IdentityServer 4-使用隐式授予类型时向用户添加自定义声明

时间:2018-12-06 22:01:17

标签: model-view-controller identityserver4 identity claims

我正在学习IdentityServer 4的教程,其中解释了如何使用OpenID Connect添加用户身份验证,可以在这里找到它:

http://docs.identityserver.io/en/latest/quickstarts/3_interactive_login.html

基本上,在本教程中,我们有一个MVC应用程序,其控制器动作装饰有Authorized属性。 每次用户尝试访问该操作时(如果他/她未登录),MVC应用程序会将用户重定向到Identity Server,以便他/她可以输入登录凭据。 如果凭据正确,则Identity Server重定向回MVC应用程序,在该应用程序中将显示包含用户凭据的页面。 我已经结束了本教程,现在我想通过向令牌添加新的声明来进一步探索,但是到目前为止,我还没有成功。 在本教程中,通过在客户端配置上设置AllowedScopes来添加范围OpenId和Profile。 我试图创建一个“年龄”范围并以相同的方式添加它,但是它没有用。 有谁知道我该怎么做? 代码显示在下面(注释行是我已经尝试过的东西)。

IdentityServer设置:

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();

    // configure identity server with in-memory stores, keys, clients and scopes
    services.AddIdentityServer()
        .AddDeveloperSigningCredential()
        .AddInMemoryIdentityResources(Config.GetIdentityResources())
        .AddInMemoryClients(Config.GetClients())
        .AddTestUsers(Config.GetUsers());
}

在内存中存储配置:

public class Config
{
    public static IEnumerable<Client> GetClients()
    {
        return new List<Client>()
        {
            new Client
            {
                ClientId = "mvc",
                ClientName = "MVC Client",
                AllowedGrantTypes = GrantTypes.Implicit,

                // where to redirect to after login
                RedirectUris = { "http://localhost:5002/signin-oidc" },

                // where to redirect to after logout
                PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },
                RequireConsent = false,
                //AlwaysIncludeUserClaimsInIdToken = true,
                //AlwaysSendClientClaims = true,
                //AllowAccessTokensViaBrowser = true,

                AllowedScopes = new List<string>
                {
                    IdentityServerConstants.StandardScopes.OpenId,
                    IdentityServerConstants.StandardScopes.Profile,
                    "age"
                }
            }
        };
    }

    public static List<TestUser> GetUsers()
    {
        return new List<TestUser>()
        {
            new TestUser()
            {
                SubjectId = "1",
                Username = "alice",
                Password = "password",
                Claims = new List<Claim>()
                {
                    new Claim("age", "15"),
                    new Claim("name", "Alice"),
                    new Claim("website", "https://alice.com")
                }
            },

            new TestUser()
            {
                SubjectId = "2",
                Username = "bob",
                Password = "password",
                Claims = new List<Claim>()
                {
                    new Claim("age", "16"),
                    new Claim("name", "Bob"),
                    new Claim("website", "https://bob.com")
                }
            }
         };
     }

     public static IEnumerable<IdentityResource> GetIdentityResources()
     {
        return new List<IdentityResource>
        {
            new IdentityResources.OpenId(),
            new IdentityResources.Profile(),
            new IdentityResource()
            {
                DisplayName = "Age",
                Name = "age",
                UserClaims = new List<string>()
                {
                    "age"
                }
            }
        };
    }
}

MVC应用程序配置:

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvcCore()
        .AddRazorViewEngine()
        .AddAuthorization()
        .AddJsonFormatters();

    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

    services.AddAuthentication(options =>
    {
        options.DefaultScheme = "Cookies";
        options.DefaultChallengeScheme = "oidc";
    })
    .AddCookie("Cookies")
    .AddOpenIdConnect("oidc", options =>
    {
        options.SignInScheme = "Cookies";
        options.Authority = "http://localhost:5000";
        options.RequireHttpsMetadata = false;

        options.ClientId = "mvc";
        options.SaveTokens = true;
    });

}

MVC应用程序声明页面:

<dl>
    @foreach (var claim in User.Claims)
    {
        <dt>@claim.Type</dt>
        <dd>@claim.Value</dd>
    }
</dl>

这是成功登录后的结果:

sid ba7ecb47f66524acce04e321b8d2c444

sub 2

idp 本地

名称 鲍勃

网站 https://bob.com

您可以看到显示了个人资料声明(名称和网站),但是自定义的“年龄”声明却没有。

1 个答案:

答案 0 :(得分:1)

原始问题的答案是明确添加在设置OpenId Connect时要使用的声明。 我们没有在.AddOpenIdConnect方法内添加以下行:

options.Scope.Clear();
options.Scope.Add("age");

完整的设置如下所示:

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvcCore()
        .AddRazorViewEngine()
        .AddAuthorization()
        .AddJsonFormatters();

    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

    services.AddAuthentication(options =>
    {
        options.DefaultScheme = "Cookies";
        options.DefaultChallengeScheme = "oidc";
    })
    .AddCookie("Cookies")
    .AddOpenIdConnect("oidc", options =>
    {
        options.SignInScheme = "Cookies";
        options.Authority = "http://localhost:5000";
        options.RequireHttpsMetadata = false;
        options.ClientId = "mvc";
        options.SaveTokens = true;

        options.Scope.Clear();
        options.Scope.Add("age");
        //Add all the claims you need
    });
}