{
Name = _jwtGenerator.GenerateRefreshToken(),
DeviceName = $"{user.UserName}---{_jwtGenerator.GenerateRefreshToken()}",
User = user,
Expiration = DateTime.UtcNow.AddHours(4)
};
await _context.RefreshTokens.AddAsync(refreshToken, cancellationToken);
await _context.SaveChangesAsync(cancellationToken);
return new GetToken(_jwtGenerator.CreateToken(user),refreshToken.Name);
}
throw new BadRequestException("Bad credentials");
}
我的授权处理程序:
public static IServiceCollection AddCustomMvc(this IServiceCollection services)
{
services.AddMvc(opt =>
{
var policy = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build();
opt.Filters.Add(new AuthorizeFilter(policy));
// Build the intermediate service provider
opt.Filters.Add<CustomAuthorizationAttribute>();
}).AddFluentValidation(cfg => cfg.RegisterValidatorsFromAssemblyContaining<CreateProjectCommand>());
return services;
}
除我当前的方法外,实施 keycloak authentiaction+authorization 的最佳实践是什么,并为用户提供两种登录场景,正常登录和 keycloak 登录。
P.S。 Ui 不同,我们正在使用 angular 这个只是后端的 webapi。
由于您的登录方法 returns 是一个 jwt,您可以通过链接 .AddJwtBearer() 配置多个承载令牌,一个用于正常登录,一个用于密钥斗篷。
这里有一个 link 的问题可能会解决您的问题:
Keycloak 配置:
- 转到角色 -> 领域角色并创建相应的角色。
- 转到客户端 -> 您的客户端 -> 映射器。
- 创建一个新的角色映射器和 select 映射器类型的“用户领域角色”,令牌声明名称的“角色”和声明 JSON 类型的“字符串”。如果没有映射,之前配置的角色将嵌套在 jwt 的其他地方。
您可以使用 jwt.io 处的调试器来检查您的令牌是否正确。结果应如下所示:
{
"exp": 1627565901,
"iat": 1627564101,
"jti": "a99ccef1-afa9-4a62-965b-15e8d33de7de",
// [...]
// roles nested in realm_access :(
"realm_access": {
"roles": [
"offline_access",
"uma_authorization",
"Admin"
]
},
// [...]
// your mapped roles in your custom claim
"roles": [
"offline_access",
"uma_authorization",
"Admin"
]
// [...]
}