註：此處選擇了Docker支持，需要安裝Docker Desktop，另外第一次通過Docker調試應用程序需要下載相應的Docker Image和VS的調試環境，如果鏡像文件下載慢，那麼可以變更docker的註冊鏡像：//blog.csdn.net/zhangqingmu/article/details/104655635/，如果VS調試環境下載慢可參考//blog.csdn.net/lindexi_gd/article/details/106925674手動下載。

　　項目啟動後看到以下結果：

　　IdentityServer4是一組中間件，它實現了OpenID Connect和Oauth2.0協議，來提供身份驗證以及授權服務，添加IdentityServer4僅需要安裝IdentityServer4組件，然後對相關服務和中間件進行配置即可：

 

　　安裝完成後通過AddIdentityServer方法將相關的服務註冊到容器中，同時這裡返回一個builder用於繼續構建IdentityServer服務，如存儲、緩存、加密相關的密鑰等等；

　　

　　接着將IdentityServer中間件添加到Asp.net core的http請求管道中：

　　

　　註：在添加中間件的時候需要注意IdentityServer中間件的放置順序，另外在調用UseIdentityServer這個方法中還自動添加了身份驗證的中間件。

　　按理來說現在已經可以運行項目了，但是運行的時候出現了無法解析IClientStore類型錯誤：

　　

 　　這個問題的原因在於，IdentityServer4在進行授權時實際上是依賴一系列數據的，這些數據包括Client、Resource、Scope等，所以為了保證授權相關操作能夠完成，需要配置相關數據的存儲服務，IdentityServer4默認提供了測試基於內存的數據存儲，但一般只是用於測試目的：

 　　

 　　關於數據持久化，在.net技術棧中可以想到的就是Entity Framework，同時IdentityServer4提供了名為：IdentityServer4.EntityFramework的包，它包含了相關的實體類型（IdentityServer4.EntityFramework.Storage）以及EF的DbContext。所以引入IdentityServer4.EntityFramework包就可以實現基於EF的數據持久化，另外也可以自己實現。

　　

 

 　　上圖中可以看到IdentityServer4關於EF的包有2個，但是實際上安裝IdentityServer4.EntityFramework就包含Storage這個包了：

　　

 　　安裝完成之後，我們可以在IdentityServer4.EntityFramework.Storage包中找到以下兩個DbContext類型：

　　ConfigurationDbContext ：

　　PersistedGrantDbContext ：

 　　

　　

　　為了EF能夠正常工作需要根據數據庫類型安裝相應的EF數據庫提供器（本例使用的是Mariadb）：

 　　然後就可以對IdentityServer的存儲進行配置了：

　　

　　以上主要是對數據庫鏈接字符串、數據庫版本、字符集以及數據庫遷移程序集進行配置，需要注意的是在對數據庫進行遷移的時候默認使用DbContext所在的程序集，而IdentityServer4提供的DbContext位於IdentityServer4.EntityFramework.Storage包裏面，所以為了能夠確保遷移文件正常生成，所以需要將Startup所在的程序集設為遷移程序集（註：更適合的方式是專門創建一個數據庫遷移項目來作為遷移程序集，這樣數據庫遷移的相關內容可以單獨維護）。

　　另外還需要注意的是數據庫鏈接字符串，在開發時可能數據庫安裝在本地可以使用127.0.0.1，但是如果在dorcker中調試的話127.0.0.1無法鏈接到數據庫。

　　完成配置後即可將數據庫結構遷移到數據庫中，首先需要安裝EF的工具：

　　工具描述，相關命令及參數可參考文檔//docs.microsoft.com/en-us/ef/core/cli/powershell：

　　

　　執行命令(參數o表示遷移文件輸出路徑，因為存在多個DbContext以及需要多個數據遷移，所以分開存儲)：

　　Add-Migration initPersistedGrantDb -c PersistedGrantDbContext -o Migrations/IdentityServer/PersistedGrantDb

　　Add-Migration initConfigurationDb -c ConfigurationDbContext -o Migrations/IdentityServer/ConfigurationDb

　　註：-c和-o分別是-Context 和-OutputDir 的簡寫，在參數沒有二義性時可以使用簡寫。

　　生成的文件：

　　

　　執行數據庫更新命令後，數據庫將完成創建：

　　Update-Database -Context PersistedGrantDbContext

　　Update-Database -Context ConfigurationDbContext

　　

　　數據庫也就創建好了：

　　

 　　啟動程序，並訪問//localhost:55006/.well-known/openid-configuration即可看到以下內容，證明IdentityServer4已經成功啟動了：

　　

　　但是由於數據庫中還沒有任何數據，所以還無法進行授權操作，因為數據庫中還沒有任何數據，這裡簡單的把IdentityServer4模板創建的創建初始數據代碼引入，並完成數據創建：

　　

 　　註：關於IdentityServer4的默認數據可通過命令「dotnet new -i IdentityServer4.Templates」先安裝IdentityServer4相關模板，然後使用「dotnet new is4ef」命令來創建，具體參考文檔：//identityserver4.readthedocs.io/en/latest/quickstarts/5_entityframework.html

　　在啟動參數中包含「/seed」時創建數據，關於啟動參數，可以直接執行程序時添加，如dotnet .\IdentityServer.dll /seed，或者通過VS中設置調試參數進行調試（數據生成後刪除）：

　　

配置IdentityServer4證書

　　運行程序，通過測試數據中的client及其密碼嘗試獲取access token：

　　

　　啊哦，出錯了，未配置簽名證書，無法創建Jwt token，簡單來說就是為了保證token的簽名和驗證，需要配置一個數字簽名證書，關於證書配置可參考文檔://identityserver4.readthedocs.io/en/latest/topics/startup.html#key-material

　　為了方便，使用開發證書進行測試：

　　

 　　添加代碼後再次運行程序，就能夠生成Access Token 了：

創建一個基於Jwt身份驗證的WebApi項目

　　最後通過VS新建一個默認的WebApi項目來驗證一下是否能夠通過access_token訪問受保護資源。

　　在新建的項目中添加基於Jwt bearer的驗證服務：

　　

　　同時添加身份驗證中間件：

　　

 　　設置API的授權訪問：

　　

　　獲取token後訪問受保護API：

　　

 　　成功訪問，但是這裡有個小細節需要注意一下，就是當獲取到access token後，在token的有效期內，哪怕是把IdentityServer關閉，也能使用token正常訪問受保護資源，換句話說access token頒發後就與IdentityServer無關了，以上內容實際上是使用Asp.Net core 5.0以及IdentityServer4實現了一個基於客戶端證書(Client Credentials)的Oauth2.0授權流程，但IdentityServer提供的內容不僅於此，後續文章將會對該IdentityServer繼續完善，使其成為一個功能完善的身份驗證服務。

　　本篇文章從一個空項目開始，不斷往裏面添加組件和代碼，搭建了一個基於IdentityServer4的身份驗證服務器，並且到目前為止已經實現了IdentityServer4的相關數據持久化，並且能夠通過Client_Credentials等方式獲取Access Token，實現了基於Jwt的身份驗證，這一切實際上都是基於Oauth2.0協議的，關於Oauth2.0可以參考文章：//www.cnblogs.com/selimsong/p/8037717.html

　　但IdentityServer4是一個實現OpenIDConnect協議的身份驗證/授權服務，更多內容將在後續文章中介紹。

參考：