IdentityServer4 + Asp.Net Core Identity - сопоставление идентификаторов с пользователем базы данных приложения

Значит, вы бы не сохранили имя и т. Д. В базе данных конкретного приложения, верно?

Да, свойства, специфичные для пользователя, должны входить в профиль пользователя и сохраняться в пользовательском хранилище (базе данных) IdentityServer. Данные пользователя, относящиеся к конкретному приложению, должны храниться в магазине приложений.

В каждом запросе, где вам нужны пользовательские данные, будет запрашивать сервер идентификации для получения информации / утверждений?

Не обязательно. Данные пользователя могут быть включены в токен удостоверения как утверждения. Затем утверждения будут сохранены в файле cookie в качестве билета проверки подлинности. Для каждого запроса эти утверждения (хранящиеся в файлах cookie) доступны через свойство User контроллера.

var identity = (ClaimsIdentity)User.Identity;
IEnumerable<Claim> claims = identity.Claims;

Вы можете хранить и запрашивать пользовательские данные, относящиеся к приложению, которые хранятся с идентификатором пользователя (в качестве идентификатора пользователя может использоваться утверждение sub).

Если вам нужно много пользовательских данных в приложении, не оптимально включать все в токен идентификации, и маловероятно, что они вам понадобятся для каждого запроса. Поэтому, когда вам нужна дополнительная информация, вы можете запросить конечную точку UserInfo на сервере идентификации. Просто включите основную информацию, необходимую для идентификации пользователя, в свой токен идентификации.

А как насчет процесса регистрации?

Регистрация - это совершенно отдельный рабочий процесс, который не связан с сервером идентификации. Вам просто нужно сохранить пользователя в хранилище идентификаторов (возможно, с использованием идентификатора asp.net). Конечно, вы можете разместить контроллеры регистрации вместе с сервером идентификации, чтобы все, что связано с идентификацией, физически находилось на одном сервере. Вы также можете просто написать в хранилище пользователей IdentityServer из любого места, где вы размещаете процесс регистрации (например, из отдельного пользовательского интерфейса администратора или из рабочего процесса, включающего проверку электронной почты, ручное утверждение и т. Д.)

Чтобы настроить то, что вы храните в Asp.net Core Identity, вам необходимо использовать services.AddIdentity<ApplicationUser, ApplicationRole>. ApplicationUser и ApplicationRole расширяют IdentityUser и IdentityRole. Таким образом, вы можете заставить его хранить любую дополнительную информацию, которую хотите.

Затем, чтобы вернуть дополнительную информацию, вам нужно создать ProfileService, который реализует IProfileService. С помощью этой услуги вы можете добавить любую дополнительную информацию для получения токенов.

Вам необходимо зарегистрировать эту услугу как

services.AddSingleton<IProfileService, ProfileService>();
builder.AddAspNetIdentity<ApplicationUser>().AddProfileService<ProfileService>();

Вы можете зарегистрировать пользователя с дополнительной информацией, как показано ниже:

var user = new ApplicationUser
            {
                UserName = Username,
                Email = email,
                ExtraInfo1 = "Hello",
                ExtraInfo2 = "World"
            };
await _userManager.CreateAsync(user, "SomePassword");

С OpenId у вас есть набор утверждений по умолчанию, связанных с пользователем. Таким образом, любое клиентское приложение может получить доступ к этим утверждениям. Убедитесь, что каждому клиенту назначены области действия openid и профиль. В противном случае клиентское приложение не сможет получить доступ к основным сведениям о пользователе.

В приложении Asp.Net Core вы можете получить доступ к этим утверждениям в контроллере с помощью свойства User.