asp.net 5 और IdentityServer4

Question

मैं एएसपी.NET 5 का उपयोग कर साइट री-आर्किटेक्चर के प्रोटोटाइप पर काम कर रहा हूं और मैं अपने प्रमाणीकरण और प्रमाणीकरण के लिए पहचान सर्वर 4 का उपयोग करके बहस कर रहा हूं। मैंने पहचान सर्वर 3 और 4 की स्थापना के बारे में बहुत सारे नमूनों और लेखों की समीक्षा की है और मैं अपने सिर को लपेटने की कोशिश कर रहा हूं यदि यह मेरे ग्राहक की आवश्यकताओं को उचित तरीके से संभाल सके। मेरी आवश्यकताएं यहां दी गई हैं।

मेरे पास 3 साइटें हैं जिन्हें प्राधिकरण की आवश्यकता है। साइट 1 (abc.com) को विंडोज प्रमाणीकरण की आवश्यकता होगी और प्राधिकरण के लिए भूमिकाओं (या दावों में परिवर्तित भूमिकाओं) का उपयोग करके एमवीसी और वेबपी कॉल का संयोजन होगा। साइट 2 (def.com) एक भरोसेमंद साइट है जो एक उपयोगकर्ता नाम/पासवर्ड/यादृच्छिक टेक्स्ट बॉक्स के साथ लॉगिन साइट चाहता है, जब सबमिट की गई हो, तो उपयोगकर्ता को प्रमाणीकृत कर देगा और उन्हें साइट 3 (xyz.com) पर रीडायरेक्ट करेगा। साइट 3 का अपना लॉगिन पेज भी होगा और दावों का उपयोग करके एमवीसी और वेबपी कॉल का संयोजन होगा। साइट 2 और 3 विंडोज प्रमाणीकरण का उपयोग नहीं करेंगे और क्लाइंट नहीं चाहता कि वे पहचान सर्वर लॉगिन स्क्रीन पर रीडायरेक्ट कर रहे हों, बल्कि अपनी लॉगिन स्क्रीन रखने और पहचान सर्वर को कोड से क्रेडेंशियल्स के साथ कॉल करने के लिए बुलाएं।

यहां इस परिदृश्य और पहचान सर्वर 4 के बारे में मेरे प्रश्न हैं।

1. क्या आईडीएसवीआर 4 विंडोज प्रमाणीकरण और का उपयोग कर एक क्लाइंट को उपयोगकर्ता नाम/पासवर्ड प्रमाणीकरण का उपयोग कर संभाल सकता है?
   • यदि हां, तो वहाँ idsvr4 में खिड़कियों प्रमाणन के लिए एक कारण है या यह सिर्फ webapp के भीतर मानक खिड़कियों प्रमाणन इस्तेमाल करना चाहिए?

2. idsvr4 ग्राहक उपयोगकर्ता नाम/पासवर्ड/rememberme मूल्यों को इकट्ठा करने और करने के लिए कोड के माध्यम से उन्हें पारित दोनों MVC और WebAPI के लिए उचित जेडब्ल्यूटी टोकन प्राप्त करने के लिए सेटअप हो सकता है?

   • यदि हां, तो यह उन्हें अन्य साइट पर दोनों MVC और WebAPI अनुप्रयोगों में लॉग इन कर सकते हैं?

   • यदि हां, तो क्या यह पहचानकर्ता 4 के वास्तविक उद्देश्य को बाधित कर रहा है और इसके लिए एक बुरा विचार है?

3. यह इस परिदृश्य संभालने के लिए और एक अच्छा विचार है सकते हैं, तो मैं कैसे सेटअप ग्राहक, स्कोप और कोड कोड के माध्यम से लॉगिन संभालने के लिए और रीडायरेक्ट करने के लिए चाहते हैं?

उदाहरण महान और बहुत स्वागत है, लेकिन मैं भी क्या शब्दाडंबर इस परिदृश्य तो भी सही दिशा में मुझे इशारा करते हुए बहुत मदद की हो जाएगा के लिए खोज करने के लिए उपयोग करने के लिए यकीन नहीं है।

Answer 1

यह सुनिश्चित नहीं है कि यह प्रश्न अभी भी सक्रिय है या नहीं। लेकिन हाँ, मुझे विश्वास है कि आप यह सब कर सकते हैं।

1) आप सेटअप जो एलडीपी ग्राहक (docs)

1,1) पर IdentityProviderRestrictions की स्थापना करके प्रत्येक ग्राहक के लिए उपलब्ध है सकते हैं - सुनिश्चित नहीं हैं कि तुम क्या मतलब है, मैं होने के अंक idsrv sentralize करने के लिए है में से एक का मानना ​​है आप प्रमाणीकरण, और यह भविष्य की वेबसाइटों के लिए एक ही सेवा के साथ एकीकृत करना आसान बनाता है।

2) क्लाइंट (एप्लिकेशन) का उपयोग करते समय लॉग इन करते समय, आप यह भी निर्दिष्ट करते हैं कि क्लाइंट के पास कौन से एपीआई रिसोर्स की पहुंच है - और एप्लिकेशन को साइन इन करते समय अनुरोधित स्कॉप्स में इसे जोड़ने की आवश्यकता है। इसलिए यदि आपका ग्राहक एमवीसी एप्लीकेशन है , आप केवल AllowedScopes में एपी रिसोर्स जोड़ें - और request_type को id_token code पर सेट करें - इससे उपयोगकर्ता को access_token दिया जाएगा जो बैकएंड एपीआई के प्रत्येक अनुरोध के साथ पास हो जाएगा। (docs)

2.1) - यह मूल रूप से दोनों साइटों पर उपयोगकर्ता को लॉग इन करेगा - एक एक्सेस टोकन का उपयोग करके जो कहता है कि उपयोगकर्ता बैकएंड एपीआई का उपयोग करने के लिए अधिकृत है।

2.2) - मेरी राय में यह प्रवाह उन चीजों में से एक है जो idsrv को महान बनाता है - और वे इसे स्वयं idsrv की एक महान विशेषता के रूप में भी उल्लेख करते हैं। सभी प्रणालियों तक पहुंच प्राप्त करने के लिए आपको केवल ऑथसेवर के लिए 1 यात्रा की आवश्यकता है।

pt के लिए। 3 - दस्तावेज़ों पर एक अतिरिक्त नज़र डालें, Quickstarts के बाद एक खाली परियोजना सेट अप करने का प्रयास करें।

अपने लॉगिन पेज से लॉग इन करने के लिए, आपको अनुदान प्रकार Resource Owner password का उपयोग करने की आवश्यकता है - Altough वे सुरक्षा समस्याओं (तार पर पासवर्ड संचारित करने) के लिए ऐसा करने की अनुशंसा नहीं करते हैं - यह समर्थित है।