Агнец за бортом
1) Отправляем запрос к IdentityServer4 обычный GET-запрос из JSClienta/Ангуляра
https://localhost:44318/connect/authorize?
client_id=angularclient
&redirect_uri=https%3A%2F%2Flocalhost%3A44311
&response_type=id_token%20token
&scope=dataEventRecords%20securedFiles%20openid20profile
&nonce=N0.258698376964128451532801480909
&state=15328014791890.33345671067938976&ui_locales=de-CH
После этого запроса клиента перебрасывает из его родного JSClienta на ASP.NET MVC сайт IdentityServer4 c формой логина/пароля.
2) на сервере IdentityServer4 заполянем форму login/password
3) IdentityServer4 в ответ на успешную авторизацию делает Callback на заранее указанный адрес, (на неуспешную делает callback на другой заранее согласованный url клиента для неавторизованного случая)
и сообщает на Хеш:
"#id_token=eyJhbGciOiJSUzI1NiIsImtpZCI6IjA2RDNFNDZFOTEwNzNDNUQ0QkMyQzk5ODNCRTlGRjQ0OENGNjQwRDQiLCJ0eXAiOiJKV1QiLCJ4NXQiOiJCdFBrYnBFSFBGMUx3c21ZTy1uX1JJejJRTlEifQ.eyJuYmYiOjE1MzI4MDI2ODQsImV4cCI6MTUzMjgwMjcxNCwiaXNzIjoiaHR0cHM6Ly9sb2NhbGhvc3Q6NDQzMTgiLCJhdWQiOiJhbmd1bGFyY2xpZW50Iiwibm9uY2UiOiJOMC4xMjUxMzQyNzQyNzcwNzEzNjE1MzI4MDI2Nzg4MTkiLCJpYXQiOjE1MzI4MDI2ODQsImF0X2hhc2giOiJVSkozNlBTb3hPd0h2MmI5TWdCM1V3Iiwic2lkIjoiMWYzYjAzMDdlY2VkNzRiM2ZhMmI0MmVlNjJiMmZjODMiLCJzdWIiOiJhYWJhYWZmOC1mMmRlLTQ3YzEtYmRjZC02MzQxZjM1ZDA3ODciLCJhdXRoX3RpbWUiOjE1MzI4MDI2ODQsImlkcCI6ImxvY2FsIiwiYW1yIjpbInB3ZCJdfQ.BHk-bTLwtopb7jp4Nigy_G3rBFZ1bBJuouk_fbCUmXAlmpin02AcoZQZazs76PfU2xjsFhl7bKJ8E9TA2kQ8nsNEy0f88J44L_MgzIfUp3lkaMqa1gsUo7iAZAf5kbtHVFXlsxAfX2enJLhWNyhJWpozC4LksEJ-ChmLvKJxfM3KBabz98Md3KBatx90_Awsy6zXfvVjqXaUVno_WUeDY0S7aWpwdedtdvfv7Ypg9EzCsSN_UyTnrV78iNRnbmMQzwcQ3M0WTitAV5oyoz8uDHH3gpWfgQXVG8s9m2sNGja7WCHHRNhCwY5Eh3lQLTtG8BYcFJS8ZzXn4UqjKWOHlQ&access_token=1d275edf73f5a0ba856707e6b201484b8b9cb37a1c8822e6ec7ae7b0f917b509&token_type=Bearer&expires_in=330&scope=openid%20profile%20dataEventRecords%20securedFiles&state=15328026788190.44407987383214875&session_state=o4dw9uykjgBcxJ_S5mgbCz2BLKn_9AArUB0uPW-qcPo.dd523232979f073b91eb7dfa08c9b0c1"
этот ответ Ангуляр/JSClient запоминает где-то у себя в store сессии
4) потом Ангуляр/JSClient ломиться Get-запросом опять на Identity сервер на специальный URL
"
http://localhost:44318/.well-known/openid-configuration/jwks",
в ответ сервер присылает какие-то ключи. что-то такое:
{"keys":[{"kty":"RSA","use":"sig","kid":"06D3E46E91073C5D4BC2C9983BE9FF448CF640D4","x5t":"BtPkbpEHPF1LwsmYO-n_RIz2QNQ","e":"AQAB","n":"sOzqgYngkiOaAuK15FI-SUzhU9uq7SLCfDI-h5uOeKwW9gpH6iyDiXp1mCCCWJiGEWvwxfCpjP7rSj9Trv7cx1h2M33EMRQ3ImJkYIlxeoEwgOaXwL3mK0931bUk4s2HKUUi5pAR7Y7QlEzzaL3EeyfdkRkXspAGMgmZHTnxMILnXWeFuyApRtPJkg2jIohwkARtTHjocZ9E2pgIHZ-s4H9A1jk0vFIwDoX5vmAyjkbwrZkSa2Sk1mf1ELpH261YaWCUVqbuzqmi-JOi1s0L9ONJORSLh6wNw2oH9ExRyp9dZHcoLSKvhiwxCzO_9xNt4S1JZLgejfTu8EKKZe8-0w","x5c":["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"],"alg":"RS256"}]}
Затем Ангуляр/JSClient (на клиенте в смысле) проверять валидный ли был ответ от сервера в тот раз когда он нам Callback сделал и прислал какой-то Хеш.
