Note
对于任何前提条件（例如模板），请查看 overview first.

在之前的快速入门中，我们探讨了API访问和用户身份验证。现在我们要把这两个部分放在一起。

OpenID Connect和OAuth 2.0组合的优点在于，您可以通过单一协议和与令牌服务的一次交换来实现。

在上一个快速入门中，我们使用了OpenID Connect隐式流程。在隐式流中，所有令牌都是通过浏览器传输的，这对于身份令牌是完全可以的。现在我们还想请求访问令牌。

访问令牌比身份令牌更敏感，如果不需要，我们不希望将它们公开给“外部”世界。 OpenID Connect包含一个称为“ Hybrid Flow”的流程，该流程使我们两全其美，身份令牌是通过浏览器通道传输的，因此客户端可以在进行更多工作之前对其进行验证。如果验证成功，则客户端将打开通向令牌服务的反向通道，以检索访问令牌。

修改客户端配置

不需要太多修改。首先，我们要允许客户端使用混合流，此外，我们还希望客户端允许进行服务器到服务器的API调用，这些调用不在用户的上下文中（这与我们的客户端凭据快速入门非常相似）。这是使用AllowedGrantTypes属性表示的。

接下来，我们需要添加一个客户端密码。这将用于在反向通道上检索访问令牌。

最后，我们还为客户端提供了offline_access范围的访问权限-这允许为长时间的API访问请求刷新令牌：

new Client
{
    ClientId = "mvc",
    ClientName = "MVC Client",
    AllowedGrantTypes = GrantTypes.Hybrid,

    ClientSecrets =
    {
        new Secret("secret".Sha256())
    },

    RedirectUris           = { "http://localhost:5002/signin-oidc" },
    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

    AllowedScopes =
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        "api1"
    },
    AllowOfflineAccess = true
};

修改MVC客户端

MVC客户端上的修改也很少-ASP.NET Core OpenID Connect处理程序具有对混合流的内置支持，因此我们只需要更改一些配置值即可。

我们将ClientSecret配置为与IdentityServer上的secret匹配。 添加offline_access和api1范围，并将ResponseType设置为code id_token（这基本上意味着“使用混合流”）。 为了使website声明保留在我们的mvc客户身份中，我们需要使用ClaimActions明确映射声明。

.AddOpenIdConnect("oidc", options =>
{
    options.SignInScheme = "Cookies";

    options.Authority = "http://localhost:5000";
    options.RequireHttpsMetadata = false;

    options.ClientId = "mvc";
    options.ClientSecret = "secret";
    options.ResponseType = "code id_token";

    options.SaveTokens = true;
    options.GetClaimsFromUserInfoEndpoint = true;

    options.Scope.Add("api1");
    options.Scope.Add("offline_access");
    options.ClaimActions.MapJsonKey("website", "website");
});

当您运行MVC客户端时，除了同意屏幕现在会要求您提供其他API和脱机访问范围之外，没有太大区别。

使用访问令牌

OpenID Connect处理程序会自动为您保存令牌（在我们的情况下为身份，访问和刷新）。 这就是SaveTokens设置的作用。

Cookie检查视图会迭代这些值并在屏幕上显示它们。

从技术上讲，令牌存储在cookie的属性部分中。 访问它们的最简单方法是使用Microsoft.AspNetCore.Authentication命名空间中的扩展方法。

例如：

var accessToken = await HttpContext.GetTokenAsync("access_token")
var refreshToken = await HttpContext.GetTokenAsync("refresh_token");

要使用访问令牌访问API，您所需要做的就是获取令牌，并将其设置在HttpClient上：

public async Task<IActionResult> CallApi()
{
    var accessToken = await HttpContext.GetTokenAsync("access_token");

    var client = new HttpClient();
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
    var content = await client.GetStringAsync("http://localhost:5001/identity");

    ViewBag.Json = JArray.Parse(content).ToString();
    return View("json");
}

创建一个名为json.cshtml的视图，该视图将输出json，如下所示：

<pre>@ViewBag.Json</pre>

确保API正在运行，启动MVC客户端，并在身份验证后调用/home/CallApi。

Source code here