IdentityServer4实战 - JWT Token Issuer 详解

一.前言

本文为系列 <https://www.cnblogs.com/stulzq/p/8119928.html>补坑之作，拖了许久决定先把坑填完。

下文演示所用代码采用的 IdentityServer4 版本为 2.3.0，由于时间推移可能以后的版本会有一些改动，请参考查看，文末附上Demo代码。

本文所诉Token如无特殊说明皆为 JWT Token。

众所周知 JWT Token 由三部分组成，第一部分 Header，包含 keyid、签名算法、Token类型；第二部分 Payload 包含 Token
的信息主体，如授权时间、过期时间、颁发者、身份唯一标识等等；第三部分是Token的签名。我们对一个 Token 进行解码，观察其中 Payload
部分，你将会发现一个 "iss" 字段，那么它代表什么呢，它又有什么作用呢，请看后文分解。



二. Issuer 的前世今生

iss 是 OpenId Connect（后文简称OIDC）协议中定义的一个字段，其全称为 “Issuer
Identifier”，中文意思就是：颁发者身份标识，表示 Token 颁发者的唯一标识，一般是一个 http(s) url，如
https://www.baidu.com。

在 Token 的验证过程中，会将它作为验证的一个阶段，如无法匹配将会造成验证失败，最后返回 HTTP 401。

三. Issuer 的验证流程分析

JWT的验证是去中心化的验证，实际这个验证过程是发生在API资源的，除了必要的从 IdentityServer4
获取元数据（获取后会缓存，不用重复获取）比如获取公钥用于验证签名，是不会再去交互的（详细介绍：
https://www.cnblogs.com/stulzq/p/9226059.html
<https://www.cnblogs.com/stulzq/p/9226059.html>）。那么我们就从 API 资源作为入口开始分析。

我们在 API 资源的配置认证的代码如下：
public class Startup { public void ConfigureServices(IServiceCollection
services) { services.AddMvcCore() .AddAuthorization() .AddJsonFormatters();
services.AddAuthentication("Bearer") .AddJwtBearer("Bearer", options => { //
IdentityServer4 地址 options.Authority = "http://localhost:5000";
options.RequireHttpsMetadata = false; options.Audience = "api1"; }); } public
void Configure(IApplicationBuilder app) { app.UseAuthentication();
app.UseMvc(); } } }
一个携带 Token 的请求从认证中间件到最终验证 Issuer 的逻辑如下图（懒得画流程图了，直接做个gif）。



（新窗口打开查看大图）

最终验证 Issuer 的代码：
public static string ValidateIssuer(string issuer, SecurityToken
securityToken, TokenValidationParameters validationParameters) { //最终进入
验证Issuer逻辑 if (validationParameters == null) throw
LogHelper.LogArgumentNullException(nameof(validationParameters)); if
(!validationParameters.ValidateIssuer) {
LogHelper.LogInformation(LogMessages.IDX10235); return issuer; } if
(validationParameters.IssuerValidator != null) return
validationParameters.IssuerValidator(issuer, securityToken,
validationParameters); if (string.IsNullOrWhiteSpace(issuer)) throw
LogHelper.LogExceptionMessage(new
SecurityTokenInvalidIssuerException(LogMessages.IDX10211) { InvalidIssuer =
issuer }); // Throw if all possible places to validate against are null or
empty if (string.IsNullOrWhiteSpace(validationParameters.ValidIssuer) &&
(validationParameters.ValidIssuers == null)) throw
LogHelper.LogExceptionMessage(new
SecurityTokenInvalidIssuerException(LogMessages.IDX10204) { InvalidIssuer =
issuer }); if (string.Equals(validationParameters.ValidIssuer, issuer,
StringComparison.Ordinal)) { LogHelper.LogInformation(LogMessages.IDX10236,
issuer); return issuer; } if (null != validationParameters.ValidIssuers) {
foreach (string str in validationParameters.ValidIssuers) { if
(string.IsNullOrEmpty(str)) { LogHelper.LogInformation(LogMessages.IDX10235);
continue; } if (string.Equals(str, issuer, StringComparison.Ordinal)) {
LogHelper.LogInformation(LogMessages.IDX10236, issuer); return issuer; } } }
throw LogHelper.LogExceptionMessage( new
SecurityTokenInvalidIssuerException(LogHelper.FormatInvariant(LogMessages.IDX10205,
issuer, (validationParameters.ValidIssuer ?? "null"),
Utility.SerializeAsSingleCommaDelimitedString(validationParameters.ValidIssuers)))
{ InvalidIssuer = issuer }); }
由源码分析可以获得几个结论：

