在C#生态中,OpenIddict是实现OAuth 2.0和OpenID Connect协议的优秀选择,它基于ASP.NET Core构建,支持多种授权模式,配置灵活且扩展性强,适合搭建自定义的授权服务器。

OpenIddict核心概念
OpenIddict主要提供授权服务器、资源服务器、客户端三个核心角色的支持,其中授权服务器负责颁发访问令牌和身份令牌,资源服务器验证令牌并保护接口,客户端则向授权服务器申请令牌访问受保护资源。
常用的授权模式包括授权码模式、客户端凭据模式、密码模式、隐式模式,不同模式适配不同的应用场景,比如前后端分离项目推荐使用授权码模式,服务端之间调用适合客户端凭据模式。
环境准备与项目初始化
首先创建一个ASP.NET Core Web API项目,目标框架选择.NET 6及以上版本,然后安装OpenIddict相关的NuGet包:
<!-- 安装核心包和EF Core存储包 --> <PackageReference Include="OpenIddict.AspNetCore" Version="4.10.1" /> <PackageReference Include="OpenIddict.EntityFrameworkCore" Version="4.10.1" /> <PackageReference Include="Microsoft.EntityFrameworkCore.SqlServer" Version="7.0.0" />
如果是使用SQLite或者其他数据库,替换对应的EF Core数据库驱动包即可。
基础配置流程
1. 配置OpenIddict服务
在Program.cs中添加OpenIddict的服务配置,开启对应的授权模式和功能:
using OpenIddict.Abstractions;
using Microsoft.EntityFrameworkCore;
var builder = WebApplication.CreateBuilder(args);
// 配置数据库上下文
builder.Services.AddDbContext<ApplicationDbContext>(options =>
options.UseSqlServer(builder.Configuration.GetConnectionString("DefaultConnection")));
// 配置OpenIddict服务
builder.Services.AddOpenIddict()
.AddCore(options =>
{
// 使用EF Core存储令牌、应用等信息
options.UseEntityFrameworkCore()
.UseDbContext<ApplicationDbContext>();
})
.AddServer(options =>
{
// 开启授权端点、令牌端点、用户信息端点
options.SetAuthorizationEndpointUris("/connect/authorize")
.SetTokenEndpointUris("/connect/token")
.SetUserInfoEndpointUris("/connect/userinfo");
// 开启支持的授权模式:授权码、客户端凭据、刷新令牌
options.AllowAuthorizationCodeFlow()
.AllowClientCredentialsFlow()
.AllowRefreshTokenFlow();
// 注册签名和加密凭证,开发环境可以使用临时证书
options.AddDevelopmentEncryptionCertificate()
.AddDevelopmentSigningCertificate();
// 启用授权端点和令牌端点的传递方式
options.UseAspNetCore()
.EnableAuthorizationEndpointPassthrough()
.EnableTokenEndpointPassthrough()
.EnableUserInfoEndpointPassthrough();
})
.AddValidation(options =>
{
// 配置令牌验证,直接使用本地授权服务器颁发的令牌
options.UseLocalServer();
options.UseAspNetCore();
});
// 添加身份认证服务
builder.Services.AddAuthentication(options =>
{
options.DefaultScheme = OpenIddictDefaults.AuthenticationScheme;
});
var app = builder.Build();
// 中间件配置
app.UseAuthentication();
app.UseAuthorization();
app.MapControllers();
app.Run();
2. 创建数据库上下文和实体
定义继承OpenIddictDbContext的数据库上下文,用于管理OpenIddict相关的存储表:
using OpenIddict.EntityFrameworkCore.Models;
using Microsoft.EntityFrameworkCore;
public class ApplicationDbContext : OpenIddictDbContext<ApplicationDbContext>
{
public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options)
: base(options)
{
}
}
然后执行数据库迁移命令,生成OpenIddict需要的表结构:
dotnet ef migrations add InitialOpenIddict dotnet ef database update
注册客户端应用
授权服务器需要提前注册合法的客户端,才能允许客户端申请令牌。可以在项目初始化时通过代码注册一个测试客户端:
using OpenIddict.Abstractions;
using Microsoft.EntityFrameworkCore;
// 在app.Run()之前添加客户端注册逻辑
