.net - 为 OpenIddict MVC Core 2.0 设置自定义范围

Question

我对 MVC 中的 OpenId 和 auth 相当陌生，并创建了一个 OpenIddict 身份验证服务器和客户端 mvc 应用程序，如授权代码流示例中所示。https://github.com/openiddict/openiddict-samples 我需要companyId从我的应用程序用户添加到我的声明中，并且我正在尝试找出所需的步骤。

到目前为止，我发现了以下内容：

我通过添加新的声明AuthorizationController.CreateTicketAsync创建一个新的 ClaimsPrincipal 来添加声明和范围，然后通过调用添加范围ticket.SetScopes。

// Add my specific claims: CompanyId and CompanyName
var claims = new List<Claim>();
claims.Add(new Claim(MyClaimsConstants.Claims.CompanyId, user.SelectedCompanyId.ToString()));
T_Company company = await _companyRepo.GetCompany(user.SelectedCompanyId);
claims.Add(new Claim(MyClaimsConstants.Claims.CompanyName, company.CompanyName));

// Create the new identity with the added claims
var newIdentity = new ClaimsIdentity(principal.Identity, claims);

principal = new ClaimsPrincipal(newIdentity);

....

if (!request.IsAuthorizationCodeGrantType())
{
    // Set the list of scopes granted to the client application.
    // Note: the offline_access scope must be granted
    // to allow OpenIddict to return a refresh token.
    ticket.SetScopes(new[]
    {
        OpenIdConnectConstants.Scopes.OpenId,
        OpenIdConnectConstants.Scopes.Email,
        OpenIdConnectConstants.Scopes.Profile,
        OpenIdConnectConstants.Scopes.OfflineAccess,
        OpenIddictConstants.Scopes.Roles,
        MyClaimsConstants.Scopes.Company // <-
    }.Intersect(request.GetScopes()));
}

我将目的地添加到我在 AuthorizationController.CreateTicketAsync 中的声明中，以将其添加到 IdentityToken。

foreach (var claim in ticket.Principal.Claims)
{
    // Never include the security stamp in the access and identity tokens, as it's a secret value.
    if (claim.Type == _identityOptions.Value.ClaimsIdentity.SecurityStampClaimType)
    {
        continue;
    }

    var destinations = new List<string>
    {
        OpenIdConnectConstants.Destinations.AccessToken
    };

    // Only add the iterated claim to the id_token if the corresponding scope was granted to the client application.
    // The other claims will only be added to the access_token, which is encrypted when using the default format.
    if (((claim.Type == OpenIdConnectConstants.Claims.Name || claim.Type == OpenIdConnectConstants.Claims.Nickname) && ticket.HasScope(OpenIdConnectConstants.Scopes.Profile)) ||
        (claim.Type == OpenIdConnectConstants.Claims.Email && ticket.HasScope(OpenIdConnectConstants.Scopes.Email)) ||
        (claim.Type == OpenIdConnectConstants.Claims.Role && ticket.HasScope(OpenIddictConstants.Claims.Roles)) ||
        ((claim.Type == MyClaimsConstants.Claims.CompanyId || claim.Type == MyClaimsConstants.Claims.CompanyName) && ticket.HasScope(MyClaimsConstants.Scopes.Company))) // <-
    {
        destinations.Add(OpenIdConnectConstants.Destinations.IdentityToken);
    }

    claim.SetDestinations(destinations);
}

我添加检查范围并有条件地在 UserInfoController 中添加声明

if (User.HasClaim(OpenIdConnectConstants.Claims.Scope, MyClaimsConstants.Scopes.Company))
{
    claims[MyClaimsConstants.Claims.CompanyId] = user.SelectedCompanyId;
    claims[MyClaimsConstants.Claims.CompanyName] = (await _companyRepo.GetCompany(user.SelectedCompanyId))?.CompanyName;
}

在我的客户端中调用 AddOpenIdConnect 时，我将范围添加到我的选项中，以便将其添加到请求中。

options.Scope.Add(MyClaimsConstants.Scopes.Company);

这似乎按预期工作。

有人可以对这些步骤发表评论，或者指出一个显示这种特定实施方式的示例吗？（这似乎很基本，但我不知道我在这个过程中是否做了一些非常糟糕的事情）。

Answer 1

这似乎按预期工作。

因为这确实是您应该实现自定义范围的方式。

请注意，在最新的 OpenIddict 版本中，您可以在发现文档中公开服务器支持的标准和自定义范围（您可以通过 http://[host]/.well-known/openid-configuration 检索），以便客户端应用程序可以很容易地确定一个范围是否被公开支持：

services.AddOpenIddict(options =>
{
    // ...

    options.RegisterScopes(
        OpenIdConnectConstants.Scopes.Profile,
        OpenIdConnectConstants.Scopes.Email,
        MyClaimsConstants.Scopes.Company);
});