我们使用IndentityServer和Owin自托管的Web API实现了OAuth。每当客户端尝试访问我们经过身份验证的端点时,我们都会使用Microsoft.Owin.Security.OpenIdConnect中间件来拦截并将调用重定向到IndentityServer以进行身份验证。在API调用的情况下,我们不希望返回302,而是返回具有带有IdentityServer的url的位置标头的401。我们可以通过设置
让OWIN中间件返回401AuthenticationMode = AuthenticationMode.Passive
但我们无法添加位置标头。我们如何做到这一点?我们已经尝试设置标题(请参阅下面的代码),但它不起作用。似乎响应是由中间件在内部构建的。
appBuilder.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
{
Authority = idSrvUri.ToString(),
AuthenticationType = WebServiceConstants.OAuthAuthType,
ClientId = "beocloud",
Scope = "openid profile roles",
ResponseType = "id_token token",
AuthenticationMode = AuthenticationMode.Passive,
SignInAsAuthenticationType = WebServiceConstants.OAuthAuthType,
UseTokenLifetime = false,
Notifications = new OpenIdConnectAuthenticationNotifications
{
RedirectToIdentityProvider = n =>
{
if (n.ProtocolMessage.RequestType == OpenIdConnectRequestType.AuthenticationRequest)
{
n.ProtocolMessage.RedirectUri = n.Request.Scheme + "://" + n.Request.Host + "/";
n.Response.Headers.Add("Location", new []{n.ProtocolMessage.CreateAuthenticationRequestUrl()});
}
if (n.ProtocolMessage.RequestType == OpenIdConnectRequestType.LogoutRequest)
{
var idTokenHint = n.OwinContext.Authentication.User.FindFirst("id_token");
if (idTokenHint != null)
{
n.ProtocolMessage.IdTokenHint = idTokenHint.Value;
}
}
return Task.FromResult(0);
}
}
});
}
答案 0 :(得分:0)
这是在您的MVC代码旁边托管Web API的问题 - 您在其API端使用了错误的安全中间件。 OIDC中间件假定HTTP调用来自可以重定向的浏览器窗口。
我建议将您的API拆分为单独的主机和管道,并使用基于令牌的安全架构和中间件。我们在github repo上有很多这种模式的样本。