我有一个IDP(身份服务器4),托管有多个绑定:auth.company1.com和auth.company2.com 我也有一个不受该IDP保护的API。因此,为了访问API,我需要从IDP获取访问令牌。像下面这样在API级别的启动类中进行配置:
services.AddAuthentication("Bearer")
.AddIdentityServerAuthentication(options =>
{
options.Authority = "https://auth.company1.com/";
options.RequireHttpsMetadata = true;
options.ApiName = "atb_api";
});
如何配置选项。Authority动态地允许来自多个域https://auth.company1.com/和https://auth.company2.com/的授权?
答案 0 :(得分:4)
我解决了这个问题。
在启动类的保护API级别上,我具有以下配置:
services.AddAuthentication("Bearer")
.AddIdentityServerAuthentication(options =>
{
options.Authority = "https://shared-domain-for-every-tenant/";
options.RequireHttpsMetadata = true;
options.ApiName = "atb_api";
});
魔术发生在IDP级别(IdentityServer4),在配置IdentityServer时,我添加了选项IssuerUri,如下所示:
services.AddIdentityServer(options => {
options.IssuerUri = "https://shared-domain-for-every-tenant/";
})..AddDeveloperSigningCredential() ...other configurations ...
当我导航到https://auth.company1.com/.well-known/openid-configuration时 返回的文档是这样的:
{
"issuer": "https://shared-domain-for-every-tenant/",
"jwks_uri": "https://auth.company1.com/.well-known/openid-configuration/jwks",
"authorization_endpoint": "https://auth.company1.com/connect/authorize",
"token_endpoint": "https://auth.company1.com/connect/token",
"userinfo_endpoint": "https://auth.company1.com/connect/userinfo",
...
}
请注意,issure是一个静态URL,而所有其他端点都特定于发出请求的租户。这样一来,API即可验证访问令牌,并且每个租户都有不同的终结点(我需要为每个租户显示不同的登录屏幕)。
希望它可以帮助某个人:)