一款基于.NET Core的认证受权解决方案-葫芦藤1.0开源啦

背景

18年公司准备在技术上进行转型，而公司技术团队是互相独立的，新技术的推进阻力很大。咱们须要找到一个切入点。公司的项目不少，而各个系统之间又不互通，致使每套系统都有一套登陆体系，给员工和客户都带来极大的不便。那么从登陆切入进去无疑最合适，对于各个团队的技术改形成本也不大。因此咱们团队第一个项目就是搭建一套统一登陆认证受权系统，那么葫芦藤项目应运而生。

技术方案

后端框架：.NET Core3.1（后期会推出 .NET 5版本）

前端框架：React

数据库：mysql（可根据实际状况，自由切换）

中间件：redis

详细功能

认证受权服务

基于IdentityServer4实现的协议，支持网站、本地应用、移动端、web服务等应用的认证受权逻辑。

单点登陆登出

支持各类类型应用上的单点登陆登出。开箱即用的基础用户管理模块，包括：注册、登陆、手机验证码、忘记密码等。为了安全考虑，集成了腾讯图形验证码。

第三方登陆（微信、钉钉）

完善的第三方登陆支持。支持首次登陆时绑定已存在用户或注册新用户后，自动绑定。

如何快速使用

1.下载代码

clone代码到本地。根目录结构以下：

其中，backend存放的是后端代码，frontend存放的是前端代码。

进入backend目录，使用Visual Studio打开解决方案。目录结构以下：

2.生成数据库

首先在Fulu.Passport.Web中找到appsettings.Development.json文件。编辑数据库链接字符串：

打开程序包管理器，切换默认项目为：Fulu.Passport.Web, 以下图所示：

而后在程序包管理器中执行以下命令：

Add-Migration Init

最后执行完成后，再执行以下命令：

update-database

执行完以上操做后，如没有报错，则会建立数据库，并会在Client表中建立一条测试数据，以下图所示：

3.按F5启动后端服务

注：因为项目中依赖redis来处理缓存，因此正式启动以前，须要将appsettings.Development.json文件里的redis配置改成你本身的。

4.启动前端

切换目录到frontend，在命令行中执行以下命令：

npm install

执行完毕后，执行以下命令：

npm run demo

执行结果以下图所示：

而后经过http://localhost:8080进行访问。界面以下所示：

至此，先后端服务已启动完毕，一个开箱即用的认证受权服务就完成了。

5.新客户端如何快速接入认证服务？

认证受权服务存在的意义就是提供统一的认证受权入口，有了这个服务后，每一个新的客户端应用无需单独开发认证受权模块。下面就来一块儿看下如何快速将新应用接入到认证受权服务。（此处以 ASP.NET Core做为示例，其余语言大同小异）。

示例代码在sample文件夹中，以下图所示：

在正式接入以前，必须先申请应用。（此版本未提供应用管理服务）经过在数据库中添加示例信息，以下图所示：

示例sql脚本：

INSERT INTO `fulusso`.`client`(`client_secret`, `full_name`, `host_url`, `redirect_uri`, `description`, `enabled`, `id`) VALUES ('14p9ao1gxu4q3sp8ogk8bq4gkct59t9w', '葫芦藤2', 'http://localhost:5003/', 'http://localhost:5003', NULL, 1, UUID());

其中，redirect_uri参数指的是从认证服务获取code以后，重定向的url。为了开发的方便，咱们的认证服务中仅校验回调域名的域名，不会校验完整的地址。好比，你的redirect_uri为http://www.xxx.com/abc/aaa，则数据库中的redirect_uri字段填写http://www.xxx.com便可。

应用信息导入到数据库后，在Startup类的ConfigureServices方法中，添加以下代码：

services.AddServiceAuthorize(o =>
{
    o.AllowClientToken = true;
    o.AllowUserToken = true;
    o.OnClientValidate = false;
    o.Authority = "http://localhost:5000";
    o.ValidateAudience = false;
    o.ClientId = Configuration["AppSettings:ClientId"];
    o.ClientSecret = Configuration["AppSettings:ClientSecret"];
});

注：需添加Fulu.Service.Authorize项目引用，以下图所示：

而后在Configure方法中，添加以下代码：

app.UseRouting();
 app.UseJwtAuthorize();
 app.UseAuthorization();

其中，UseJwtAuthorize是自定义的中间件，为了实现OAuth2.0的受权码的逻辑。
限于篇幅，具体代码不在此列出。可在代码仓库中查看。

到此为止，这个新应用就成功的接入到认证服务了。

当未登陆的时候，访问此应用的页面会自动跳转到认证服务的login界面。登陆以后，会重定向回登陆以前的页面。以下图所示：

下一版功能规划

1.更多的第三方平台的接入（QQ、微博等）

2.api受权服务

3.更安全的二次验证，集成google令牌

4.应用管理

等等~~~~，尽请期待。

体验

演示地址：https://account.suuyuu.cn/

代码仓库：https://github.com/fuluteam/fulusso

---

若是以为项目对于有所帮助，欢迎star。您的支持是咱们持续更新的动力。

福禄ICH·架构组 福尔斯