使用angular-oauth2-oidc和“静音刷新”,不使用白名单silent-refresh.html

时间:2018-04-30 21:26:51

标签: angular identityserver4 angular-oauth2-oidc

我正在尝试将the angular-oauth2-oidc Silent Refresh实现与IdentityServer4服务器中配置的隐式流结合使用。我在ng new ng-and-ids4 --minimal应用程序中使用此组件进行了概念验证:

import { Component } from '@angular/core';
import { AuthConfig, OAuthService, JwksValidationHandler, OAuthErrorEvent } from 'angular-oauth2-oidc';

@Component({
  selector: 'app-root',
  template: `<h1>Welcome!</h1>
    <p>
      <button (click)='login()'>login</button>
      <button (click)='logout()'>logout</button>
      <button (click)='refresh()'>refresh</button>
    </p>
    <h2>Your Claims:</h2><pre>{{claims | json}}</pre>
    <h2>Your access token:</h2><p><code>{{accessToken}}</code></p>`,
  styles: []
})
export class AppComponent {
  constructor(public oauthService: OAuthService) {
    this.oauthService.configure({
      issuer: 'http://localhost:5000',
      redirectUri: window.location.origin + '/',
      silentRefreshRedirectUri: window.location.origin + '/silent-refresh.html',
      clientId: 'my-spa',
      scope: 'openid profile',
      silentRefreshTimeout: 5000, // For faster testing
      sessionChecksEnabled: true,
    });

    this.oauthService.tokenValidationHandler = new JwksValidationHandler();

    this.oauthService.loadDiscoveryDocumentAndLogin();
    this.oauthService.setupAutomaticSilentRefresh();
    this.oauthService.events.subscribe(e => { 
      if (e instanceof OAuthErrorEvent) { console.error(e); } 
      else { console.warn(e) } 
    });
  }

  public get claims() { return this.oauthService.getIdentityClaims(); }
  public get accessToken() { return this.oauthService.getAccessToken(); }

  login() { this.oauthService.initImplicitFlow(); }
  logout() { this.oauthService.logOut(); }
  refresh() { this.oauthService.silentRefresh(); }
}

在IDServer4端,我正在配置我的客户端:

new Client
{
    ClientId = "my-spa",
    AllowedGrantTypes = GrantTypes.Implicit,
    AllowAccessTokensViaBrowser = true,
    AccessTokenLifetime = 30, // Seconds (for testing purposes)
    RedirectUris = { "http://localhost:4200/", "http://localhost:4200/silent-refresh.html" },
    PostLogoutRedirectUris = { "http://localhost:4200/" },
    AllowedCorsOrigins = { "http://localhost:4200" },
    AllowedScopes =
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
    }
}

如您所见,在服务器上,我已将"http://localhost:4200/silent-refresh.html"的{​​{1}}媒体中的Client列入白名单。

我的问题是,您是否可以通过不要求我将RedirectUris页面列入白名单的方式配置angular-oauth2-oidc

我问的原因是因为我想在可能不太容易更改IdentityServer端的情况下使用此静默刷新方法。另外,看Damien Bod's example of Silent Refresh in an Angular application我觉得它应该是可能的,因为没有提到这样的白名单。

PS。如果我没有包含silent-refresh.html的额外选项,那么我会在服务器(日志)上获得RedirectUris,在客户端库中获得Invalid redirect_uri: http://localhost:4200/silent-refresh.html silent_refresh_timeout。< / p>

1 个答案:

答案 0 :(得分:1)

更多地使用库之后,我认为答案是不容易做到这一点。

如果必须执行此操作,则需要调整服务于Angular应用程序的index.html,以使其启动方式有所不同。基本上,静默刷新将加载那个文件而不是silent-refresh.html文件,因此索引必须具有2种用法:一种用于常规应用程序加载,另一种有效地执行此操作:

parent.postMessage(location.hash, location.origin);

因为这就是silent-refresh.html的全部。但是,这可能会有点困难,因为在CLI创建生产版本时,这需要挂接到index.html的生成中。

所以即使在技术上是可行的,这样做也不是很实际。

相关问题
最新问题