C#如何自建OAuth 2.0授权服务器?OpenIddict使用方法详解

来源:网络学院作者:深圳程序员头衔:程序员
导读:本期聚焦于小伙伴创作的《C#如何自建OAuth 2.0授权服务器?OpenIddict使用方法详解》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《C#如何自建OAuth 2.0授权服务器?OpenIddict使用方法详解》有用,将其分享出去将是对创作者最好的鼓励。

在C#生态中,OpenIddict是实现OAuth 2.0和OpenID Connect协议的优秀选择,它基于ASP.NET Core构建,支持多种授权模式,配置灵活且扩展性强,适合搭建自定义的授权服务器。

C#如何自建OAuth 2.0授权服务器?OpenIddict使用方法详解

OpenIddict核心概念

OpenIddict主要提供授权服务器、资源服务器、客户端三个核心角色的支持,其中授权服务器负责颁发访问令牌和身份令牌,资源服务器验证令牌并保护接口,客户端则向授权服务器申请令牌访问受保护资源。

常用的授权模式包括授权码模式、客户端凭据模式、密码模式、隐式模式,不同模式适配不同的应用场景,比如前后端分离项目推荐使用授权码模式,服务端之间调用适合客户端凭据模式。

环境准备与项目初始化

首先创建一个ASP.NET Core Web API项目,目标框架选择.NET 6及以上版本,然后安装OpenIddict相关的NuGet包:

<!-- 安装核心包和EF Core存储包 -->
<PackageReference Include="OpenIddict.AspNetCore" Version="4.10.1" />
<PackageReference Include="OpenIddict.EntityFrameworkCore" Version="4.10.1" />
<PackageReference Include="Microsoft.EntityFrameworkCore.SqlServer" Version="7.0.0" />

如果是使用SQLite或者其他数据库,替换对应的EF Core数据库驱动包即可。

基础配置流程

1. 配置OpenIddict服务

在Program.cs中添加OpenIddict的服务配置,开启对应的授权模式和功能:

using OpenIddict.Abstractions;
using Microsoft.EntityFrameworkCore;

var builder = WebApplication.CreateBuilder(args);

// 配置数据库上下文
builder.Services.AddDbContext<ApplicationDbContext>(options =>
    options.UseSqlServer(builder.Configuration.GetConnectionString("DefaultConnection")));

// 配置OpenIddict服务
builder.Services.AddOpenIddict()
    .AddCore(options =>
    {
        // 使用EF Core存储令牌、应用等信息
        options.UseEntityFrameworkCore()
               .UseDbContext<ApplicationDbContext>();
    })
    .AddServer(options =>
    {
        // 开启授权端点、令牌端点、用户信息端点
        options.SetAuthorizationEndpointUris("/connect/authorize")
               .SetTokenEndpointUris("/connect/token")
               .SetUserInfoEndpointUris("/connect/userinfo");

        // 开启支持的授权模式:授权码、客户端凭据、刷新令牌
        options.AllowAuthorizationCodeFlow()
               .AllowClientCredentialsFlow()
               .AllowRefreshTokenFlow();

        // 注册签名和加密凭证,开发环境可以使用临时证书
        options.AddDevelopmentEncryptionCertificate()
               .AddDevelopmentSigningCertificate();

        // 启用授权端点和令牌端点的传递方式
        options.UseAspNetCore()
               .EnableAuthorizationEndpointPassthrough()
               .EnableTokenEndpointPassthrough()
               .EnableUserInfoEndpointPassthrough();
    })
    .AddValidation(options =>
    {
        // 配置令牌验证,直接使用本地授权服务器颁发的令牌
        options.UseLocalServer();
        options.UseAspNetCore();
    });

// 添加身份认证服务
builder.Services.AddAuthentication(options =>
{
    options.DefaultScheme = OpenIddictDefaults.AuthenticationScheme;
});

var app = builder.Build();

// 中间件配置
app.UseAuthentication();
app.UseAuthorization();

app.MapControllers();

app.Run();

2. 创建数据库上下文和实体

定义继承OpenIddictDbContext的数据库上下文,用于管理OpenIddict相关的存储表:

using OpenIddict.EntityFrameworkCore.Models;
using Microsoft.EntityFrameworkCore;

public class ApplicationDbContext : OpenIddictDbContext<ApplicationDbContext>
{
    public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options)
        : base(options)
    {
    }
}

