问题标签 [identityserver3]

使用带有 ASP.NET Identity 的 IdentityServer3 作为 OAuth 服务器，我可以在令牌响应中返回角色和声明。如果我想覆盖 IdentityUser 并添加 LastName，我将如何在令牌响应中返回它？或者我是否需要将 LastName 添加到 AspNetUserClaims 表而不是 IdentityUser 对象/AspNetUsers 表中？

有没有办法使用 IdentityServer v3 让用户访问客户端但将其限制为另一个。我知道我可以在数据库中创建自己的表来处理这个问题，但我想知道是否已经在 IdentityServer3 中创建了类似的东西？

我试图在 Thinktecture Identity Server v3 和 Wso2 身份服务器之间进行选择，以实施身份和访问管理解决方案。

特别是，我对使用以下功能感兴趣：

• 单点登录 (SSO)
• 管理用户身份
• 连接到中央存储库，如 Active Directory、OpenLdap、Oracle Internet Directory 等。
• 主动和被动联合
• 与 ADFS 集成

我们是一家基于 .Net 的商店，因此更倾向于 Thinktecture 的 IS，但不想仅仅因为它的 Java 就排除 WSO2（我们的另一个依赖项）

两者之间还有其他优点/缺点吗？

谢谢

我可以使用带有 ID 的服务器会话吗？伺服器。3个？

作为 Thinktecture ID。伺服器。3 使用 cookie 身份验证中间件进行身份验证会话，我通过实现 IAuthenticationSessionStore 并使用 app.UseCookieAuthentication() 中的实现进行了尝试，如下所述：

http://www.cloudidentity.com/blog/2014/05/11/owin-protocol-middleware-cookies-and-reference-mode-sessions-we-need-your-feedback/

和这里 ：

https://gist.github.com/vibronet/90d4646c273930ff12d4

在 app.UseIdentityServer() 之前的启动中已经完成了，如下所示：

app.UseCookieAuthentication(new CookieAuthenticationOptions { SessionStore = ... (IAuthenticationSessionStore 实现的一个实例)

app.UseIdentityServer(选项);

其中 options 是一个 IdentityServerOptions 对象。

但是，我可以从应用程序登录。（使用此服务器）并且没有调用 IAuthenticationSessionStore 的已实现方法。

那么，是否可以使用 ID 实现服务器会话。伺服器。3 上面的界面（有一些修改？）或者有没有其他方法可以做到这一点。还是根本不可能？

更新 - 关于我们正在努力实现的目标：

我们有多个应用程序。使用身份服务器 3 实现开放身份验证。

目标：

1.跨app一致的session滑动过期。因此，每当用户访问任何应用程序的页面时，他们的会话必须在所有应用程序中更新。目前，跨应用程序对此存在不一致的情况。因为滑动到期只会更新用户对该应用程序的会话。

2.减小浏览器cookie的大小。我们添加的每个应用程序都有多个自定义声明，这使得每个请求的负载很重。

3. 跨应用会话控制。我们希望能够将用户踢出所有应用程序。（可能在他们所有的设备上）

任何帮助将非常感激。

我已经启动并运行了 IdentityServer 3，所有用户、角色、声明、客户端等都从数据库运行。为了管理它，我决定使用 IdentityManager。我注意到这仅涵盖用户和角色。有没有办法扩展它以覆盖客户？

我正在创建一个站点，我希望允许管理员使用用户名密码组合登录，以执行他的正常管理任务。但是一旦他需要做一些“危险”的任务，我想让他使用 2FA 登录（仅一次），从而提升他对当前会话的权限。

有谁知道如何做到这一点，或者至少指出我正确的方向。

谢谢

我正在尝试在客户端实现持久访问令牌的使用，并且很想听听正确的方法。

现在我有一个 wpf 应用程序，它使用代码流与 identityserver3 后端一起工作。我使用长寿命的刷新令牌。

我保持访问令牌活动的想法是在每次请求时检查访问令牌的到期时间，并在特定值下执行刷新令牌。

这是解决问题的最佳方式吗？

此外，刷新令牌刷新的最佳方案是什么？我还应该监控到期吗？

谢谢

我想创建一个自定义登录屏幕，它将尝试通过集成的 Windows 身份验证（使用 SPNEGO 或其他）对用户进行身份验证，如果该尝试失败，则回退到基于表单的方法。

理想情况下，该过程将像这样工作......

用户以有效 AD 用户身份登录

1. 用户尝试访问应用程序并被重定向到IdentityServer。
2. 自定义逻辑尝试使用 AD 凭据验证用户并成功。
3. 用户已通过身份验证并重定向...

用户未作为有效 AD 用户登录

1. 用户尝试访问应用程序并被重定向到IdentityServer。
2. 自定义逻辑尝试使用 AD 凭据验证用户并失败。
3. 用户会看到一个表单来输入用户名和密码。
4. 用户已通过身份验证并重定向...

我希望创建一个自定义IUserService实现来实现这一点，但是从阅读文档来看，如何做到这一点并不明显。

我是否必须创建一个自定义身份提供者来实现这一点？

任何指导将不胜感激。

我们有一个 ASP.NET MVC 应用程序正在对 IdentityServer3 进行身份验证而没有问题，但是如果用户在大约 3 分钟后继续使用 AJAX 功能之前等待，则使用 ApiController 的应用程序的 Web API 部分开始失败（在 3 分钟之前一切似乎都很好） .

在 Chrome 中看到的错误是：

XMLHttpRequest 无法加载 https://test-auth.myauthapp.com/auth/connect/authorize?client_id=ecan-farmda …gwLTk5ZjMtN2QxZjUyMjgxNGE4MDg2NjFhZTAtOTEzNi00MDE3LTkzNGQtNTc5ODAzZTE1Mzgw。请求的资源上不存在“Access-Control-Allow-Origin”标头。因此，不允许访问来源“ http://test.myapp.com ”。

在 IE 上，我收到以下错误：

SCRIPT7002：XMLHttpRequest：网络错误 0x4c7，操作已被用户取消。

查看 IdentityServer3 的日志，我看到如下条目：

2015-08-10 16:42 [警告] (Thinktecture.IdentityServer.Core.Configuration.Hosting.CorsPolicyProvider) 对路径的 CORS 请求：/connect/authorize from origin: http://test.myapp.com但因无效而被拒绝CORS 路径

在 IdentityServer3 Web 应用程序中，我给客户端 AllowedCorsOrigins：

在注册服务时，我添加了一个 InMemoryCorsPolicyService：

我确实注意到 IdentityServer3 日志条目说“为路径发出的 CORS 请求：/connect/authorize”而不是“为路径发出的 CORS 请求：/ auth /connect/authorize”。但是查看 IdentityServer3 源代码表明这可能不是问题所在。

也许 InMemoryCorsPolicyService 没有被接收？

关于为什么事情不适用于称为 ApiController 的 AJAX 的任何想法？

Thinktecture.IdevtityServer3 v1.6.2 已使用 NuGet 安装。

更新

我正在与 IdentityServer3 开发人员进行对话，但仍然无法解决问题。如果有帮助：

https://github.com/IdentityServer/IdentityServer3/issues/1697

我正在尝试让 IdentityServer3.AccessTokenValidation 在 ASP.NET 5 Web 应用程序中工作，但下面的代码会引发空异常我错过了什么吗？

project.json - 依赖项（部分）

启动.cs

扩展方法

以下行继续抛出空对象异常但无法确定缺少什么

堆栈跟踪

我正在使用下面的身份服务器

https://github.com/IdentityServer/IdentityServer3.Samples/tree/master/source/AspNet5Host