Для этого он берет этот Хеш из Callback и ключи шифрования который он получил по ссылке "
http://localhost:44318/.well-known/openid-configuration/jwks" и что-то там проеверяет/вычисляет.
если все прошло успешно то на клиенте (Ангуляр/JSClient ) у нас есть вычисленные:
access_token: "549972f7f4bae1211c67f323d6615fbbb5fe8a9073aad5d1d87ed4773f3e07db"
id_token: "eyJhbGciOiJSUzI1NiIsImtpZCI6IjA2RDNFNDZFOTEwNzNDNUQ0QkMyQzk5ODNCRTlGRjQ0OENGNjQwRDQiLCJ0eXAiOiJKV1QiLCJ4NXQiOiJCdFBrYnBFSFBGMUx3c21ZTy1uX1JJejJRTlEifQ.eyJuYmYiOjE1MzI4MDQ0MDgsImV4cCI6MTUzMjgwNDQzOCwiaXNzIjoiaHR0cHM6Ly9sb2NhbGhvc3Q6NDQzMTgiLCJhdWQiOiJhbmd1bGFyY2xpZW50Iiwibm9uY2UiOiJOMC4wNzc5NDE5NjQxNzk5OTk0MzE1MzI4MDQ0MDg0OTEiLCJpYXQiOjE1MzI4MDQ0MDgsImF0X2hhc2giOiJMWlMtS3hUQTVMYXVXSl9lOGp0Q1JBIiwic2lkIjoiMWYzYjAzMDdlY2VkNzRiM2ZhMmI0MmVlNjJiMmZjODMiLCJzdWIiOiJhYWJhYWZmOC1mMmRlLTQ3YzEtYmRjZC02MzQxZjM1ZDA3ODciLCJhdXRoX3RpbWUiOjE1MzI4MDI2ODQsImlkcCI6ImxvY2FsIiwiYW1yIjpbInB3ZCJdfQ.TRp3GJfnWQhkglyKMGHKpJ1qQ1mXTYaLExOX8gJiQH3p7IVq7dMM-LzWir7bsG--sxHt4bvv-RawDfKese9uO2S9PpKRf-uc5Q3_PQe0qQ1t4uMsdDLL_mLtneJMey5SldSSeMxXfd3GXSw8GVyQDPanLmzEzjeUqX8gg8d6FIomCsFPdfoUg12P4QKJ-Yz0v-WDDxuVEfrm8r3RVUHxnyempDhhyQs8dDb5htXdlBKah1pahI0RCJojbdq-ozyMmI6X7Rt00LyKni7mRp6QDpkE3yecm0LROnjIjtKq0OuKhr5XOcuZNKWqk9H5XkkshEB-T5bjP0a2sV97MqUbyg"
Все мы авторизировались есть токены которыми мы можем подписывать свой запрос, у нас есть доступ, все хорошо.
Информацию о токене записали в store сессии браузера
Теперь на клиенте нам интересно знать информацию о пользователе. Какие у него есть роли и т.д. Чтобы понимать какие части пользовательского интерфейса можно показывать, а какие не нужно.
для этого надо обратиться на
"
http://localhost:5000/connect/userinfo"
и подписаться в Headers
headers = headers.set('Accept', 'application/json');
headers = headers.set(
'Authorization',
'Bearer ' + decodeURIComponent(token)
на выходе имеем что-то типа такого:
Все. Это все касается способа
AllowedGrantTypes = GrantTypes.Implicit,
