问题标签 [thinktecture-ident-server]

我正在使用 WIF 和使用 ThinkTecture STS 的联合安全模型。

当我尝试请求 url: http://domain.com/#page时，WIF 不会在身份验证后重定向到正确的页面。

wctx中的ru参数不包含/#path的正确路径。相反，它忽略了哈希和它之后的所有内容，所以ru参数只是/。没有哈希的普通网址可以正常工作。

是否有针对此的锻炼或我的网址格式不正确？
有什么建议么？

我在我的开发环境（Windows 7 Professional Visual Studio 2012）中使用一个依赖方运行 thinktecture IdentityServer v2。

我的依赖方 (www.myprotectedcustomersite.com) 是一个使用 WIF 联合的 ASP.Net Framework 4 网站。

这工作正常。当我尝试访问 www.myprotectedcustomersite.com 时，我被重定向到 IdentityServer 登录，当我通过身份验证时，我被重定向回 www.myprotectedcustomersite.com。

我的问题是，我有另一个站点（www.mycompanyfrontdoorsite.com），用户需要能够登录（在主页上）并进行身份验证，然后通过 IdentityServer 重定向到 www.myprotectedcustomersite.com。我的大多数用户都是这样进入 www.myprotectedcustomersite.com 的。

我不确定如何配置它。我进行了一些研究，但未能找到解决此问题的方法。

我正在尝试在不对 IdentityServer 进行任何重大更改的情况下完成此操作。

我希望有人能帮帮忙。

我在尝试从 Android 应用程序调用身份服务器时遇到问题。问题是我已经搜索了一种从基于 C# 的应用程序以外的任何其他东西调用 IdSrv 的方法，并且只找到了一个如何从 JS 调用它的示例。因此，这就是从 JS 进行调用的方式：

这是我对 Android 的翻译：

我正在使用接受所有类型证书的自定义 HttpClient，因此 SSL 应该不是问题。问题是，当拨打电话时，Http 400会回复我，告诉我请求格式不正确。我的问题是，有谁知道应该如何准确调用 Identity Server 才能接受它并将令牌返回给我？

我正在尝试使用 OAuth 2 资源所有者流程来授权移动客户端针对我的 Web Api 服务。我正在使用 Thinktecture IdentityServer 使用对称签名密钥发布 jwt 令牌。

在客户端，我使用 Thinktecture IdentityModel 来帮助设置令牌验证。我的 WebApiConfig 如下所示：

在我的 IdentityModel.config 我有以下内容：

主要取自http://leastprivilege.com/2013/07/16/identityserver-using-ws-federation-with-jwt-tokens-and-symmetric-signatures/上的这个链接 ，我通过这个 Stack Overflow 帖子找到：如何用对称密钥配置 MIcrosoft JWT？

我尝试使用该帖子中找到的派生类，但是当我尝试运行此行时：

我收到 InvalidCastException，因为 IssuerTokenResolver 是 X509CertificateStoreResolver 类型，而不是 NamedKeyIssuerTokenResolver 类型。

看来我的配置或代码中仍然缺少一些东西来配置正确的 TokenResolver。有人有想法吗？

我有一个 ASP.NET SPA，它是由 Web Api 驱动的数据。它目前正在使用默认登录机制。未来的场景是通过队列 (RabbitMQ) 进行从 Web 服务器到后端的所有通信。

那么简化的结构将如下所示：

用户登录，数据交换通过队列路由到后端服务。我现在的问题是如何让后端知道请求是否来自经过身份验证的用户？

我找到了 Thinktecture STS，就我目前所知，它看起来非常有趣。至少网络身份验证应该没有问题。但现在在我看来，总有一个浏览器或 WCF 服务需要通过所示示例进行身份验证。我们的网站没有使用 WCF 或 Azure 的计划。

是否可以通过队列传输 STS 发出的令牌并让消费 Windows 服务知道如何处理这些令牌？

我在 Windows Server 2008 R2 Standard 的 qa 环境中运行 thinktecture IdentityServer v2 和两个依赖方。

IdentityServer 为两个 RP 配置，一个使用 Federation，另一个使用 oAuth

我的第一个依赖方 (www.sitenumberone.com) 是一个使用 WIF 联合的 ASP.Net Framework 4 网站。

我的第二个依赖方 (www.sitenumbertwo.com) 是一个使用 oAuth 的 ASP.Net Framework 4.5 MVC 4 应用程序。

当我尝试访问 www.sitenumberone.com 时，我被重定向到 IdentityServer 登录，当我通过身份验证时，我被重定向回 www.sitenumberone.com。这部分有效。

我的问题是，一旦我通过了 www.sitenumberone.com 的身份验证，如果我尝试访问 www.sitenumbertwo.com，我将被重定向回 IdentityServer 登录页面。我希望它不会将我重定向回登录，因为我已经过身份验证。

我进行了一些研究，但未能找到解决此问题的方法。我是否需要在 IdentityServer 中将 www.sitenumberone.com 设置为 oAuth 客户端？

我希望有人能帮帮忙。

我正在努力将应用程序与各个区域和极其细粒度的权限联合起来。每个不同的区域都有一个联合的 WCF 端点来与服务器进行通信。由于细粒度的权限，包含所有权限的单个令牌可以大到 1MB，甚至更多。

要求规定，在初始登录过程之后，用户的用户名和密码凭据不得保存在我们的代码库中。权限不能组合以创建更小的集合。我们将 Thinktecture.IdentityServer 用于我们的 STS 实现。

我提出的解决方案是在 STS 中将每个端点分解为自己的领域，并且 STS 将返回一个带有为领域指定的权限声明的令牌。为了实现这一点，我想要一个通过用户名/密码进行身份验证的 Auth 领域，并返回一个包含用户、租户和子组 ID 的令牌，然后可以将其用作向其他领域进行身份验证的凭据。

设置 STS 以发布特定于领域的令牌已经实施。剩下的唯一要求是用户名/密码不在我们的代码库中。

是否可以通过提供来自特定领域的先前颁发的令牌来配置 STS 以允许身份验证？有没有我没有想到的更好的解决方案？

我有使用自签名 SSL 证书在本地运行的身份服务器和不使用 HTTPS 的 RP，当我第一次尝试登录时（尚未登录 IdentityServer）一切正常，我获得授权并重定向到我的反相

然后我在我的 RP 中注销，但用户仍然在 IdentityServer 上登录。当我尝试从我的 RP 登录 agian 时，我得到：

您当前以 alice 身份登录，但您请求的资源未经授权。请提供具有访问权限的凭据，或联系您的管理员授予您访问权限。

尽管用户角色正确，但我尝试禁用选项： 只有“IdentityServerUsers”角色中的用户才能请求令牌 但这没有帮助。

我检查了指纹，它匹配。有人可以建议我这里可能有什么问题吗？

这是我在依赖方中使用的注销代码：

并从 RP 注销并重定向到身份服务器“已注销”页面，但我仍然在身份服务器上保持登录状态，这是预期的行为吗？如何更改此设置，以便我也从身份服务器中注销？

我目前正在尝试使用 Thinktecture IdentityServer 作为我的 STS（令牌发行者）。当我从 IdentityServer 取回一个加密令牌时，如何解密该令牌以便我可以从中推断出声明信息？

感谢您的帮助。