alex_smite Jul 9 at 09:35

Применение Identity Server 4 в распределенном монолите

Easy

6 min

1.8K

.NET*C#*

Review

Comments 12

Free_ze Jul 9 at 12:15

Статье 2 часа, а ссылки на документацию уже успели побиться. Есть подозрение, что в черновиках она пробыла несколько лет.

Тут главное:

IdentityServer4 will be maintained with security updates until November 2022.

Может пора закопать стюардессу?

remzalp Jul 9 at 15:59

Тут скорей особенность в том, что в этой версии лицензия еще позволяет где попало использовать

Free_ze Jul 9 at 16:11

Для "где попало" актуальная версия и так будет бесплатной, а для компании с доходом $1M+ это обойдется в сумму с десяток тысяч долларов в год. Не факт, что поддерживать на своих плечах легаси выйдет дешевле.

alex_smite Jul 10 at 13:14

Ссылки перебил, по поводу "закопать стюардессу". Для относительно простых задач авторизации, в частности, доступ к полному списку сущностей или к конкретной сущности IS используем до сих пор и, как по мне, он прекрасно справляется, ну, для более сложных ACL, ABAC или RBAC (https://habr.com/ru/companies/custis/articles/248649/)

Free_ze Jul 11 at 14:00

А я вам и не предлагаю отказываться от IS. Речь про версию 4, которая уже не поддерживается, в то время, как есть актуальная и живая 7.

alex_smite Jul 11 at 16:13

Спасибо за предложение, обязательно попробуем!

northrop Jul 12 at 13:12

А есть где-то список того, что появилось в 7 и что было в 4? Мне для сравнения надо его увидеть.

alex_smite Jul 12 at 13:31

Тоже смотрю, если получится подборку сделаю

Free_ze Jul 12 at 13:49

Можно почитать описания мажорных релизов на гитхабе, например. Или рекомендации по обновлению в документации, в зависимости от мотивов вашего интереса.

rus_sus Jul 10 at 00:44

задача разграничения прав доступа к ресурсам, то есть задача аутентификации

только это задача авторизации

VanGoghDev Jul 10 at 12:39

Большое спасибо автору за статью! У меня есть запрос на рассказ про "другую историю". Интересно узнать как настраивается валидация токенов на IS и как клиентское приложение конфигурируется при таком workflow.

alex_smite Jul 10 at 12:44

Валидация токенов осуществляется в каждом сервисе отдельно, IS мы используем только для выдачи полномочий. То есть шифровать или записывать токен может только IS, а читать каждый сервис самостоятельно:

var tokenValidationParameters = new TokenValidationParameters
{
    ValidateAudience = false,
    ValidateIssuerSigningKey = true,
    ValidateLifetime = false,
    IssuerSigningKey = securityKey,
    ValidateIssuer = false,
};

services.AddSingleton(tokenValidationParameters)
    .AddSingleton<JwtSecutiryTokenDecodeService>()
    .AddSingleton<AccessVerificator>();

services.AddAuthentication("Bearer")
.AddJwtBearer("Bearer", options =>
{
    options.TokenValidationParameters = tokenValidationParameters;
});

services.AddAuthorization(options =>
{
    // политика по-умолчанию общая для всех
    options.AddPolicy("TestPolicy", policy =>
    {
        policy.AuthenticationSchemes = new List<string> { "Bearer" };
        policy.RequireAuthenticatedUser();
        policy.RequireClaim("aud", "test");
    });
});