我正试图了解oAuth2 / IdentityServer4。
MVC应用程序中的以下代码:
@foreach (var claim in User.Claims)
{
<dt>@claim.Type</dt>
<dd>@claim.Value</dd>
}
返回似乎是身份令牌声明的内容
NBF
1467173142个
的 EXP
1467173442个
的 ISS
http://localhost:5000
的 AUD
MVC
的 随机数
636027699106782287.MDI0YzI5MTQtYmQxNy00MDllLWJmYzQtZjBhYzI2MGNjYmE3MDFmNzg1YmUtM2Y5ZC00YjBiLWEzOGItN2Q3ODRiODJlYjFl
的 IAT
1467173142个
的 c_hash
H2i5QeJKlHM5-s8vUTYlOw
的 SID
42b58d38e2b7c6cc653492742a08840b
的子
818727个
的 auth_time
1467170555个
的 IDP
idsvr
的名称
爱丽丝史密斯
的 GIVEN_NAME
爱丽丝
的 FAMILY_NAME
史密斯
网站
http://alice.com
的 AMR
pwd
API项目中的以下代码
var claims = User.Claims.Select(c => new { c.Type, c.Value });
return new JsonResult(claims);
返回似乎是访问令牌声明的内容
{
"Type": "nbf",
"Value": "1467173142"
},
{
"Type": "exp",
"Value": "1467176742"
},
{
"Type": "iss",
"Value": "http://localhost:5000"
},
{
"Type": "aud",
"Value": "http://localhost:5000/resources"
},
{
"Type": "client_id",
"Value": "mvc"
},
{
"Type": "scope",
"Value": "openid"
},
{
"Type": "scope",
"Value": "profile"
},
{
"Type": "scope",
"Value": "api1"
},
{
"Type": "sub",
"Value": "818727"
},
{
"Type": "auth_time",
"Value": "1467170555"
},
{
"Type": "idp",
"Value": "idsvr"
}
请注意,代码基本相同(在用户身份原则中返回声明)并且缺少名称/电子邮件,但在API示例中包含范围声明。
令牌流本质上是IdentityServer4 =&gt; MVC项目=&gt; API项目。显然,MVC项目同时具有identityToken和访问令牌,但它没有在User.Claims中加载访问令牌。
我的目标是在MVC项目中的用户中提供范围声明,以便我可以设置策略以使用我的MVC方法处理Authorize属性部分。
谢谢, 戴夫
答案 0 :(得分:4)
这个问题有点无效,但我会把原因留在这里,以及解决方案来节省他人的时间。
首先,有两个令牌用于两个不同的目的。
访问令牌:描述客户端,即使用API的软件。此处的任何声明都授予客户端访问API端点的权限。
身份令牌:描述用户或使用该API的软件的人员。
最初的问题是询问如何在身份令牌中查看与客户相关的范围,这显然是无效的。
但是,您可以在身份标记中包含标识范围。
为此,请将Type设置为ScopeType.Resource并将IncludeAllClaimsForUser设置为true,如下所示
new Scope()
{
Name = "ManageUsers",
IncludeAllClaimsForUser = true,
Type = ScopeType.Resource
},