问题标签 [thinktecture-ident-model]

我需要在应用程序中支持两种身份验证方法 - WS Federation (wsfed) 和 Home realm discovery (hrd)。我已经安装和定制了 Thinktecture 身份服务器，但我对实现上述场景很感兴趣。我不确定<system.identityModel.services> <federationConfiguration>部分中的配置应该是什么。

我可以在<wsFederation...>那里有两个元素，系统如何知道要使用哪个协议？

还可以在身份服务器端的单个页面中组合方法吗？

任何想法将不胜感激！

谢谢！

我阅读了 2 个 WS* 协议，WS-TRUST 和 WS-FED。但我对如何使用这些协议的实时场景感到困惑。谁能告诉我在哪些情况下我可以使用 WS-TRUST 和 WS-FED ？如果有人能分辨出这两种协议中哪一个最好用于保护 REST 服务和 normal.ASPX 页面，那将非常有帮助。

我一直在关注http://leastprivilege.com/2012/11/01/oauth2-in-thinktecture-identityserver-v2-resource-owner-password-flow/上的 OAuth2 资源所有者密码流的 Thinktecture Identity Server 示例

我有示例工作并通过以下过程成功返回 JWT 令牌

1. 使用 Thinktecture OAuth2Client 检索访问令牌
2. 从客户端计算机上的“受信任的人”存储中检索签名证书
3. 使用证书并创建一个新的JwtSecurityTokenHandlerandTokenValidationParameters并调用tokenHandler.ValidateToken以获取 ClaimsPrincipal

从这里我被授权，但我不确定为进一步请求保留令牌的最佳方式。我尝试使用

但是我没有SessionAuthenticationModule注册。我尝试使用身份和访问向导来完成此操作，但它对配置进行了许多更改并尝试为被动身份验证进行设置。

我可以使用传统的 FormsAuthentication cookie (.aspnetAuth)，但我记得讨论过 .FedAuth cookie 的一个优点是，如果大小变得太大，它会自然地分成几个 cookie。

我正在努力寻找一篇为我完成图片的文章。我需要不记名令牌来访问堆栈中的各种 API。我有用于 SSO/被动身份验证的工作示例，因为大部分工作都是为您完成的。我只是不确定使用资源所有者密码流时使用的最佳模式。

所以

1. 我是否错过了使用 Thinktecture 身份模型和服务器实现这一目标的更直接的方法？
2. 我是否应该尝试创建一个 FedAuth cookie，以便我可以重用已经为 WIF 设置的各种消息处理程序/过滤器组件？
3. 否则 - 简单地将访问令牌放在 FormsAuthentication cookie 的 UserData 部分有什么特别的错误吗？

这是我目前的情况。我设置了一个 ADFS 2.0 服务器，并连接了两个 RP Web 应用程序。这些应用程序 App1 和 App2 是具有 Web API 后端的 Web 应用程序。使用 Javascript AJAX 调用。

根据我对 WIF 的初步了解，我认为我可以通过浏览器登录，然后可以访问这两个应用程序。这被证明是不正确的，因为我无法从 App1 调用 App2 的 Web API 函数。我可以做到这一点的唯一方法是输入 App2 的 URL，只有这样我从 App 1 进行的后续调用才能工作（正确的 FedAuth cookie 在标头中传递）

因此，我一直在寻找从 App1 实际调用 App2 的 Web API 的方法，但我空手而归。我最接近解决方案的是（我相信）通过添加消息处理程序，如本例所示

http://leastprivilege.com/2013/04/22/asp-net-web-api-security-the-thinktecture-identitymodel-authenticationhandler/

如果我理解正确，我应该能够让 WebAPI 接收我的 SAML2 安全令牌。

我的代码如下：

调用到达 MyClaimsAuthenticationManager.Authenticate()，但 IncomingPrincipal 仍未通过身份验证。我无法知道它是否接收到 SAML2 令牌，因为在 MyClaimsAuthenticationManager.Authenticate() 之前我无法调试任何东西

我的问题：

1) 尽管在 App1 中进行了身份验证，是否可以调用我的 App2 Web API 函数？（他们使用相同的 ADFS）

2）如果可能的话，我使用 ThinkTecture AuthenticationHandler 是否正确？

谢谢你。

MR和IM在可扩展性、稳定性、安全性等方面有什么区别？

对于单租户应用程序，哪一个更可取？

我已设法使用 OAuth2 从 Identity Server 取回 JWT 令牌，并希望从令牌中提取声明。

当我使用诸如https://developers.google.com/wallet/digital/docs/jwtdecoder之类的令牌解码器时，我可以窥视令牌内部并且看起来不错。

但是我不确定在 c# 中使用什么解密才能使用 Microsoft JwtSecurityTokenHandler.ValidateToken 来取回声明身份。

在身份服务器中，我使用了一个对称密钥，我已将其粘贴在我的代码中以供参考。JWT 令牌也是有效的。

非常感谢一些帮助：

我应该为 validationParameters.SigningToken 使用哪种 SigningToken ？

Thinktecture.IdentityServer 是否支持加密它发布的 JWT 令牌，例如保护令牌不被用于回复攻击？

如果是，客户端如何解密加密的令牌？

我尝试在 IdentityServer 常规配置中启用“需要令牌加密”，但是在这样做之后，当我尝试登录时，我在身份服务器网页上收到“没有可用的加密密钥”消息。

有问题还是我缺少必需的设置？

我遇到了 AuthenticationConfiguration 的问题，当我将 AuthenticationConfiguration 放在 WebApiConfig 中时，我的 $http 请求停止工作。我收到错误无法加载资源：服务器响应状态为 403（需要 HTTPS。）。

角度请求

WebApiConfig.cs

我正在为我的公司开发 wsFederation POC。该解决方案也应该适用于 MVC 应用程序和 webapi 服务。我想出了如何使用新的 OWIN 身份验证中间件让它在 MVC 应用程序上运行。那时我得到了 SAML2 令牌。

我现在想进行 ajax 调用以从 webapi 控制器调用方法，在 javascript 中像这样在授权标头中传递 SAML 令牌：

在 Firebug（或等价物）中，我可以看到标头很好地填充了令牌。

在服务器端，我正在尝试使用 Thinktecture 的 Owin 扩展方法来检索和检查令牌：

正如我在这里读到的：http: //leastprivilege.com/2013/10/31/adding-saml11-and-saml2-support-to-katanaowin/

但似乎什么都没有发生。

我想避免添加消息处理程序，因为这个方法看起来应该做我正在寻找的......

任何想法 ？

我们有很多通过 thinktecture identityserver v2 进行通用身份验证的站点。

现在我们想要有登录到站点的日志。我们有一个自定义的 IUserRepository，我们可以在其中登录用户登录，但是我们如何继续并获取用户登录的站点？

当我们从一个站点跳到另一个站点时-怎么会被记录下来

如果没有对此的内置支持，那么修改代码的最佳位置在哪里？

似乎它可以在我可以基于uri获得领域WSFederationController的方法中完成。Issue

拉尔西