【实战 Ids4】║ 又一个项目迁移完成（MVC）

迎周一，腊月十九，小年倒计时

新年还有两周时间就要到了，学习可不能停，这几天一直在加班调休，周末也如此，不过也是趁着半夜凌晨的时间，继续迁移我的项目到IdentityServer4统一认证授权中心Blog.IdentityServer上，也是基本统一了，目前进度如下：

01、前后端分离全家桶已经完成升级：Blog.Core为api，Blog.Admin为后台管理，Blog.Vue为前台信息展示已经全部搞定，具体的代码查看指定Github的分支即可，分支名基本都是Is4，Ids4等字样；

02、Nuxt.tBug项目目前正在升级中，其实和Vue的前后端分离是一样的，都是使用的同一个组件框架oidc-client，这里就不多说了，如果真的差别大，我就单写一篇文章，否则直接看我的代码就行；

03、ChristDDD MVC项目已经完成迁移，就是今天本文讲解的。

04、WPF项目在进度种，到时候简单写个小Demo就行，我会在我的视频中，给大家讲解，预计春节后出来。

上边共涉及到了我开源的六个项目，三个后端，三个前端，想想这一年也是够可以了，但是在迁移的IdentityServer4中，只用到了常用的两种模式，Implicit和Code模式，其实一般我们web开发，掌握四种就行，除了这两个，还有Hybrid和Client，其他的如果没有精力，可以放一放，那下边我们就快速的说一下如何将MVC项目迁移到Ids4上。这里就简单的说一下操作过程，不会讲解原理，原理我会在视频教程中，详细说到。

Idp项目如何配置

具体的原型图，运行原理，等我视频吧，直接看代码，这里要说一下，如果你是第一次开发学习，我建议尽量使用内存模式，这样会很好的调试，如果直接生成到数据库的话，可能有时候修改了一个配置，还需要重新生成数据库，这个有些浪费时间。

在我们的Config.cs中，新建一个Client，用来应对我们的MVC客户端：

// interactive ASP.NET Core MVC client
new Client
{ClientId = "chrisdddmvc",ClientName="Chris DDD MVC项目",ClientSecrets = { new Secret("secret".Sha256()) },AllowedGrantTypes = GrantTypes.Code,RequireConsent = false,RequirePkce = true,AlwaysIncludeUserClaimsInIdToken=true,//将用户所有的claims包含在IdToken内// 登录回调RedirectUris = { "http://ddd.neters.club/signin-oidc" },// 登出回调地址PostLogoutRedirectUris = { "http://ddd.neters.club/signout-callback-oidc" },// 注意这些scope，一定是上边已经定义好的资源AllowedScopes = new List<string>{IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile,IdentityServerConstants.StandardScopes.Email,"roles","rolename",}
}

这里就强调两点，就是配置一下回调地址，然后就是AlwaysIncludeUserClaimsInIdToken要设置为true，以方便我们后边要从claims声明中获取返回的值。

当然，最后还有一个知识点，就是scope中，如果想要自定义的话，需要先在claims中注册添加，然后在GetIdentityResources中配置：

 // scopes define the resources in your systempublic static IEnumerable<IdentityResource> GetIdentityResources(){return new List<IdentityResource>{new IdentityResources.OpenId(),new IdentityResources.Profile(),new IdentityResources.Email(),new IdentityResource("roles", "角色", new List<string> { JwtClaimTypes.Role }),new IdentityResource("rolename", "角色名", new List<string> { "rolename" }),};}

这里配置就是很简单的，咱们继续看看如何在MVC中配置。

ChristDDD如何配置

如果你之前看过或者用到了我的DDD项目，会发现其实本来是用Identity写的，这次我们迁移到Ids4后，需要做一些变化，具体的直接下载我的Ids4分支就行了，修改的内容比较多。

首先我们把响应的认证服务给抽出来，单独封装，上边的是Ids4的，下边的是普通的Identity的：

然后注入服务：

 // IdentityServer4 注入services.AddId4OidcSetup();

