1

我正在尝试实现本机客户端(最初将 .NET 控制台应用程序作为模型)以使用 OpenID Connect 对 IdentityServer4 作为我的 STS 进行身份验证。我使用 IdentityModel.OidcClient2 作为我的客户端库。
我选择实现基于代码的身份验证流程。

我能够通过身份验证阶段,但是当我进入授权阶段时,我在客户端收到一条错误消息

无效授予

在 IdentityServer 的错误消息是

“意外的 code_verifier:XXXXXXXXXXXX....”


即使当我打开 fiddler 并查看请求和调试信息时 - 发送到 IdentityServer 以进行授权的代码验证器似乎是首先在AuthorizationState类中生成的客户端。
如果我执行,AuthorizationState.CodeVerifier = null那么它可以工作。
但我确实想实施 PKCE 以获得额外的安全性。我怎样才能做到这一点?

这是该特定客户端
Identity Server 的配置:

            new Client
            {
                ClientId = "nativeapp1",
                ClientName = "Native App Demo - 1",
                AllowedGrantTypes = GrantTypes.Hybrid,

                RequireConsent = true,

                ClientSecrets =
                {
                    new Secret("some-secret1".Sha256())
                },

                AllowedScopes = {
                    IdentityServerConstants.StandardScopes.OpenId,
                    IdentityServerConstants.StandardScopes.Profile,
                    IdentityServerConstants.StandardScopes.OfflineAccess,
                    "custom.name",
                    "api1"
                },

                RedirectUris = {"http://127.0.0.1:7890/"},
                //PostLogoutRedirectUris = {"" }
                AllowOfflineAccess = true
            }

和客户端配置

var options = new OidcClientOptions
        {
            Authority = _authority,
            ClientId = "nativeapp1",
            RedirectUri = redirectUri,
            Scope = "openid profile api1 custom.name offline_access",
            FilterClaims = true,
            LoadProfile = false,
            Flow = OidcClientOptions.AuthenticationFlow.Hybrid,
            ClientSecret = "some-secret1"
        };
4

1 回答 1

3

您需要RequirePkce在 IdentityServer 中的客户端配置上设置为 true。

于 2017-03-09T21:21:25.117 回答