问题标签 [mod-auth-openidc]

我想使用 Google Apps 对我公司的一些内部网站进行身份验证。我们一直在使用基于 openid 的 apache 模块mod_auth_openid，自从它最近被弃用以来，我开始寻找替代品并找到了mod_auth_openidc. 但我无法真正让它工作，因为我不了解它的大部分内容（我什至尝试关注一些文章（article1，article2）但这并没有帮助，因为我不清楚）。

有没有其他解决方案/文章可以帮助我做到这一点？

Jenkins 和 Gerrit 都有适用于 OpenID 2.0 的插件，但该 API 已于 2014 年 5 月 19 日被 Google 弃用（https://developers.google.com/accounts/docs/OpenID），因此无法使用新安装并且必须使用现有安装迁移到 OAuth2.0（OpendID 连接）。尝试使用 OpenID 2.0 时，您将收到错误消息“错误 400：OpenID 身份验证请求包含未注册的域”。

Gerrit 团队已经意识到了这个问题，但目前还没有解决方案： https ://code.google.com/p/gerrit/issues/detail?id=2677

不确定詹金斯。

我使用运行 Apache v.2.4.10 的 Debian 8.0，并尝试添加名为libapach2-mod-auth-openidc1.6.0 版的 OpenID Connect 模块。安装模块后，我使用以下命令启用它：sudo a2enmod auth_openidc. 这工作正常，现在我想用 重新启动 Apache 服务器sudo service apache2 restart，这导致我出错

“apache2 的作业失败。有关详细信息，请参阅 'systemctl status apache2.service' 和 'journalctl -xn'。”

结果 systemctl status apache2.service 在启动服务器时显示错误，但没有错误的详细信息(code=exited, status=1/FAILURE)。

结果 journalctl -xn 告诉我们，没有期刊。

因此，如果我禁用该auth_openidc模块，Apache 服务器将再次启动而不会出现问题。

配置详情：

• Apache 以其默认设置运行。我没有改变任何东西！
• auth_openidc此时我也没有更改模块！

有人可以解释为什么启用auth_openidc了模块的 Apache 将不再启动吗？

我们正在使用 Apache 集成工具包 (modpf) 将 Web 应用程序与 PingFederate 作为 SP 集成。我们也想使用 PingFederate 作为 OAuth 服务器。我们可以使用相同的集成工具包来验证 OAuth 服务器生成的访问令牌吗？还是有其他图书馆可以做到这一点？

我遇到的一个这样的库是mod_auth_openidc。有没有人用它来验证访问令牌？

我有 mod_auth_openidc 与 Google 合作，手卷版本的 phpOIDC 作为我的 OP，mod_auth_openidc 作为我的身份提供者。

我的问题似乎是 Microsoft 实施中的错误。

mod_auth_openidc 是一个很棒的 mod 并且做了相当多的验证日志。

JWT 中返回的内容之一是“aud”参数，即受众。

根据 Open ID Connect 规范：

aud REQUIRED. Audience(s) that this ID Token is intended for. It MUST contain the OAuth 2.0 client_id of the Relying Party as an audience value. It MAY also contain identifiers for other audiences. In the general case, the aud value is an array of case sensitive strings. In the common special case when there is one audience, the aud value MAY be a single case sensitive string.

我的客户 ID 是 00000001234（不是我的真实 ID，只是一个示例）。

我通过握手做到了，一切都很正常，我从 Windows Live 获得我的 nonce “代码”，然后我用它交换我的令牌，但我得到的令牌有一个“aud”值：

00000000-0000-0000-0000-00000001234

mod_auth_openidc 正确检查返回令牌中的“aud”值，并以错误响应，因为“aud”与配置的 cliend_id 不匹配，根据规范，这是应该的。

我的问题是，除了不验证令牌的受众之外，还有什么方法可以在 MS Developer 控制台中配置应用程序，以便它为返回的令牌中的“aud”值正确返回客户端 ID？

没有那个，在他们的实现中报告此类错误的最佳地点在哪里？

我使用 mod_auth_openidc 作为资源服务器。我想将 OIDCClaimPrefix 参数配置为空字符串，因为我想按原样传递从 OAuth 服务器接收到的声明（不想要任何前缀）。我试图将 OIDCClaimPrefix 保留为空，但似乎它需要 1 个参数。如何传递空或空白前缀？

我们在我们的一个应用程序上使用 OpenID Connect，并使用 Apache 的 mod_auth_openidc 实现。有没有办法设置会话的到期时间？我们当前的配置如下所示：

阅读以下文章后：

http://blogs.technet.com/b/ad/archive/2015/08/12/azure-ad-microsoft-account-preview-sign-in-personal-and-work-accounts-using-a-single-堆栈.aspx

我尝试按照以下文档实现 OpenID Connect/Oauth 代码流：

https://azure.microsoft.com/en-us/documentation/articles/active-directory-appmodel-v2-overview/

我正在使用 mod_auth_openidc 作为我的依赖方（我与 Google 和我自己的 OpenID 提供商合作。

我已经在https://apps.dev.microsoft.com注册了我的应用程序，并完成了所有步骤。我在 microsoft 获得登录屏幕，然后是权限屏幕，当它重定向回我的站点并点击 mod_auth_openidc 时，我收到一条错误消息：

错误：

OpenID Connect 提供程序返回错误：处理响应类型时出错。

在我的 Apache 错误日志中，我得到： oidc_proto_validate_code_response: requested flow is "code" but no "access_token" parameter found in the code response, referer: https://login.microsoftonline.com/common/oauth2/v2.0/authorize?response_type=code&scope=openid&client_id=xxx&state=yyy&redirect_uri=https%3A%2F%2Fdst-dev.mydomain.com%2Foauth2callback&nonce=zzz

和

oidc_proto_resolve_code_and_validate_response: code response validation failed,

我想弄清楚问题出在哪里。Microsoft 发送的 mod_auth_openidc 是否存在问题，或者 mod_auth_openidc 端是否存在错误或配置问题？

所以我在使用 mod_auth_openidc 的 Apache 服务器上有一个通配符主机我的 Apache 配置的相关位是：

是否有任何东西可以阻止用户使用 foo.sub.mydomain.com 进行身份验证，然后也可以使用 bar.sub.mydomain.com 进行身份验证而无需再次登录？

我试图从在 Django REST API 框架中开发的经过身份验证的 API 中获取数据，REST API 中使用的功能（mod_auth_openidc），我需要调用相同的 API 以使用 angular4 在前端显示数据。

https://github.com/damienbod/angular-auth-oidc-client

我已经尝试了上述方法，但谷歌身份验证弹出窗口已正确打开，API 加载到浏览器窗口中。我需要在成功认证后进行 API 调用。