那我们直接看看服务是如何设置的：

  private static readonly string config= "https://ids.neters.club";public static void AddId4OidcSetup(this IServiceCollection services){if (services == null) throw new ArgumentNullException(nameof(services));//关闭默认映射，否则它可能修改从授权服务返回的各种claim属性JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();//添加认证服务，并设置其有关选项services.AddAuthentication(options =>{// 客户端应用设置使用"Cookies"进行认证options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;// identityserver4设置使用"oidc"进行认证options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;}).AddCookie(CookieAuthenticationDefaults.AuthenticationScheme)// 对使用的OpenIdConnect进行设置，此设置与Identityserver的config.cs中相应client配置一致才可能登录授权成功.AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>{options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;options.Authority = config;options.RequireHttpsMetadata = false;//必须https协议options.ClientId = "chrisdddmvc";//idp项目中配置的clientoptions.ClientSecret = "secret";options.SaveTokens = true;options.ResponseType = "code";//响应类型// 下边是所有的scope,必须要和idp项目中一致,至少是一部分options.Scope.Clear();options.Scope.Add("roles");//"roles"options.Scope.Add("rolename");//"roles"options.Scope.Add(OidcConstants.StandardScopes.OpenId);//"openid"options.Scope.Add(OidcConstants.StandardScopes.Profile);//"profile"options.Scope.Add(OidcConstants.StandardScopes.Email);//"email"});}

这里有几个注意事项：ClientId一定要填对，Scope必须是Idp项目中配置的子集，Scope一定要写对，不然的话，会报错，比如我们随便把roles改成roles3：

当然全部粘贴过去就行，其他的都有注释，看看即可。

这里配置也是很简单的，运行到了这里，我们就可以简单的调试了，所有的地址，都可以换成localhost来调试。

没有错误的话，我们就可以正式的跳转登录，登录成功后，跳转回来MVC项目，下面我们就说说如何在MVC客户端项目中，进行策略授权。

MVC客户端做策略授权

上边我们已经登录成功，并也跳回了，那现在就要根据情况，设计授权了，毕竟有些页面是test用户不能访问的，只有超级管理员才能访问的：

首先，在声明策略，然后在控制器配置策略

services.AddAuthorization(options =>{options.AddPolicy("CanWriteStudentData", policy => policy.Requirements.Add(new ClaimRequirement("Students", "Write")));options.AddPolicy("CanRemoveStudentData", policy => policy.Requirements.Add(new ClaimRequirement("Students", "Remove")));options.AddPolicy("CanWriteOrRemoveStudentData", policy => policy.Requirements.Add(new ClaimRequirement("Students", "WriteOrRemove")));});// 这里的策略内容可以任意扩展[HttpGet][Authorize(Policy = "CanWriteStudentData")]public IActionResult Edit(Guid? id){}

接着，我们就来定义授权策略处理器

  public class ClaimsRequirementHandler : AuthorizationHandler<ClaimRequirement>{protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, ClaimRequirement requirement){var roleId = context.User.Claims.FirstOrDefault(c => c.Type == "role");var rolename = context.User.Claims.FirstOrDefault(c => c.Type == "rolename");var loginUserName = context.User.Claims.FirstOrDefault(c => c.Type == "preferred_username");if (roleId != null && roleId.Value == "4" && rolename != null && rolename.Value == "SuperAdmin"){context.Succeed(requirement);}return Task.CompletedTask;}}

复杂策略授权如何写，逻辑如何调，上下文中的claims声明如何获取，这里就不多说了，默认已经会了我的第一个项目的Blog.Core的相关内容，这里我们只是来看看是不是能获取到相应的Claims就行：

可以看到我们已经获取到了这个scope，这样我们就可以任意的扩展了。

登录与登出设计

这个其实就很简单了，我们在客户端里，直接登出就行，我写的比较low，当然你可以自己找找例子，我就简单的写了写：

 [Authorize]public IActionResult Login(){return Redirect("index");}public async Task<IActionResult> Logout(){await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);await HttpContext.SignOutAsync(OpenIdConnectDefaults.AuthenticationScheme);return View("Index");}

