问题标签 [thinktecture-ident-server]

我目前是基于声明的模型和安全令牌服务的新手。

我已成功安装 thinktecture 身份服务器并对其进行了测试。我想做的下一步是将登录方法从普通的用户名和密码方法更改为另一种生物识别方法（实际上是指纹），

即我想知道如何使thinktecture 服务器接受生物特征数据（我必须在哪里调整）而不是用户名和密码。

我想验证 STS 发出的 SessionSecurityToken。通过验证，我的意思是证明令牌不是精心设计的，并且确认令牌是从 STS 发出的。

从概念上讲，我知道如果 STS 用它的私钥加密（或签名）令牌，我可以用公钥解密（或验证签名）。

据我了解，我正在使用的 STS（ThinkTecture Identity Server）使用对称签名密钥来签署令牌。

我收到的 SessionSecurityToken 包含一个 SecurityKeys 属性。什么代表这个 SecurityKeys？MSDN 文档告诉：“获取与此会话关联的密钥。这通常是单个密钥。”

是我的 STS 使用的 SymmetricKey 吗？如果是这样，这意味着对称密钥没有得到很好的保护，如果有人得到这个密钥，他就可以伪造一个令牌。

是令牌签名吗？如果是这样，我该如何验证签名（假设我有对称密钥）？

还有其他有用的信息可以帮助我理解我们验证 SessionSecurityToken 的方式吗？

我开始在我的项目中使用 ThinkTecture.IdentityModel，我正面临一个严重的问题。请帮助我。

错误 1“'System.IdentityModel.Tokens.SecurityToken' 类型在未引用的程序集中定义。您必须添加对程序集 'System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089' 的引用

在查看有关身份和访问控制的 PluralSite 视频后，基本上设置了我需要的所有内容（我的机器上有一个正在运行的 Thinktecture Identity Server 本地实例，以及 Identity and Access vs2012 扩展），我不能在同一解决方案中获取两个 Web 应用程序以针对 Identity Server 进行身份验证。

目前，他们都要求我登录到 id 服务器，这不是我想要的，我希望能够登录到 Id 服务器一次，并为两个站点进行身份验证。

以下是我认为确定应该如何进行的 web.config 的部分：

“境界”的作用究竟是什么？这需要是一个真实的 URL，还是可以像命名空间一样对待？当尝试在多个站点上使用由 Id 服务器颁发的相同安全令牌时，我的映像领域必须发挥作用。

AudienceUris 是如何工作的？我假设如果我想跨多个站点使用一个安全令牌，我需要在 AudienceUris 部分中表示每个站点的 URL？

第二个站点的另一个 web.config 文件就像上面的部分一样，但在 URL 上更改了端口号。

同样，我确实让 Id Srv 将一个令牌传回给我，该令牌对我进行 ONE 站点的身份验证，但我终其一生都无法让它为两个站点工作。

我猜这是一个配置问题，或者可能是我在两个端口号上运行两个 IIS Express 实例，而不是使用真正的 IIS 服务器并使用 URL 来代替？

我正在使用thinktecture identityserver安全令牌服务我试图设置一个场景，我有一个使用 WCF 服务的客户端。我被困在我得到下一个错误的地方：

我已经在 win2008 服务器上设置了 STS，并且所有工作正常，它已经与 MVC 站点一起工作。但是使用 wcf 服务我无法让它工作。我使用 Bearerkey 作为 SecurityKeyType。我确实在客户端应用程序函数 RequestToken() 中获得了一个令牌。这是我的 wcf 服务配置：

这是客户端：它只是一个控制台应用程序。

如果有人可以帮助我，那就太好了。

我有几个 mvc 应用程序仍在开发中，并使用带有 SimpleMembership 的表单来注册和验证用户，这些应用程序使用相同的数据库，并且我在 UserProfile 表中都有外键，从简单的成员资格。最近我决定试一试联合安全性只是为了在不重新设计轮子的情况下获得 SSO，但我对一些事情感到困惑。

我应该设置 Identity Server 以使用与我的应用程序相同的数据库吗？ （然后我可以以某种方式将 userID 放入声明或其他内容中，这样我就知道如何从其他表中获取该用户的信息，这是正确的吗？）

使用联合安全性时如何进行范式注册？ （我认为注册可以在任何应用程序中完成，在身份服务器使用的表中插入行或将 STS 调整为用户简单的成员资格表以进行身份​​验证，这是正确的吗？）

是否可以从每个单独的 RP（mvc 应用程序）对用户进行身份验证，并且仍然可以在不将用户重定向到 STS 的情况下获得 SSO？（不知何故与internat HTTP请求）

STS 失败时会发生什么？那么用户是否无法登录任何应用程序？有什么解决办法吗？

我正在使用 Thinktecture.IdentityServer.v2 应用程序为几个内部应用程序执行 SSO，但希望为每个应用程序自定义登录页面以获得更流畅的用户体验。我似乎找不到办法做到这一点。

登录页面是否可以根据客户端来自的源应用程序进行自定义？

我正在开发一个 nuget 包，以便将我公司自己的userValidation和claimRepository 拉入 Thinktecture Identity Server。

我已经更改了我的配置存储方式以匹配 Thinktecture 的操作方式。（即 - 连接字符串和存储库配置在他们自己的文件中的配置文件夹中）我已经这样做了，所以我可以使用配置转换。

我遇到的问题是xdt属性（以及根元素上的 xmlns）保留在生成的配置文件中。虽然这可能不会导致问题，但它看起来有点混乱。

那么，这是标准行为还是 nuget 和非 web/app.config 文件转换中的错误？

我按照这个例子来让隐式流程工作。

http://weblogs.thinktecture.com/cweyer/2012/11/oauth2-in-thinktecture-identityserver-v2-implicit-grant-flow-with-javascript.html

我的问题是，我将如何注销用户？我希望有人知道，因为我找不到任何例子。现在我可以触发授权窗口并正确处理它并为我的请求使用访问令牌，但我不知道如何制作它以便我可以切换用户。

我们已经使用 ThinkTecture 服务器设置了联合安全性。

当用户希望访问特定 URL 时，他们会被重定向到身份提供程序服务器 (IDP)，然后登录并进行身份验证。

然后，IDP 服务器会将用户重定向回该依赖方的配置中指定的“重定向 URL”。

相反，我希望它被重定向到最初请求的 URL。

这可能吗？我已经阅读了一些关于 wreply 参数的内容，但不确定我如何使用它并在重定向之前拦截原始 Web 服务器上的身份验证级别调用。

更新 我意识到我的问题是由于我的 url 包含一个散列，例如http://domain.com/#customer/123并且在散列被传递到 WIF 中的重定向 url 之后什么都没有。有关更多详细信息，请参阅下面的答案。