问题标签 [identityserver3]

如果我使用具有隐式流的客户端，是否可以请求资源范围和身份范围？

我尝试创建 OpenIdConnectAuthenticationOptions 如下：

仍然在经过身份验证后仅返回 identity_scope。

任何帮助和评论表示赞赏。

编辑：只是一点背景

我有两个客户端：隐式流客户端和资源所有者流客户端。我需要在它们之间共享身份和资源范围。

对于隐式流客户端，我开始使用“id_token token”response_type。

对于资源所有者客户端，我首先使用请求访问令牌

OAuth2Client.RequestResourceOwnerPasswordAsync()

包括所有必需的范围。之后，我使用提供的访问令牌查询 userinfo 端点以获取用户声明。

IdentityServer3 OpenID Connect authentication我们正在构建一个用于保护它的应用程序RESTful APIs。

对于UI访问，我们使用在 注册的隐式流客户端IS3。我们的 Startup 类设置OIDC Owin Security module连接到IS3. 一切都很好。

此应用程序的下一个要求是我们REST API不仅可以通过 web 访问UI，还可以通过其他服务访问。客户端凭据流似乎符合要求。REST API关键是让服务通过重定向到IS3登录页面并在那里填写用户名/密码来联系我们是不切实际的。Client Credential 流客户端直接在IS3服务器上获取令牌，然后对我们的REST API.

Startup 类如下所示：

它适用于这两种情况，人类通过浏览器访问它，因此使用隐式流以及使用客户端凭据流的服务。但是，如果服务在客户端凭据流中使用的令牌过期，请求将再次重定向到IS3服务器。我们希望它返回401 error，以便客户端知道它需要再次获得一个新的令牌。

你能想出一种方法来结合这两个流程，以便它们很好地结合在一起吗？

尝试使用我的 angularjs authService 中的“ https://localhost:44333/identity/connect/token ”发布到我的身份服务器时遇到以下错误，但是当我从 Postman 或 Fiddler 发布时一切正常。

我自己创建了一个我导入的证书，所以当我在浏览器中导航到https://localhost:44333/identity时，一切都很好。

我可以从谷歌搜索中收集到它与证书有关，但我只能在 node.js 上找到主题。我正在尝试从 angularjs 服务向 IdentityServer3 进行身份验证，我使用 owin 在上述 url 上自托管。

以下是我的 angulajs 登录代码的样子：

关于我缺少什么或如何解决此错误的任何想法？

更新：这实际上是波纹模拟器还是科尔多瓦问题？

TL;DR：当 IdentityServer3 将表单发布到始终是根 url 的返回 url 时，MVC 应用程序如何知道在通过身份验证过程后重定向到某个操作？

此问题中的示例取自 IdentityServer3 随附的示例应用程序“MVC 身份验证”。

将 IdentityServer3 插入 MVC 应用程序时，会提供一些客户端信息，包括重定向 url，通常是根 url。所以当一个动作需要认证时，它会重定向到执行认证的 IDP。之后，有一个表单帖子返回 url，如下所示：

此特定请求将导致 302 重定向到MVC 应用程序中的/Home/Contact

我的问题是这个请求中的什么决定了最终的 302 重定向到正确的控制器，这在 MVC 应用程序中的什么地方发生？原因是，我有一个不会发生的应用程序，所以我需要了解。

我设置了 IdentityServer3 实例，并且正在使用授权端点（/core/connect/authorize）请求令牌。

我请求令牌的应用程序是一个 iOS 应用程序。

我传递以下参数；

然后这会为我打开一个 web 视图，我输入我的凭据并返回附加到 url 的redirect_uri。#id_token

为了验证令牌，我将它传递给我的 IdentityServer 的访问令牌验证端点 (/core/connect/accesstokenvalidation)。我附加?token=<access token received from login>.

然后我得到回应

当我检查日志时

我在这里做错了什么？当然，创建令牌的 IdentityServer 应该验证它是有效的吗？

所以我有一个 MVC6 应用程序，其中包括一个身份服务器（使用 ThinkTecture 的 IdentityServer3）和一个 MVC6 Web 服务应用程序。

在 Web 服务应用程序中，我在 Startup 中使用此代码：

然后我有一个控制器，其动作具有该Authorize属性。

我有一个 JavaScript 应用程序，它通过身份服务器进行身份验证，然后使用提供的 JWT 令牌来访问 Web 服务操作。

这有效，我只能使用有效令牌访问该操作。

当 JWT 过期时，问题就来了。我得到的是一个冗长的 ASP.NET 500 错误页面，它返回以下异常的异常信息：

System.IdentityModel.Tokens.SecurityTokenExpiredException IDX10223：生命周期验证失败。令牌已过期。

我对 OAuth 和一般的 Web API 保护还很陌生，所以我可能有点偏离基础，但对于过期的令牌来说，500 错误对我来说似乎不合适。这对 Web 服务客户端绝对不友好。

这是预期的行为吗？如果不是，我需要做些什么来获得更合适的响应吗？

我正在为 Intranet 应用程序进行设计，通过该 Intranet Web 应用程序使用 IdentityServer3 颁发的访问令牌调用 Web API。因为它是一个 Intranet 应用程序，所以我将使用带有 Windows 身份验证的 IdentityServer3。由于涉及到用户，我相信资源所有者密码凭证流是从 IdentityServer3 请求令牌的方式。如何将此流程与集成 Windows 身份验证一起使用？即，我不会有登录用户密码

谢谢，细胞

我在 ASP.NET MVC 中的代码：

我在 IdentityServer 中的代码 Client.cs：

我期待一个电话CallbackController，但这没有发生。可能是什么原因？？

我在我的 asp.net mvc 应用程序中使用 OpenIdConnect 提供程序和 Owin/Katana 进行身份验证。OpenIdConnect 提供针对 Active Directory 对用户进行身份验证。一旦用户通过身份验证并将用户重定向到另一个视图，我想进行简单的授权检查。

如果他不在我的数据库中，我该如何重定向用户。

Some weeks ago I discovered OpenID Connect and IdentityServer V3. I ran some of the supplied examples and I am today at the point where I need to go further but I don't know how to proceed:

Actually we have an "home made" authentication and authorization process and we'd like to move to an OpenID Connect solution. Identity Server seems to be the perfect candidate to do this.

Today our users are stored into an SQL Server Database and ideally I'd like to "connect" this table to Identity Server (without touching to the schema of this table). I read about "MembershipReboot" but it uses its own Database. I also heard about making a custom user service but in the sample (CustomUserService) I did not find anything helpfull. Today I'am a little bit lost because I don't know where to go and I realize that I'am not very far from the target.

I need help

Thank you