问题标签 [thinktecture-ident-model]

使用 Thinktecture IdentityModel 获取会话令牌的方法是http://www.website.com/api/token。但我收到错误“响应状态代码不表示成功：404（未找到）。” 使用浏览器时以及以下代码。

但是，当我尝试使用 CURL curl --user admin:password --get http://www.website.com/api/token

我似乎正在恢复会话 json { "access_token": "hfsdhfhfjhdfhds8f9jsdhr9843hrf.shf789qy34rjhf9awyfw8ehf .....", "expires_in": 36000.0 }

任何想法为什么会发生这种情况？

我在使用基本身份验证的 ASP.NET Web API 中使用 Thinktecture IdentityModel。一切正常，我可以向服务器请求一个过期的新令牌。我在 AppHarbor 中托管这个应用程序。

问题是 AppHarbor 会定期重置池，因为如果应用程序有一段时间没有被使用，它就会进入“空闲”状态。

这使得我的应用程序使用 IdentityModel 颁发的令牌在池重置后不再有效。

我知道有一些技巧可以让 AppHarbor 保持活力。我不是在寻找这种解决方案。是否有任何方法可以使用在池重置后有效的 IdentityModel 创建令牌？这是一个安全问题吗？

这是我设置身份验证的代码：

我正在为 WebApiSecurity 使用 Thinktecture.IdentityModel 4.0 示例。我已修改 AdfsSamlClient 以使用我们的 ADFS 服务器。我可以使用从 ADFS 服务器获取 SAML 令牌

然后我尝试拨打服务电话

并获得 401 - 未授权的呼叫。

我不确定如何调试它。我对 Microsoft.IdentityModel 进行了跟踪，但它只是信息级别的跟踪，没有错误或警告，也没有任何东西可以用来调试。

服务跟踪的有趣部分：

感谢您的任何见解。

我正在尝试使 CORS 请求正常工作，但是在已部署的服务器上运行它时遇到了问题

我正在使用thinktecture 身份模型来设置我的 CORS，它在 IIS-express 的本地实例上运行时运行良好，但在站点的正确 IIS 7.5 版本上失败。

这是本地版本，完美运行

这是已部署的版本并且失败了

GETS 在已部署的实例上工作正常，但在 POSTS 上却不行。

IISExpress 和 IIS7.5 之间的 OPTIONS 预检响应似乎不同

我试过清理缓存，但这并没有什么不同。

是否可以解码a SessionSecurityToken？

我已经建立了一个ThinkTecture IdentityServer使用 using的站点MachineKeySessionSecurityTokenHandler，并且一切都按预期工作。
但现在我需要将令牌传递给另一个服务，但在AuthorizationHTTP 标头而不是 cookie 中。

我尝试了以下方法：

但这会引发System.Security.Cryptography.CryptographicException

我正在尝试使用Thinktecture.IdentityModel.45在 ASP.NET Web API 中进行身份验证。

我正在尝试使基本身份验证正常工作。并下载了源代码并让示例工作。(JsBasicAuth)。

我们在与 MVC 应用程序相同的项目中拥有 Web API。当测试客户端调用 ~/api/identity 所有处理程序和授权工作。但是随后框架（web api）尝试调用一个名为“identity”的控制器并且调用失败。

我需要从路由中排除 /identity /token 吗？我错过了什么？

我正在使用 Thinktechture Identity Server 使用 WS-Trust 协议发布我的 SAML 安全令牌。然后我使用包含令牌的 Authorization http 标头调用我的 WEB Api。使用 Thinktechture.IdentityModel 成功处理了令牌。

但是当我使用证书加密发送的令牌时（通过在 IDP RP 管理页面中选择加密证书），IdentityModel 收到的请求将其授权标头设置为 null（实际上加密值存在于“InvalidHeaders”数组中请求对象）。

使用提琴手，我将标头值替换为未加密的标头值，并且回复请求有效。所以这绝对是这个标头值中的东西。

这是确实通过的标头值：

这是加密时不通过的标头值：

任何想法为什么授权头不通过？

我刚刚开始在我们的 web api 服务中实现安全性（主要是作为一项研究工作）。
并且遇到了新的ASP.NET Identity和相当成熟的 Thinktecture.IdentityModel库。

由于我对这整套身份验证/授权机制没有经验，所以这很令人困惑。现在我不能说这些库是否大致相同或彼此正交。

我将不胜感激任何关于应该使用哪个以及何时使用的澄清。

我正在尝试使用 MembershipReboot 库构建声明感知应用程序以进行身份​​验证 Thinktecture.IdentityModel.45 以进行授权。就教程而言，他们都将声明手动添加到“UserClaims”表中（不确定是哪个库添加的），其中包含用户 ID、声明类型和值。我想以编程方式将声明添加到此表中，但我不确定如何以明显的方式执行此操作。

我在不同的域上有两个站点。我正在使用 Thinktecture IdentityModel 实现 SSO。

用户登录到站点 A。在某些时候，他们单击链接将他们带到站点 B。站点 A 使用 JWT 令牌将用户重定向到站点 B/Login.aspx?token=<token>。然后站点 B 通过调用站点 A 上的 API 对用户进行身份验证来验证令牌。如果通过身份验证，用户将自动登录到站点 B。

默认情况下，Thinktecture 令牌持续 10 小时，无法杀死令牌（据我所知）。如果用户退出站点，令牌仍然有效。我可以查看浏览器历史记录并获取“Login.aspx?token=< token >” url 并自动重新登录。有没有办法在用户注销时杀死所有用户令牌？令牌不应该作为查询字符串的一部分传递吗？防止重放攻击的最佳方法是什么？