IdentityServer4实战-基于角色的权限控制及Claim详解

一.前言

二.Claim详解

（1）百度翻译

（2）谷歌翻译

这里我理解为，我们每个用户都有多个Claim，每个Claim声明了用户的某个信息比如：Role=Admin，UserID=1000等等，这里Role，UserID每个都是用户的Claim，都是表示用户信息的 ，我们不妨把它称为 。

建议阅读杨总的Claim相关的解析 http://www.cnblogs.com/savorboard/p/aspnetcore-identity.html

三.测试环境中添加角色Claim

Id4为我们提供了非常方便的In-Memory测试支持，那我们在In-Memory测试中是否可以实现自定义添加角色Claim呢，答案当时是可以的。

1.首先我们需要在定义测试用户时，定义用户Claims属性，意思就是为我们的测试用户添加额外的身份信息单元，这里我们添加角色身份信息单元：

是一个静态类在IdentityModel程序集下，里面定义了我们的jwt token的一些常用的Claim，JwtClaimTypes.Role是一个常量字符串如果定义的Claim类型没有我们需要的，那我们直接写字符串即可。

2.分别启动 QuickstartIdentityServer、Api、ResourceOwnerClient 查看 运行结果：

可以看见我们定义的API资源通过并没有获取到我们为测试用户添加的Role Claim，那是因为我们为API资源做配置。

3.配置API资源需要的Claim

在QuickstartIdentityServer项目下的类的做出如下修改：

我们添加了一个Role Claim，现在再次运行（需要重新QuickstartIdentityServer方可生效）查看结果。

可以看到，我们的API服务已经成功获取到了Role Claim。

这里有个疑问，为什么需要为APIResource配置Role Claim，我们的API Resource才能获取到呢，我们查看的源码：

从上面的代码可以分析出，我们自定义的Claim添加到了一个名为的属性中，查看这个属性：

根据注释我们便知道了原因：请求此资源时应包含的相关用户身份单元信息列表。

四.通过角色控制API访问权限

我们在API项目下的做出如下更改

我们定义了两个API通过特性赋予了不同的权限（我们的测试用户只添加了一个角色，通过访问具有不同角色的API来验证是否能通过角色来控制）

我们在ResourceOwnerClient项目下，类最后添加如下代码：

这里我们请求第二个API的代码，正常情况应该会没有权限访问的（我们使用的用户只具有superadmin角色，而第二个API需要admin角色），运行一下：

可以看到提示我们第二个，无权访问，正常。

五.如何使用已有用户数据自定义Claim

我们前面的过程都是使用的TestUser来进行测试的，那么我们正式使用时肯定是使用自己定义的用户（从数据库中获取），这里我们可以实现接口，来定义我们自己的验证逻辑。

在Startup类里配置一下我们自定义的验证器：

实现了还不够，我们还需要实现接口，他是专门用来装载我们需要的Claim信息的，比如在token创建期间和请求用户信息终结点是会调用它的方法来根据请求需要的Claim类型，来为我们装载信息，下面是一个简单实现：

同样在类里启用我们自定义的 ：

值得注意的是如果我们直接将用户的所有Claim加入 集合，那么用户所有的Claim都将会无差别返回给请求方。比如默认情况下请求用户终结点(http://Identityserver4地址/connect/userinfo)只会返回sub（用户唯一标识）信息，如果我们在此处直接 context.IssuedClaims=User.Claims，那么所有Claim都将被返回，而不会根据请求的Claim来进行筛选，这样做虽然省事，但是损失了我们精确控制的能力，所以不推荐。

上述说明配图：

如果直接 ，那么返回结果如下：

用户的所有Claim都将被返回。这样降低了我们控制的能力，我们可以通过下面的方法来实现同样的效果，但却不会丢失控制的能力。

(1).自定义身份资源资源

身份资源的说明：身份资源也是数据，如用户ID，姓名或用户的电子邮件地址。 身份资源具有唯一的名称，您可以为其分配任意身份信息单元（比如姓名、性别、身份证号和有效期等都是身份证的身份信息单元）类型。 这些身份信息单元将被包含在用户的身份标识（Id Token）中。 客户端将使用scope参数来请求访问身份资源。

(2).配置Scope

通过上面的代码，我们自定义了一个名为“customProfile“的身份资源，他包含了"role" Claim(可以包含多个Claim)，然后我们还需要配置Scope，我们才能访问到：

我们在Client对象的AllowedScopes属性里加入了我们刚刚定义的身份资源，下载访问用户信息终结点将会得到和上面一样的结果。

六.总结

写这篇文章，简单分析了一下相关的源码，如果因为有本文描述不清楚或者不明白的地方建议阅读一下源码，或者加下方QQ群在群内提问。如果我们的根据角色的权限认证没有生效，请检查是否正确获取到了角色的用户信息单元。我们需要接入已有用户体系，只需实现和接口即可，并且在Startup配置Service时不再需要，因为将使用我们自己的用户信息。

Demo地址：https://github.com/stulzq/BlogDemos/tree/master/Id4RoleAndClaim