登录取了个巧，不写内容，直接加了个Authorize，这样肯定就跳转到登录页了。

然后设计下UI展示 _LoginPartial.cshtml ，注入服务就行：

@inject Christ3D.Domain.Interfaces.IUser SignInManager@if (SignInManager.IsAuthenticated())
{<form asp-area="" asp-controller="Home" asp-action="Logout" method="post" id="logoutForm" class="navbar-right"><ul class="nav navbar-nav navbar-right"><li><a asp-area="" asp-controller="Manage" asp-action="Index" title="Manage">Hello @SignInManager.Name!</a></li><li><button type="submit" class="btn btn-link navbar-btn navbar-link">Log out</button></li></ul></form>
}
else
{<ul class="nav navbar-nav navbar-right"><li><a asp-area="" asp-controller="Home" asp-action="Login">Log in</a></li></ul>
}

最终的展示效果是酱紫的，登出：

到了这里，我们就已经完成了整体流程了！下边就是部署了。

生产环境部署联调

现在还是两个后端项目，一个是IdentityServer4的部署，很简单的，我目前用的是Nginx部署的，Https安全协议。

客户端是MVC项目，但是用的IIS部署的，因为如何也用Nginx部署的话，客户端向授权中心认证的时候，一直报错，错误是回调地址不匹配，因为nginx部署，显示的地址还是本地的：

但是我在idp项目里，明明配置的是ddd域名：

错误信息是这样的：

但是在IIS中配置，是一切正常的，真的是我学术不精啊，有小伙伴知道的，欢迎给我留言私信拍砖，这里我来个赏金（20大洋），给开源事业做贡献了。

这个时候，PC端已经一切正常了，正当高兴的时候，手机访问，又不行了，这次我很机智，有了上次的JS客户端经验，我直接加了一个Cookie

手机移动端适配

在DDD项目中，新建一个扩展：

 public static class SameSiteHandlingExtensions{public static IServiceCollection AddSameSiteCookiePolicy(this IServiceCollection services){services.Configure<CookiePolicyOptions>(options =>{options.MinimumSameSitePolicy = (SameSiteMode)(-1);options.OnAppendCookie = cookieContext => CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);options.OnDeleteCookie = cookieContext => CheckSameSite(cookieContext.Context, cookieContext.CookieOptions);});return services;}private static void CheckSameSite(HttpContext httpContext, CookieOptions options){if (options.SameSite == SameSiteMode.None){var userAgent = httpContext.Request.Headers["User-Agent"].ToString();if (DisallowsSameSiteNone(userAgent)){// For .NET Core < 3.1 set SameSite = (SameSiteMode)(-1)options.SameSite = (SameSiteMode)(-1);}}}private static bool DisallowsSameSiteNone(string userAgent){// Cover all iOS based browsers here. This includes:// - Safari on iOS 12 for iPhone, iPod Touch, iPad// - WkWebview on iOS 12 for iPhone, iPod Touch, iPad// - Chrome on iOS 12 for iPhone, iPod Touch, iPad// All of which are broken by SameSite=None, because they use the iOS networking stackif (userAgent.Contains("CPU iPhone OS 12") || userAgent.Contains("iPad; CPU OS 12")){return true;}// Cover Mac OS X based browsers that use the Mac OS networking stack. This includes:// - Safari on Mac OS X.// This does not include:// - Chrome on Mac OS X// Because they do not use the Mac OS networking stack.if (userAgent.Contains("Macintosh; Intel Mac OS X 10_14") && userAgent.Contains("Version/") && userAgent.Contains("Safari")){return true;}// Cover Chrome 50-69, because some versions are broken by SameSite=None, // and none in this range require it.// Note: this covers some pre-Chromium Edge versions, // but pre-Chromium Edge does not require SameSite=None.if (userAgent.Contains("Chrome/5") || userAgent.Contains("Chrome/6")){return true;}return false;}}

然后服务配置：

常见的错误

刚刚上边我们已经遇到了两个错误，其实总的来说，都是配置的问题，我会在博客园单写一篇文章，来总结IdentityServer4的所有错误，目前还没有，过一段时间查看就行，现在开发的还比较少。注意这两个错误，然后会调试就行，调试主要在F12，去查看network，看看请求的数据是否异常即可。

到了这里，基本就结束了，还是建议大家多看看官网和官方Demo，真的很有用。