在IdentityServer4

时间:2016-06-29 05:08:25

标签: asp.net-core-mvc identityserver4 asp.net-core-webapi

我正试图了解oAuth2 / IdentityServer4。

使用示例应用程序 https://github.com/IdentityServer/IdentityServer4.Samples/tree/dev/Quickstarts/3_ImplicitFlowAuthentication

MVC应用程序中的以下代码:

 @foreach (var claim in User.Claims)
    {
        <dt>@claim.Type</dt>
        <dd>@claim.Value</dd>
    }

返回似乎是身份令牌声明的内容

NBF
1467173142个
EXP
1467173442个
ISS
http://localhost:5000
AUD
MVC
随机数
636027699106782287.MDI0YzI5MTQtYmQxNy00MDllLWJmYzQtZjBhYzI2MGNjYmE3MDFmNzg1YmUtM2Y5ZC00YjBiLWEzOGItN2Q3ODRiODJlYjFl
IAT
1467173142个
c_hash
H2i5QeJKlHM5-s8vUTYlOw
SID
42b58d38e2b7c6cc653492742a08840b

818727个
auth_time
1467170555个
IDP
idsvr
名称
爱丽丝史密斯 的 GIVEN_NAME
爱丽丝
FAMILY_NAME
史密斯
网站
http://alice.com
AMR
pwd

API项目中的以下代码

 var claims = User.Claims.Select(c => new { c.Type, c.Value });
 return new JsonResult(claims);

返回似乎是访问令牌声明的内容

{
   "Type": "nbf",
   "Value": "1467173142"
},
{
   "Type": "exp",
   "Value": "1467176742"
},
{
   "Type": "iss",
   "Value": "http://localhost:5000"
},
{
   "Type": "aud",
   "Value": "http://localhost:5000/resources"
},
{
   "Type": "client_id",
   "Value": "mvc"
},
{
   "Type": "scope",
   "Value": "openid"
},
{
   "Type": "scope",
   "Value": "profile"
},
{
   "Type": "scope",
  "Value": "api1"
},
{
   "Type": "sub",
   "Value": "818727"
},
{
   "Type": "auth_time",
   "Value": "1467170555"
},
{
   "Type": "idp",
   "Value": "idsvr"
}

请注意,代码基本相同(在用户身份原则中返回声明)并且缺少名称/电子邮件,但在API示例中包含范围声明。

令牌流本质上是IdentityServer4 =&gt; MVC项目=&gt; API项目。显然,MVC项目同时具有identityToken和访问令牌,但它没有在User.Claims中加载访问令牌。

我的目标是在MVC项目中的用户中提供范围声明,以便我可以设置策略以使用我的MVC方法处理Authorize属性部分。

API项目的启动位于:https://github.com/IdentityServer/IdentityServer4.Samples/blob/dev/Quickstarts/3_ImplicitFlowAuthentication/src/Api/Startup.cs

MVC项目的启动在这里: https://github.com/IdentityServer/IdentityServer4.Samples/blob/dev/Quickstarts/3_ImplicitFlowAuthentication/src/Api/Startup.cs

谢谢, 戴夫

1 个答案:

答案 0 :(得分:4)

这个问题有点无效,但我会把原因留在这里,以及解决方案来节省他人的时间。

首先,有两个令牌用于两个不同的目的。

  1. 访问令牌:描述客户端,即使用API​​的软件。此处的任何声明都授予客户端访问API端点的权限。

  2. 身份令牌:描述用户或使用该API的软件的人员。

  3. 最初的问题是询问如何在身份令牌中查看与客户相关的范围,这显然是无效的。

    但是,您可以在身份标记中包含标识范围。

    为此,请将Type设置为ScopeType.Resource并将IncludeAllClaimsForUser设置为true,如下所示

     new Scope()
                {
                  Name  = "ManageUsers",
                  IncludeAllClaimsForUser = true,
                  Type = ScopeType.Resource
                },