1

我试图了解 oAuth2/IdentityServer4。

使用https://github.com/IdentityServer/IdentityServer4.Samples/tree/dev/Quickstarts/3_ImplicitFlowAuthentication上的示例应用程序

MVC 应用程序中的以下代码:

 @foreach (var claim in User.Claims)
    {
        <dt>@claim.Type</dt>
        <dd>@claim.Value</dd>
    }

返回似乎是身份令牌声明的内容

nbf
1467173142
exp
1467173442
iss
http://localhost:5000
aud
mvc
nonce
636027699106782287.MDI0YzI5MTQtYmQxNy00MDllLWJmYzQtZjBhYzI2MGNjYmE3MDFmNzg1YmUtM2Y5ZC00YjBiLWEzOGItN2Q3ODRiODJlYjFl
iat
1467173142
c_hash
H2i5QeJKlHM5-s8vUTYlOw
sid
42b58d38e2b7c6cc653492742a08840b
sub
818727
auth_time
1467170555
idp
idsvr
name
Alice Smith
given_name
Alice
family_name
Smith
website
http://alice.com
amr
pwd

API项目中的以下代码

 var claims = User.Claims.Select(c => new { c.Type, c.Value });
 return new JsonResult(claims);

返回似乎是访问令牌声明的内容

{
   "Type": "nbf",
   "Value": "1467173142"
},
{
   "Type": "exp",
   "Value": "1467176742"
},
{
   "Type": "iss",
   "Value": "http://localhost:5000"
},
{
   "Type": "aud",
   "Value": "http://localhost:5000/resources"
},
{
   "Type": "client_id",
   "Value": "mvc"
},
{
   "Type": "scope",
   "Value": "openid"
},
{
   "Type": "scope",
   "Value": "profile"
},
{
   "Type": "scope",
  "Value": "api1"
},
{
   "Type": "sub",
   "Value": "818727"
},
{
   "Type": "auth_time",
   "Value": "1467170555"
},
{
   "Type": "idp",
   "Value": "idsvr"
}

请注意,代码本质上是相同的(在用户身份原则中返回声明)并且缺少名称/电子邮件,但在 API 示例中包含范围声明。

令牌流本质上是 IdentityServer4 => MVC Project => API Project。显然 MVC 项目同时具有 identityToken 和访问令牌,但它没有加载访问令牌 int User.Claims。

我的目标是在 MVC 项目中的 User 中提供范围声明,以便我可以设置策略来处理我的 MVC 方法的 Authorize 属性部分。

API 项目的启动在这里:https ://github.com/IdentityServer/IdentityServer4.Samples/blob/dev/Quickstarts/3_ImplicitFlowAuthentication/src/Api/Startup.cs

MVC 项目的启动在这里: https ://github.com/IdentityServer/IdentityServer4.Samples/blob/dev/Quickstarts/3_ImplicitFlowAuthentication/src/Api/Startup.cs

谢谢,戴夫

4

1 回答 1

5

这个问题有点无效,但我会把它留在这里,说明原因和解决方案,以节省其他人的时间。

首先,有两个令牌用于两个不同的目的。

  1. 访问令牌:描述客户端,即使用 API 的软件。此处的任何声明都授予客户端对 API 端点的访问权限。

  2. 身份令牌:这描述了用户或使用使用 API 的软件的人。

最初的问题是询问如何在身份令牌中查看与客户端相关的范围,这显然是无效的。

但是,您可以在身份令牌中包含身份范围。

为此,请将 Type 设置为 ScopeType.Resource 并将 IncludeAllClaimsForUser 设置为 true,如下所示

 new Scope()
            {
              Name  = "ManageUsers",
              IncludeAllClaimsForUser = true,
              Type = ScopeType.Resource
            },
于 2016-06-30T01:34:13.090 回答