Duende IdentityServer 7.0.0 RC1发布：安全认证框架的重大升级

项目简介

Duende IdentityServer是一个功能强大的开源身份认证和授权框架，专为现代应用程序设计。它实现了OpenID Connect和OAuth 2.0协议，为应用程序提供安全的身份验证和API访问控制解决方案。作为.NET生态系统中领先的身份认证服务器，IdentityServer广泛应用于企业级应用、微服务架构和云原生环境中。

主要更新内容

1. .NET 8全面支持

IdentityServer 7.0.0将目标框架升级至.NET 8，这不仅确保了与微软最新支持版本的兼容性，还带来了性能提升和新特性支持。特别值得注意的是，新版本采用了.NET 8引入的TimeProvider抽象，提供了更精确的时间管理能力，同时也使依赖时间的代码更易于测试。

2. 推送授权请求(PAR)支持

IdentityServer 7.0.0引入对推送授权请求(PAR)标准的支持，这是一项重要的安全增强功能。PAR将授权参数从浏览器前端通道转移到后端通道，通过机器对机器的直接HTTP调用传递，显著提高了OAuth和OIDC流程的安全性。

新版本提供了灵活的PAR配置选项，包括全局启用设置、请求生命周期管理以及客户端级别的细粒度配置，使开发者能够根据安全需求和应用场景进行定制。

3. OpenTelemetry指标支持

在可观测性方面，IdentityServer 7.0.0扩展了对OpenTelemetry的支持，新增了指标收集功能。这一改进使得系统监控更加标准化，能够与更广泛的监控工具生态系统集成。虽然IdentityServer仍会继续触发自定义事件，但OpenTelemetry将成为未来可观测性工作的重点方向。

4. 刷新令牌机制优化

新版本将刷新令牌的默认行为改为可重用模式，这一改变基于IETF的最新安全建议和实践经验。旋转刷新令牌虽然曾被广泛推荐，但实际上可能降低用户体验并增加数据存储压力，而对安全性的提升有限。IdentityServer团队经过深入评估后决定改变这一默认行为，使系统更加高效和用户友好。

5. 令牌清理任务改进

针对多实例环境下的数据库争用问题，IdentityServer 7.0.0重新设计了令牌清理任务。新实现利用EntityFramework的execute delete API提高性能，并通过随机化初始启动时间减少多实例间的并发冲突，显著提升了系统在高负载环境下的稳定性。

技术细节与改进

架构变更

• 服务器端会话实体主键类型从32位整型升级为64位长整型
• 新增PAR相关数据库表和客户端配置属性
• 令牌清理任务引入随机启动时间机制

API与扩展性增强

• 协议端点响应写入机制重构，支持更灵活的自定义
• 服务器端会话与用户信息端点集成
• 本地API现在支持DPoP验证
• 新增多个扩展点，包括IIdentityServerTools接口和虚拟方法等

安全与规范合规

• 无效的prompt模式现在会返回400错误，符合最新OpenID Connect规范
• 参考令牌撤销现在会考虑会话ID
• 改进了CORS调试日志信息
• 使用X-Frame-Options DENY与CSP策略保持一致

开发者注意事项

升级到IdentityServer 7.0.0需要注意以下关键点：

1. 必须使用.NET 8环境
2. 数据库架构变更需要执行迁移
3. 部分已弃用API被移除，需要检查兼容性
4. 刷新令牌行为变更可能影响现有应用逻辑
5. PAR功能需要额外配置才能启用

对于自定义实现，特别是涉及令牌处理、CORS策略和DPoP验证的部分，需要仔细检查变更说明并相应调整代码。

总结

Duende IdentityServer 7.0.0 RC1是一个重要的里程碑版本，在安全性、可观测性和性能方面都有显著提升。PAR支持、OpenTelemetry指标和刷新令牌机制的改进使这个版本特别适合对安全有高要求的现代应用场景。开发团队可以开始评估这一候选版本，为即将到来的正式发布做好准备。