我使用IdentityServer3的资源所有者流,并使用javascript中的用户名和密码将get token请求发送到身份服务器令牌端点,如下所示:
function getToken() {
var uid = document.getElementById("username").value;
var pwd = document.getElementById("password").value;
var xhr = new XMLHttpRequest();
xhr.onload = function (e) {
console.log(xhr.status);
console.log(xhr.response);
var response_data = JSON.parse(xhr.response);
if (xhr.status === 200 && response_data.access_token) {
getUserInfo(response_data.access_token);
getValue(response_data.access_token);
}
}
xhr.open("POST", tokenUrl);
var data = {
username: uid,
password: pwd,
grant_type: "password",
scope: "openid profile roles",
client_id: 'client_id'
};
var body = "";
for (var key in data) {
if (body.length) {
body += "&";
}
body += key + "=";
body += encodeURIComponent(data[key]);
}
xhr.setRequestHeader("Authorization", "Basic " + btoa(client_id + ":" + client_secret));
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
xhr.send(body);
}
从身份服务器返回访问令牌,并对用户进行身份验证。然后我使用此令牌向我的Web Api发送请求。
问题在于,当我检查用户是否被分配了角色时,我发现该声明不存在。
[Authorize]
// GET api/values
public IEnumerable<string> Get()
{
var id = RequestContext.Principal as ClaimsPrincipal;
bool geek = id.HasClaim("role", "Geek"); // false here
bool asset_mgr = id.HasClaim("role", "asset_manager"); // false here
return new string[] { "value1", "value2" };
}
以下是如何在身份服务器中定义客户端。
new Client
{
ClientName = "Client",
ClientId = "client_id",
Flow = Flows.ResourceOwner,
RequireConsent = false,
AllowRememberConsent = false,
AllowedScopes = new List<string>
{
"openid",
"profile",
"roles",
"sampleApi"
},
AbsoluteRefreshTokenLifetime = 86400,
SlidingRefreshTokenLifetime = 43200,
RefreshTokenUsage = TokenUsage.OneTimeOnly,
RefreshTokenExpiration = TokenExpiration.Sliding,
ClientSecrets = new List<Secret>
{
new Secret("4C701024-0770-4794-B93D-52B5EB6487A0".Sha256())
},
},
这就是用户的定义方式:
new InMemoryUser
{
Username = "bob",
Password = "secret",
Subject = "1",
Claims = new[]
{
new Claim(Constants.ClaimTypes.GivenName, "Bob"),
new Claim(Constants.ClaimTypes.FamilyName, "Smith"),
new Claim(Constants.ClaimTypes.Role, "Geek"),
new Claim(Constants.ClaimTypes.Role, "Foo")
}
}
在这种情况下,如何向access_token添加声明?非常感谢!
答案 0 :(得分:15)
我花了一段时间自己搞清楚这一点。 @ leastprivilege对杨回答的评论有了线索,这个答案只是在扩展它。
这完全取决于oAuth和OIDC规范如何演变,它不是IdentityServer的人工制品(这很棒)。
首先,这里有一个相当不错的讨论身份令牌和访问令牌之间的差异:https://github.com/IdentityServer/IdentityServer3/issues/2015值得一读。
使用资源所有者流程,就像您一样,您将始终获得访问令牌。默认情况下,根据规范,您不应在该令牌中包含声明(请参阅上面的链接了解原因)。但是,在实践中,你可以做到非常好;它可以节省您在客户端和服务器上的额外工作量。
Leastprivilege所指的是你需要创建一个范围,如下所示:
new Scope
{
Name = "member",
DisplayName = "member",
Type = ScopeType.Resource,
Claims = new List<ScopeClaim>
{
new ScopeClaim("role"),
new ScopeClaim(Constants.ClaimTypes.Name),
new ScopeClaim(Constants.ClaimTypes.Email)
},
IncludeAllClaimsForUser = true
}
然后,当您要求令牌时,您需要请求该范围。即你的路线
scope: "openid profile roles",应该更改为scope: "member",(好吧,我说 - 范围在这里扮演双重角色,据我所知 - 它们也是一种控制形式,即客户要求某些范围如果不允许那些,那么可以被拒绝,但那是另一个话题。)
请注意我暂时不知道的重要一行,即Type = ScopeType.Resource(因为访问令牌是关于控制对资源的访问)。这意味着它将应用于访问令牌,并且指定的声明将包含在令牌中(我认为,可能,反对规范,但非常好)。
最后,在我的例子中,我已经包含了一些特定的声明以及IncludeAllClaimsForUser这显然是愚蠢的,但只是想向您展示一些选项。
答案 1 :(得分:2)
我发现我可以通过替换IdentityServerServiceFactory的默认IClaimsProvider来实现这一点。
cusomized IClaimsProvider如下:
public class MyClaimsProvider : DefaultClaimsProvider
{
public MaccapClaimsProvider(IUserService users) : base(users)
{
}
public override Task<IEnumerable<Claim>> GetAccessTokenClaimsAsync(ClaimsPrincipal subject, Client client, IEnumerable<Scope> scopes, ValidatedRequest request)
{
var baseclaims = base.GetAccessTokenClaimsAsync(subject, client, scopes, request);
var claims = new List<Claim>();
if (subject.Identity.Name == "bob")
{
claims.Add(new Claim("role", "super_user"));
claims.Add(new Claim("role", "asset_manager"));
}
claims.AddRange(baseclaims.Result);
return Task.FromResult(claims.AsEnumerable());
}
public override Task<IEnumerable<Claim>> GetIdentityTokenClaimsAsync(ClaimsPrincipal subject, Client client, IEnumerable<Scope> scopes, bool includeAllIdentityClaims, ValidatedRequest request)
{
var rst = base.GetIdentityTokenClaimsAsync(subject, client, scopes, includeAllIdentityClaims, request);
return rst;
}
}
然后,像这样替换IClaimsProvider:
// custom claims provider
factory.ClaimsProvider = new Registration<IClaimsProvider>(typeof(MyClaimsProvider));
结果是,当访问令牌的请求被发送到令牌端点时,声明被添加到access_token。
答案 2 :(得分:0)
不仅我尝试了其他方法,我尝试了所有可能的范围组合等。我在访问令牌中读到的只是“范围”,“范围名称”,对于资源流,没有声明我添加了句点。
我必须做所有这些
我想最后一步可能会在自定义UserServiceBase中覆盖GetProfileDataAsync,但上面的工作正常,所以我不想打扰。
一般问题不在于如何设置声明,而是填充它们的位置。你必须在某处覆盖某些东西。
这对我有用,因为我需要数据库中的数据,其他人应该在其他地方填写声明。但它们不会神奇地出现只是因为你很好地设置了Scopes和Claims Identity Server配置。
大多数答案都没有说明 来正确设置声明值。在您完成的每个特定覆盖中,传递的参数在声明时,在函数中附加到身份或访问令牌。
只需照顾好一切,一切都会好起来的。