using (var scope = app.Services.CreateScope())
{
var context = scope.ServiceProvider.GetRequiredService<ApplicationDbContext>();
context.Database.EnsureCreated();
var manager = scope.ServiceProvider.GetRequiredService<IOpenIddictApplicationManager>();
// 检查客户端是否已存在
if (await manager.FindByClientIdAsync("test-client") == null)
{
await manager.CreateAsync(new OpenIddictApplicationDescriptor
{
ClientId = "test-client",
ClientSecret = "test-secret",
DisplayName = "测试客户端",
// 客户端允许的回调地址,授权码模式需要
RedirectUris = { new Uri("https://localhost:5001/callback") },
// 允许的权限范围
Permissions =
{
OpenIddictConstants.Permissions.Endpoints.Authorization,
OpenIddictConstants.Permissions.Endpoints.Token,
OpenIddictConstants.Permissions.GrantTypes.AuthorizationCode,
OpenIddictConstants.Permissions.GrantTypes.ClientCredentials,
OpenIddictConstants.Permissions.GrantTypes.RefreshToken,
OpenIddictConstants.Permissions.Scopes.Email,
OpenIddictConstants.Permissions.Scopes.Profile
}
});
}
}
实现授权码模式获取令牌
授权码模式是最常用的模式,分为两步:先获取授权码,再用授权码换令牌。
第一步:获取授权码
客户端引导用户访问授权端点,请求参数如下:
GET https://localhost:5000/connect/authorize? client_id=test-client &redirect_uri=https://localhost:5001/callback &response_type=code &scope=openid profile email &state=随机字符串
用户登录同意授权后,授权服务器会跳转到回调地址,并携带code和state参数。
第二步:用授权码换令牌
客户端拿到授权码后,向令牌端点发起POST请求:
using System.Net.Http.Headers;
using System.Text;
var client = new HttpClient();
var clientId = "test-client";
var clientSecret = "test-secret";
// 拼接Basic认证凭证
var auth = Convert.ToBase64String(Encoding.UTF8.GetBytes($"{clientId}:{clientSecret}"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", auth);
var content = new FormUrlEncodedContent(new Dictionary<string, string>
{
["grant_type"] = "authorization_code",
["code"] = "获取到的授权码",
["redirect_uri"] = "https://localhost:5001/callback"
});
var response = await client.PostAsync("https://localhost:5000/connect/token", content);
var result = await response.Content.ReadAsStringAsync();
Console.WriteLine(result);
返回结果包含access_token、refresh_token等信息,后续访问受保护接口时携带access_token即可。
保护受控API接口
在需要保护的接口上添加[Authorize]特性,只有携带有效令牌的请求才能访问:
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
[ApiController]
[Route("api/[controller]")]
public class UserController : ControllerBase
{
[Authorize]
[HttpGet("profile")]
public IActionResult GetProfile()
{
// 从令牌中获取用户信息
var userName = User.Identity?.Name;
var email = User.FindFirst(OpenIddictConstants.Claims.Email)?.Value;
return Ok(new { UserName = userName, Email = email });
}
}
常见问题说明
- 开发环境可以使用临时证书,生产环境需要替换为正式的签名和加密证书,避免安全漏洞。
- 客户端的回调地址必须和注册时配置的完全一致,否则授权请求会被拒绝。
- 令牌的有效期可以通过OpenIddict的配置进行调整,默认访问令牌有效期较短,刷新令牌有效期较长。
- 如果需要支持用户登录,需要集成ASP.NET Core Identity或者其他身份认证系统,OpenIddict本身不提供用户管理功能。
C#OpenIddictOAuth_2.0授权服务器修改时间:2026-06-15 19:13:02