Question

我试图在https://aspnetboilerplate.com/Pages/Documents/Zero/Identity-Server

解释时实现IdentityServer

但样本不起作用。

我从ASP.NET Boilerplate启动了一个Core 2.0 Angular项目。是否有基于文档的更新工作样本？

有多个问题，但其中一个问题是 AuthConfigurer.cs 。

API调用者（客户端）无法通过令牌验证。

实际上， TokenAuthController.cs 中有一个令牌生成代码：

private string CreateAccessToken(IEnumerable<Claim> claims, TimeSpan? expiration = null)
{
    var now = DateTime.UtcNow;
    var jwtSecurityToken = new JwtSecurityToken(
        issuer: _configuration.Issuer,
        audience: _configuration.Audience,
        claims: claims,
        notBefore: now,
        expires: now.Add(expiration ?? _configuration.Expiration),
        signingCredentials: _configuration.SigningCredentials
    );
    return new JwtSecurityTokenHandler().WriteToken(jwtSecurityToken);
}

但是在Startup班级中，AddIdentity和AddAuthentication会创建不同的令牌值和验证规则。

services.AddIdentityServer()
        .AddDeveloperSigningCredential()
        .AddInMemoryIdentityResources(IdentityServerConfig.GetIdentityResources())
        .AddInMemoryApiResources(IdentityServerConfig.GetApiResources())
        .AddInMemoryClients(IdentityServerConfig.GetClients())
        .AddAbpPersistedGrants<IAbpPersistedGrantDbContext>()
        .AddAbpIdentityServer<User>(); ;

services.AddAuthentication().AddIdentityServerAuthentication("IdentityBearer", options =>
{
    options.Authority = "http://localhost:62114/";
    options.RequireHttpsMetadata = false;
});

令牌可以由双方生成。 Angular客户端和API客户端调用CreateAccessToken，如下所示：

var disco = await DiscoveryClient.GetAsync("http://localhost:21021");

var httpHandler = new HttpClientHandler();
httpHandler.CookieContainer.Add(new Uri("http://localhost:21021/"), new Cookie(MultiTenancyConsts.TenantIdResolveKey, "1")); //Set TenantId
var tokenClient = new TokenClient(disco.TokenEndpoint, "AngularSPA", "secret", httpHandler);
var tokenResponse = await tokenClient.RequestResourceOwnerPasswordAsync("admin", "123qwe", "default-api"); //RequestClientCredentialsAsync("default-api");

但只有其中一个（根据身份验证部分）无法通过身份验证。

我需要API客户端身份验证和Angular客户端身份验证才能工作。

我从双重身份验证的链接中得到一些线索：
https://wildermuth.com/2017/08/19/Two-AuthorizationSchemes-in-ASP-NET-Core-2

但我无法解决这个问题。任何评论对解决问题都非常有价值。

Answer 1

在此我设法解决问题是需要的修改;

在TokenAuthController中有一个令牌创建代码，如下所示;

private static List<Claim> CreateJwtClaims(ClaimsIdentity identity)
        {
            var claims = identity.Claims.ToList();
            var nameIdClaim = claims.First(c => c.Type == ClaimTypes.NameIdentifier);

            // Specifically add the jti (random nonce), iat (issued timestamp), and sub (subject/user) claims.
            claims.AddRange(new[]
            {
                new Claim(JwtRegisteredClaimNames.Sub, nameIdClaim.Value),
                new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
                new Claim(JwtRegisteredClaimNames.Iat, DateTimeOffset.Now.ToUnixTimeSeconds().ToString(), ClaimValueTypes.Integer64)
            });

            return claims;
        }

如果您开始使用Identityserver来自登录的声明与当前实施完全不同，并且＆＃34; sub＆＃34;声明已添加到声明中。因此没有必要单独添加。所以请更新如下所示

 private static List<Claim> CreateJwtClaims(ClaimsIdentity identity)
        {
            var claims = identity.Claims.ToList();

            // Specifically add the jti (random nonce), iat (issued timestamp), and sub (subject/user) claims.
            claims.AddRange(new[]
            {
                new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
                new Claim(JwtRegisteredClaimNames.Iat, DateTimeOffset.Now.ToUnixTimeSeconds().ToString(), ClaimValueTypes.Integer64)
            });

            return claims;
        }

2-将Authentcation添加到启动类，如下所示;最重要的部分是authenticationSchemaName＆＃34; IdentityBearer＆＃34;不要忘记添加它。

services.AddAuthentication().AddIdentityServerAuthentication("IdentityBearer", options =>
            {
                options.Authority = "http://localhost:21021/";
                options.RequireHttpsMetadata = false;
            });

3-但这还不够。因为如果你在启动时查看configure methon，则authontication被注册为

app.UseJwtTokenMiddleware();

如果你检查它，它会使用＆＃34; bearer＆＃34;如上所述，schema不是IdentityBearer。所以我们还需要一个真正的认证注册。也添加这一行（同时拥有它们）

    app.UseJwtTokenMiddleware("IdentityBearer");

4-但是你可以看到没有方法采用字符串参数来添加UseJwtTokenMiddleware，因此需要将该类更新为。请改变你的课程，如下所示;

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.AspNetCore.Builder;

namespace MyProject.Authentication.JwtBearer
{
    public static class JwtTokenMiddleware
    {
        public static IApplicationBuilder UseJwtTokenMiddleware(this IApplicationBuilder app)
        {
            return UseJwtTokenMiddleware(app, JwtBearerDefaults.AuthenticationScheme);
        }

        public static IApplicationBuilder UseJwtTokenMiddleware(this IApplicationBuilder app, string authenticationScheme)
        {
            return app.Use(async (ctx, next) =>
            {
                if (ctx.User.Identity?.IsAuthenticated != true)
                {
                    var result = await ctx.AuthenticateAsync(authenticationScheme);
                    if (result.Succeeded && result.Principal != null)
                    {
                        ctx.User = result.Principal;
                    }
                }

                await next();
            });
        }        
    }
}

现在你有两种不同的令牌类型和两种不同的验证器。您可以使用基本令牌信息的API客户端，并通过从角客户端登录来创建JWT令牌。如果您调试每个请求尝试传递其中两个，但只有其中一个成功，这对您来说已经足够了。

如果aspnetboilerplate团队根据此要求更新样本，那就太棒了。

Answer 2

虽然我仍然试图了解整个过程，但我发现GitHub上的这个存储库在ABP和IdentityServer4方面非常有用。 IdentityServer的ABP文档不完整，下载IdentityServerDemo示例，运行它，如果成功将其与您的代码进行比较：

https://github.com/parallelbgls/aspnetboilerplate-samples

ASP.NET Boilerplate + IdentityServer

2 个答案: