我的设置,
dotnet new mvc -au Individual创建并应用http://docs.identityserver.io/en/release/quickstarts/0_overview.html教程,在localhost 5000中运行。dotnet new webapi创建的WEB API,在localhost 5001中运行。IdentityServer资源和客户端配置如下,请注意我使用引用令牌:
public static IEnumerable<IdentityResource> GetIdentityResources() {
return new List<IdentityResource>{ new IdentityResources.OpenId() };
}
public static IEnumerable<ApiResource> GetApiResources() {
return new List<ApiResource>{
new ApiResource("api_resource", "API Resource") {
Description= "API Resource Access",
ApiSecrets= new List<Secret> { new Secret("apiSecret".Sha256()) },
}
};
}
public static IEnumerable<Client> GetClients() {
return new List<Client>{
new Client {
ClientId= "angular-client",
ClientSecrets= { new Secret("secret".Sha256()) },
AllowedGrantTypes= GrantTypes.ResourceOwnerPassword,
AllowOfflineAccess= true,
AccessTokenType = AccessTokenType.Reference,
AlwaysIncludeUserClaimsInIdToken= true,
AllowedScopes= { "api_resource" }
}
}
密码和用户与邮递员一起发送,收到的令牌也会通过邮递员发送到WEB API,如调用localhost:5001/v1/test,其中标记粘贴在选项bearer token中。
在API Startup中,在ConfigureServices中添加以下行
services.AddAuthentication("Bearer")
.AddIdentityServerAuthentication(options =>
{
options.Authority= "http://localhost:5000";
options.ApiName= "api_resource";
options.ApiSecret = "apiSecret";
});
我在控制器中获取用户ID,如下所示:
public async Task<IActionResult> Get(int id) {
var discoveryClient = new DiscoveryClient("http://localhost:5000");
var doc = await discoveryClient.GetAsync();
var introspectionClient = new IntrospectionClient(
doc.IntrospectionEndpoint,
"api_resource",
"apiSecret");
var token= await HttpContext.GetTokenAsync("access_token");
var response = await introspectionClient.SendAsync(
new IntrospectionRequest { Token = token });
var userId = response.Claims.Single(c => c.Type == "sub").Value;
}
问题本身是,我是否使用正确的路径从参考令牌中获取Id?,因为现在它有效,但我不想错过任何内容,特别是认为是一个安全问题。
我也在问,因为我看过其他人使用
string userId = User.Claims.FirstOrDefault(c => c.Type == ClaimTypes.NameIdentifier).Value;
这更直接,但似乎不适合参考标记。
提前致谢。
答案 0 :(得分:2)
在受[Authorize]属性保护的控制器操作中,您只需直接从ClaimsPrinciple获取声明,而无需通过手动发现客户端。声明原则只是在控制器内使用User轻松别名。
我也在问,因为我看过其他人使用
string userId = User.Claims.FirstOrDefault(c =&gt; c.Type == ClaimTypes.NameIdentifier)。价值;
更直接,但似乎不适合参考 令牌。
参考令牌可以正常使用。访问sub声明时应该没有问题。
编辑:
正如我在下面的评论中提到的,我倾向于使用标准JwtClaimTypes并在ClaimsPrinciple上创建一些扩展方法,例如:
public static string GetSub(this ClaimsPrincipal principal)
{
return principal?.FindFirst(x => x.Type.Equals(JwtClaimTypes.Subject))?.Value;
}
或
public static string GetEmail(this ClaimsPrincipal principal)
{
return principal?.FindFirst(x => x.Type.Equals(JwtClaimTypes.Email))?.Value;
}
...因此,在我受保护的操作中,我可以简单地使用User.GetEmail()来获取声明值。
值得注意的是,任何检索索赔值的方法只有在索赔确实存在的情况下才有效。即,要求ZoneInfo声明将无效,除非该声明首先作为令牌请求的一部分被请求。