我目前使用https://github.com/aspnet-contrib/AspNet.Security.OpenIdConnect.Server和asp.net核心身份作为后备存储构建我的openid连接服务器。我了解协议,流程和安全漏洞。
目前的设置如下:
[server] - 授权服务器&资源服务器
[front-end] - angularJS应用程序
[third-party-provider] - Google
[external-app] - 第二个想要使用来自[server]
[front-end]和[external-app]都被注册为[server]的客户。因此,他们可以检索令牌。登录页面是在[front-end]。
请记住,[front-end]应用程序显示登录页面等(而不是从AccountController返回AuthView)
想象一下,我想要使用[external-app]登录以获取[server]的身份。登录页面由[front-end]显示。然后流程将如下:
1. [external-app] -> http://[server]/account/authorize?client_id=[external-
app-clientid]&response_type=token&redirect_uri=http://[external-app-
redirecturi]
2. [front-end] -> matches route -> show login page
3. [front-end] -> user clicks on login with google
4. [front-end] -> redirect to 'http://[server]/account/authorize/connect?
provider=Google&redirect_uri=http://[front-
end]/account/thirdparty/authorized&response_type=code&client_id=[front-
end-clientid]
5. [server] -> no identity found, save request in session and let the user
login at the [third-party] (using ChallengeResult and also passing in the
request id which was stored in session)
6. [third-party-provider] user logs in
7. [front-end] -> http://[front-end]/account/thirdparty/authorized recieved
the code
8. [front-end] -> exchange authcode for token with [server] using
http://[server]/account/token&grant_type=authorization_code&code=
[code]&redirect_uri=http://[front-
end]/account/thirdparty/authorized&client=[front-end-clientid]
9. [server] -> generate claims and return token
10. [front-end] -> token recieved
我遗失的一件事(可能是一个实现漏洞,缺陷或其他什么)是我需要使用给定的令牌重定向回[external-app]。我是否需要在[front-end]上执行此操作?感觉不对,我确信我混合/匹配的东西是错误的。任何人都可以帮助我吗?
提前致谢!
PS是的,我知道,应该是https。以上是例如目的;)
答案 0 :(得分:0)
对于隐式流等交互式流程,要记住的重要一点是,您必须将用户重定向到身份提供者的授权端点,以便有机会准备授权响应。
您可以自由决定在您的身份提供者收到授权请求的那一刻与其返回授权响应之间发生的事情,但您无法从您的"前端重定向用户端"直接应用于外部应用程序"因为它无法生成授权响应(它不是它的角色)。
考虑重新设计您的流量,以便您的前端应用将您的用户重定向到授权服务器,授权服务器本身会将其重定向到您的外部应用。