然后执行数据库迁移命令,生成OpenIddict需要的表结构:

dotnet ef migrations add InitialOpenIddict
dotnet ef database update

注册客户端应用

授权服务器需要提前注册合法的客户端,才能允许客户端申请令牌。可以在项目初始化时通过代码注册一个测试客户端:

using OpenIddict.Abstractions;
using Microsoft.EntityFrameworkCore;

// 在app.Run()之前添加客户端注册逻辑
using (var scope = app.Services.CreateScope())
{
    var context = scope.ServiceProvider.GetRequiredService<ApplicationDbContext>();
    context.Database.EnsureCreated();

    var manager = scope.ServiceProvider.GetRequiredService<IOpenIddictApplicationManager>();
    // 检查客户端是否已存在
    if (await manager.FindByClientIdAsync("test-client") == null)
    {
        await manager.CreateAsync(new OpenIddictApplicationDescriptor
        {
            ClientId = "test-client",
            ClientSecret = "test-secret",
            DisplayName = "测试客户端",
            // 客户端允许的回调地址,授权码模式需要
            RedirectUris = { new Uri("https://localhost:5001/callback") },
            // 允许的权限范围
            Permissions =
            {
                OpenIddictConstants.Permissions.Endpoints.Authorization,
                OpenIddictConstants.Permissions.Endpoints.Token,
                OpenIddictConstants.Permissions.GrantTypes.AuthorizationCode,
                OpenIddictConstants.Permissions.GrantTypes.ClientCredentials,
                OpenIddictConstants.Permissions.GrantTypes.RefreshToken,
                OpenIddictConstants.Permissions.Scopes.Email,
                OpenIddictConstants.Permissions.Scopes.Profile
            }
        });
    }
}

实现授权码模式获取令牌

授权码模式是最常用的模式,分为两步:先获取授权码,再用授权码换令牌。

第一步:获取授权码

客户端引导用户访问授权端点,请求参数如下:

GET https://localhost:5000/connect/authorize?
client_id=test-client
&redirect_uri=https://localhost:5001/callback
&response_type=code
&scope=openid profile email
&state=随机字符串

用户登录同意授权后,授权服务器会跳转到回调地址,并携带codestate参数。

第二步:用授权码换令牌

客户端拿到授权码后,向令牌端点发起POST请求:

using System.Net.Http.Headers;
using System.Text;

var client = new HttpClient();
var clientId = "test-client";
var clientSecret = "test-secret";
// 拼接Basic认证凭证
var auth = Convert.ToBase64String(Encoding.UTF8.GetBytes($"{clientId}:{clientSecret}"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", auth);

var content = new FormUrlEncodedContent(new Dictionary<string, string>
{
    ["grant_type"] = "authorization_code",
    ["code"] = "获取到的授权码",
    ["redirect_uri"] = "https://localhost:5001/callback"
});

var response = await client.PostAsync("https://localhost:5000/connect/token", content);
var result = await response.Content.ReadAsStringAsync();
Console.WriteLine(result);

返回结果包含access_tokenrefresh_token等信息,后续访问受保护接口时携带access_token即可。

保护受控API接口

在需要保护的接口上添加[Authorize]特性,只有携带有效令牌的请求才能访问:

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;

[ApiController]
[Route("api/[controller]")]
public class UserController : ControllerBase
{
    [Authorize]
    [HttpGet("profile")]
    public IActionResult GetProfile()
    {
        // 从令牌中获取用户信息
        var userName = User.Identity?.Name;
        var email = User.FindFirst(OpenIddictConstants.Claims.Email)?.Value;
        return Ok(new { UserName = userName, Email = email });
    }
}

常见问题说明

  • 开发环境可以使用临时证书,生产环境需要替换为正式的签名和加密证书,避免安全漏洞。
  • 客户端的回调地址必须和注册时配置的完全一致,否则授权请求会被拒绝。
  • 令牌的有效期可以通过OpenIddict的配置进行调整,默认访问令牌有效期较短,刷新令牌有效期较长。
  • 如果需要支持用户登录,需要集成ASP.NET Core Identity或者其他身份认证系统,OpenIddict本身不提供用户管理功能。

C#OpenIddictOAuth_2.0授权服务器修改时间:2026-06-15 19:13:02

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。