IdentityServer 3 + Asp.net身份：范围，声明和客户 - 澄清

Question

我几乎要弄清楚身份验证和授权服务器架构的不同部分是如何工作的。我真的认为IdentityServer是一个很棒的软件。

我试图总结我的发现，为我的问题找到基础。

1. IdentityServer使用OpenID Connect发出令牌。颁发的令牌是ID令牌和访问令牌。
2. 使用OAuth 2.0流程向客户端请求令牌（如OpenID Connect协议所述）。每个客户一个流程。
3. 在流程开始期间，客户端请求范围集合（至少“openid”，这是因为他必须说明已激活OpenID Connect流程）
4. 客户可以询问他有权要求的所有范围。使用IdentityServer的Entity Framework插件，此信息包含在ClientScope表中。如果客户端请求他无权请求的范围，则流程将中断。
5. 范围可以“包含”声明。这意味着，如果范围包含一组声明，则每当向客户端颁发令牌时，此令牌也包含所有相应用户的声明。例如：让“角色”调用包含“角色”声明的范围。一旦客户端获得授权，收到的令牌将包含所有用户的角色（作为声明）。
6. 如果获得授权，每个请求的范围都在名为“范围”的索赔中“翻译”。这意味着，如果客户端请求（例如，已定义的“api”范围），则生成的标识将至少具有名为“scope”的声明，其值为“api”。

如果我写的所有内容都越来越不正确，我的问题就在这里：

1. 如何在asp.net身份表（即AspNetUserClaims）上定义的声明与IdentityServer连接。对于我所看到的，匹配是在名称上进行的。这个结论是否正确？换句话说，如果我的客户端必须收到“角色”声明（因为他已经要求“角色”范围），IdentityServer的“Asp.Net Identity”插件是否会释放为经过身份验证定义的“角色”声明用户？
2. 引用“EntityFramework”插件表，“ClientClaims”表的含义是什么？我无法理解索赔如何直接与客户联系......我缺少什么？

3. 让我们假设在我的资源服务器中，我有一个受ResourceAuthorize属性保护的动作，如下所示：

   [ResourceAuthorize（“Read”，“Orders”）]

   在我的AuthorizationManager中，我检查是否存在声明“order_read”或声明“api”。这些是我的AuthorizationServer中定义的两个不同的范围，一个用于“订单阅读”，另一个用于完整的API访问。第一方可能会被第三方客户询问，而后者则不会。这是一个好习惯吗？

4. 我无法理解客户端应该使用id_token做什么。我应该忽略这个问题，因为我正在使用js库OIDC令牌管理器吗？安全控件是否由此库执行？

5. 最后一个问题：当我的应用程序提供访问令牌时，ClaimsIdentity是如何生成的？是否可以说它是在验证Identity Server上的令牌后生成的？这是否意味着IdentityServer将获取访问令牌并将其转换为一组声明？

感谢您的澄清！

马

Answer 1

是的，你得到了它的要点。至于你的问题：

  

如何在asp.net身份表上定义声明

这取决于你。 IdentityServer不强制要求身份管理库。 IUserService可扩展性点是您弥补这一差距的地方。我们有IUserService的入门版本，但它是一个基于代码的NuGet，因此您可以将其更改为真正满足您的需求。

  

我无法理解我的客户应该用id_token

做什么

它主要用于在注销时传回IdentityServer（以验证注销请求）。

  

当我的应用程序提供访问令牌时，ClaimsIdentity是如何生成的

有中间件（AccessTokenValidation）来验证访问令牌。结果是声明形成了令牌，然后将其转换为ClaimsIdentity，然后可供下游的任何处理（例如您的Web API代码）使用。

  

“ClientClaims”表的含义是什么

如果您想代表客户发出声明，则Client配置具有Claims属性。查看文档：{​​{3}}

  

让我们假设在我的资源服务器中我有一个使用ResourceAuthorize属性保护的操作

这与IdentityServer无关，是IdentityModel库的一部分。 ResourceAuthorize是一个框架，用于在尝试确定授权结果时使用用户，资源和正在执行的操作。