authentication - 没有 cookie 的 IdentityServer4 外部身份验证

问题描述

我无法理解 ASP.NET Core 身份验证的工作原理。

我想使用刷新令牌实现 JWT 访问令牌身份验证。据我所知，这是验证客户端（移动应用程序、SPA Web 应用程序）的行业标准。出于安全目的，我宁愿不实现自己的授权逻辑，包括 JWT 生成和刷新令牌处理。由于 ASP.Net 本身并不支持这一点，我自然会选择使用IdentityServer4，一个用于处理这类东西的大型开源库。

但是IdentityServer4很大程度上基于 OAuth，我不确定它如何与 SPA 应用程序和移动应用程序（我信任的客户端）一起使用。它要求客户端重定向到某个任意网页以输入其凭据，然后重定向回应用程序。总的。我从未见过像 Snapchat、Instagram 等主要应用程序具有这种身份验证流程，您在登录流程中会被定向到某些网页/浏览器。幸运的是IdentityServer4，有一个小功能可以为我信任的客户处理用户名/密码身份验证（http://docs.identityserver.io/en/latest/quickstarts/2_resource_owner_passwords.html）

太好了，这似乎符合我的需要。但是...现在我想添加 Facebook 身份验证。IdentityServer4允许External Authentication，但它仍然是基于 cookie 的（据我所知）。这需要 Android/iOS/SPA 应用程序重定向到网页，然后重定向回应用程序。同样，从用户的角度来看，这并不理想。Facebook 提供本地移动 SDK 来处理这种类型的身份验证，该身份验证返回访问令牌，因此无需使用 cookie 重定向到网页。

现在假设我的 iOS 应用程序使用 Facebook SDK 为用户获取访问令牌并将其发送到后端。后端根据 Facebook SDK 验证令牌，然后在其自己的数据库中注册本地用户。

现在，当同一个 iOS 用户尝试登录应用程序时，应用程序将从 SDK 为该用户生成一个 facebook 访问令牌并将其发送到后端。但是我不确定如何利用IdentityServer4为用户生成 JWT，因为我需要该用户的用户名和密码。这就是我卡住的地方。我似乎在与图书馆作斗争，这让我相信我严重误解了一些东西。

TLDR；IdentityServer4似乎很大程度上基于 cookie，当您从身份验证网页来回重定向时，这些 cookie 并不能很好地适应移动应用程序/SPA 网页。我是否使用了错误的工具来完成这项工作？有哪些替代解决方案？

标签： authenticationasp.net-coreidentityserver4