如何从PKCE流中的Auth0租户提供的auth_token获取用户信息

时间:2020-08-15 17:26:28

标签: asp.net-core-webapi auth0 pkce

我刚刚从我的Cordova Ionic5移动应用程序成功实现了PKCE Flow,然后使用auth_token针对我的.NET Core 3.1 Web Api进行了授权。

问题是我无法从.NET Core Web Api访问用户信息: 名称,电子邮件等。

我真的需要知道刚刚通过身份验证的用户是谁。你能帮忙吗?

PKCE流程 enter image description here 我的Startup.cs中的代码 

services.AddAuthentication(options =>
            {
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            }).AddJwtBearer(options =>
            {
                options.Authority = _configuration["Auth0:Domain"];
                options.Audience = _configuration["Auth0:Audience"];
            });

...

app.UseAuthentication();
app.UseAuthorization();

1 个答案:

答案 0 :(得分:1)

默认情况下,访问令牌不会包含用户信息,例如 name email

以下是对Auth0租户进行默认身份验证的示例访问令牌(使用PKCE流和SPA)。

{
  "iss": "https://example.auth0.com/",
  "sub": "auth0|REDACTED",
  "aud": [
    "REDACTED",
    "https://example.auth0.com/userinfo"
  ],
  "iat": 1599312415,
  "exp": 1599398815,
  "azp": "REDACTED",
  "scope": "openid profile email"
}

您的应用还应该收到一个id_token,它可能看起来像以下内容(假设对/authorize的请求包括openid,个人资料和电子邮件范围)。

{
  "nickname": "joe.blogs",
  "name": "joe.blogs@example.com",
  "picture": "REDACTED",
  "updated_at": "2020-09-04T10:21:07.315Z",
  "email": "joe.blogs@example.com",
  "email_verified": false,
  "iss": "https://example.auth0.com/",
  "sub": "auth0|REDACTED",
  "aud": "REDACTED",
  "iat": 1599312415,
  "exp": 1599348415,
  "nonce": "REDACTED"
}

因此,您有两种选择来获取名称和电子邮件到您的后端API。

  1. 在您的应用中,解析id_token JWT以获取名称和电子邮件,然后将这些字段显式传递给您的后端API。
  2. 可以通过Auth0 rules使用名称和电子邮件来丰富访问令牌。以下是将email添加到访问令牌中的示例规则(注意:未经测试):
function addAttributes(user, context, callback) {
  context.accessToken.email = user.email;
  callback(null, user, context);
}

请参阅Auth0 context objectuser object的文档,以查看您可以访问的内容...

我的想法是,选择#1是更好的方法,因为; a)我不希望访问令牌中包含PII,并且b)依赖访问令牌来获取诸如名称和电子邮件之类的信息可能会导致跟踪问题(例如,如果您的后端API也需要被调用会发生什么情况)带有没有此信息的Auth0 M2M令牌)。

最后,在您的.NET应用程序中,您可以通过在Authorization HTTP标头中解析JWT来获取所需的信息。让我知道您是否需要有关此部分的更多信息(因为如果需要,我也可以提供帮助)...仅假设主要问题是您在JWT访问令牌中没有所需的用户信息(如果您按照我的指示进行操作,现在应该可以)...

相关问题
最新问题