0

使用 AspNet 4.6.2 生成访问令牌,使用任何 Auth 流(尝试过 Code Flow、Implicit Flow、Client Credentials Flow),使用AuthenticationTokenCreateContext来自 的类Microsoft.Owin.Security.Infrastructure,我观察到一些奇怪的行为。

我们已经实现了一个身份验证服务器,其中资源可以允许客户端请求某些范围,但是,始终返回一个令牌,其中包含客户端能够从该资源请求的所有范围。

相关代码为:

var accessTicket = new AuthenticationTicket(new ClaimsIdentity(identity), new AuthenticationProperties());

accessTicket.Properties.SetTicketType("access_token");
accessTicket.Properties.IssuedUtc = nowUtc;
accessTicket.Properties.SetNotBeforeUtc(nowUtc);
accessTicket.Properties.ExpiresUtc = nowUtc.Add(Options.AccessTokenLifetime);
accessTicket.Properties.SetClientId(clientId);
accessTicket.Properties.SetResource(resource);
accessTicket.Properties.SetTokenId(Guid.NewGuid().ToString());
accessTicket.Properties.SetScope(scope);

var accessTokenCreateContext = new AuthenticationTokenCreateContext(Context, Options.AccessTokenFormat, accessTicket);

await Options.AccessTokenProvider.CreateAsync(accessTokenCreateContext);

var accessToken = accessTokenCreateContext.Token;

if (string.IsNullOrEmpty(accessToken))
{
    accessToken = accessTokenCreateContext.SerializeTicket();
}

一旦创建,accessTokenCreateContext.Ticket.Properties.GetScope()返回预期的范围,但是一旦通过该SerializeTicket()方法创建(JWT)accessToken,令牌就具有客户端能够从资源请求的所有范围。

为什么此方法使用不在票证中的范围序列化票证?

4

1 回答 1

0

这只是对我的 IDE 的误解。我没有意识到 VisualStudio 没有进入某些方法,我认为这是理所当然的,因为我看到它进入了其他方法。

给我的教训:需要学会更好地使用我的工具。

于 2019-06-21T01:15:23.693 回答