关于microsoft:微软MVP精选-从TCPIP协议出发详细分析Ids4认证过程

只有奉献，就不分大小，每个人都是这个时代最璀璨的星！
一个以开源我的项目主导的社区组织。

BCVP 框架，是基于:
ASP.NETCore5.0+VUE.js+IdentityServer4 等核心技术，实现的前后端拆散与动静认证鉴权一体化平台。曾经正式运行两年，是一套很成熟的框架了。然而两头始终有一个很小的外围问题，我始终没有机会去证实，明天终于有机会求证一下，这里感激 @wuare 老铁，提供技术支持——后端服务抓包与服务协定剖析。
先简略说下故事背景：
对于认证受权流程，也就是 OAuth2.0 协定的过程，当咱们的客户端（Vue）向资源服务器（core）发动申请的时候，先判断 Token 是否无效，如果为空或有效，便间接 401 驳回。如果失常的话，就会 向认证核心（ids4）发动校验申请 ，通过后，剩下的就失常拜访了。
那么问题来了：

Q&A:
1、上边绿色的校验申请，是每次都申请么？
2、申请的接口和返回内容是什么？
3、如果我敞开认证核心，拜访还能失常持续么？

不晓得你是否有这些疑难，如果曾经有了精确的答案，欢送指出本文的问题；如果不太分明，本文正好帮你好好了解一下。
因为毕竟是资源服务器向认证核心发动的后端之间的申请，所以须要抓包工具来查看具体的内容，这里举荐 Wireshark，网络管理员会应用 wireshark 来查看网络问题。
装置过程很简略，这里疏忽不表，有一点须要留神，如果要调试本地 localhost 的拜访申请，须要另外装置一个工具——NMap，配合 WireShark 一起应用。
装置实现后，能够看到次要界面是这样的：

次要分成三块：别离是过滤器，申请区，5 层程序后果区。
如何来验证咱们文章结尾的问题呢，别着急，在求证之前，先来回顾下计算机网络相干常识。

计算机网络分层根底

计算机网络申请，经典五层构造模型：

再具体说每次是干什么的呢：

当初咱们看到的很多的，都是在之前的五层构造上，把应用层细分了，最终是拆分的七层模型，最初咱们来一张具体的图来阐明各层的状况：

这个时候是不是都要大呼示意看不懂了，没关系！只须要晓得五层的名字，以及每层都是干啥的都行啦。
轻易拜访一个 Http 申请，用 WireShark 查看具体的拜访过程，能够清晰的看到五层构造和执行程序：

不过，还是倡议重点理解下传输层和网络层，应用层不必理解，因为咱们天天干的活就是应用层的。
如果你传输层不理解，那 TCP 三次握手，你必定都晓得吧，它就产生在传输层，因为从单词上就可以看进去：Transmission Control Protocol。
那好，咱们就来 看看三次握手的过程，如何在 WireShark 中体现。

TCP 三次握手过程

咱们能够通过 PostMan 发送一次申请，请尽量申请最近没有建设链接的申请，比方我的 http://tibug.neters.club。
而后在 WireShark 中，能够看到申请过程，能够做个过滤，不然太多了：

咱们简略的剖析下三次握手过程：

第一次握手数据包 客户端发送一个 TCP，标记位为 SYN，序列号为 0，代表客户端申请建设连贯。
第二次握手的数据包 服务器发回确认包，标记位为 SYN，ACK。将确认序号 (Acknowledgement Number) 设置为客户的 ISN 加 1，即 0 +1=1
第三次握手的数据包 客户端再次发送确认包 (ACK) SYN 标记位为 0,ACK 标记位为 1。并且把服务器发来 ACK 的序号字段 +1，放在确定字段中发送给对方。
是不是整体看起来清晰明了！
有了网络常识，有了工具加持，当初咱们 能够开始钻研文章结尾提出的问题了！

资源服务器“首次”发动申请

我在题目里，重点加上了首次，到底是不是首次，正好验证一下：
首先在 Blog.Core 我的项目中，开启 Ids4 认证模式：

而后别离运行两个我的项目，先获取 Token，而后发送一个获取菜单接口申请，第一次的申请后果是这样的，能够在过滤器里，写上 http，做一个过滤：

整体流程很简略，先申请资源服务，而后调用认证核心，发动两次接口，后果别离是：
1、/.well-known/openid-configuration

2、/.well-known/openid-configuration/jwks

这些后果都被放到了资源服务器的内存当中，供当前调用，如果你想看具体的构造和后果，能够间接将返回后果复制进去：

到这里，文章前两个问题曾经完满失去了答案。
开始验证第三个问题吧，关掉认证核心服务即可！

资源服务器“再次”发动申请

需在上一节的根底上，停掉认证核心服务，然而不要重启资源服务，还是之前的令牌，换一个新的接口 /api/Permission/Get，当然不换也能够，发动申请：

果不其然，申请照样能够走通，而且也没有发动认证了，是从上一步的内存中，间接获取，并做后续逻辑。
到这里，曾经完满解决了文章结尾的三个问题，顺便也学会了抓包和计算机网络常识，加油！

微软最有价值专家是微软公司授予第三方技术专业人士的一个寰球奖项。27 年来，世界各地的技术社区领导者，因其在线上和线下的技术社区中分享专业知识和教训而取得此奖项。

MVP 是通过严格筛选的专家团队，他们代表着技术最精湛且最具智慧的人，是对社区投入极大的激情并乐于助人的专家。MVP 致力于通过演讲、论坛问答、创立网站、撰写博客、分享视频、开源我的项目、组织会议等形式来帮忙别人，并最大水平地帮忙微软技术社区用户应用 Microsoft 技术。
更多详情请登录官方网站：

https://mvp.microsoft.com/zh-cn