1.验证 Token 必定会验证 Issuer，如果 Issuer 验证失败，那么表示则整个 Token 的验证结果就是失败。

* Issuer 默认从 IdentityServer4 的 Discovery
Endpoint（/.well-known/openid-configuration）获取Issuer


3.Issuer 可以自定义，并且可以设置一个列表，如果手动设置了会覆盖默认值

4.Issuer 验证逻辑默认只验证是否相等，即 Token 携带的 Issuer 是否与 设置的 Issuer 值相等。

5.Issuer 验证逻辑可以自定义

6.Issuer 的验证可以关闭

以上设置如无特殊需求直接使用默认值即可，不需要额外设置。

关于以上结论的在代码（API资源）中的实现：



四.如何设置 Token 的 Issuer

第三节讲的是 Issuer 验证时有效 Issuer 的设置，本节讲的是 设置 Token 的 Issuer，Token携带的 Issuer
与API资源设置的有效 Issuer 进行验证匹配完成整个流程，这里提一下，避免搞混。

设置 Token 的 Issuer 需要在 IdentityServer4 设置。在 Startup 里中设置：
services.AddIdentityServer(option=>option.IssuerUri="https://www.baidu.com")
此值必须是一个 http(s) url。

验证是否生效：

1.访问 Discovery Endpoint（/.well-known/openid-configuration）



2.对Token解码，查看 iss 字段

如果在 IdentityServer4 设置此值，默认情况下所有API资源都会获取此值作为默认有效Issuer。

如果你自定义了 Issuer，在使用 Client 访问时会出现 Issuer 与 Authority
不匹配的错误，是因为Client在默认情况下作了限制，关闭即可：
var client = new HttpClient(); var disco = await
client.GetDiscoveryDocumentAsync(new DiscoveryDocumentRequest(){Address =
"http://localhost:5000" ,Policy = new DiscoveryPolicy(){ValidateIssuerName =
false}});
五.默认值问题

如果没有手动设置 IdentityServer4 IssuerUri 值那么它默认会取你访问 IdentityServer4 时的 Host，下面举例说明。

首先修改 IdentityServer4 项目的监听地址，使其能够通过局域网IP访问



然后分别通过 localhost 和 局域网ip 访问 Discovery Endpoint，观察 Issuer 的值：

localhost:



局域网IP：



看出差异了吧，这一点需要注意，下一节将会讲一下这个引发的问题。

六.Issuer 默认值问题可能出现的场景及解决

这种情况一般出现在 IdentityServer4 经过了一层或多层代理，比如 Nginx反代、网关等，外网地址经过代理传递到了
IdentityServer4，如果直接通过外网请求的 Token Endpoint（/connect/token） 生成的 Token，那么这个 Token
携带的 iss
地址将会是外网地址（正常情况下，Host是会经过代理传过来的，如果你不配置传过来，那么就没有这个问题，那么你的后端服务获取的地址与预期肯定有差别，不推荐这种做法）。但是本地API资源（与IdentityServer4在同一台服务器或者同一个局域网）与IdentityServer4交互的地址（Authority）肯定会配成localhost
或者是局域网地址（如果你这里配置成外网地址，那么你可以不继续往下看了，内部交互还要走外部网络严重不推荐甚至是禁止此种做法）。



上图的架构即便是把
Gateway、IdentityServer、Basket服务（API资源）放在一台机器上也是一样的道理，都会出现这种情况，其原因就是如果
IdentityServer 不设置
Issuer，就会取你访问IdentityServer时的Host作为Issuer，外网进来的Host地址和你内部交互的不一样就造成了这个问题，解决办法就是在
IdentityServer 手动指定一个 Issuer 即可解决（第四节）
，取消掉它的默认取Host的机制，不管你怎么访问IdentityServer返回的Issuer都是一个地址。

七.结束

Demo:


https://github.com/stulzq/IdentityServer4.Samples/tree/master/Practice/03_Issuer

<https://github.com/stulzq/IdentityServer4.Samples/tree/master/Practice/03_Issuer>

参考资料：

OIDC（OpenId Connect）身份认证授权（核心部分）
<http://www.cnblogs.com/linianhui/p/openid-connect-core.html> by blackheart.

最后如果你觉得有用请点击右下角的“推荐”支持一下，十分感谢，写这篇博客花了不少功夫。

• « 上一篇：程序员肯德基相亲被拒 女生:一顿饭才79块，真抠!!!
• » 下一篇：增强学习之Q-learning走迷宫