问题标签 [thinktecture]

我正在为 asp.net 网络表单网站和 webapi 实现基于令牌的安全性。

该网站应使用具有基于声明的身份的会话令牌。该网站应该向 web api 发出 ajax 请求。

这是我迄今为止实施的：

1. 使用 thinktecture v2 STS 作为 oauth2 资源所有者访问令牌的令牌提供者

2. 网站请求令牌

   /li>

问题：现在如何使网站使用会话令牌并从收到的上述令牌中提取声明。

我正在使用身份服务器 v3 的 CustomUserService 示例。我添加了家庭控制器，如下所示 - `public class HomeController : Controller { // // GET: /Home/ public ActionResult Index() { return View(); }

并添加了 2 个视图 About.cshtml 和 Index.cshtml。如您所见，关于操作具有 Authorize 属性。因此，当我导航到 About 时，我应该被重定向到 Identity Server V3 的登录页面，但事实并非如此。我完整的startup.cs如下 -

我正在使用 CustomerUserService 示例，因为我想使用 WSfederation。因此 ADFS 将向身份服务器提供声明，然后身份服务器应将这些声明返回到关于视图。有人能帮我一下吗。

I am implementing wsfed authentication using wsfederation plugin on top of Thinktecture IdentityServer, I got my own UserService implemented with AuthenticateLocalAsync method as below

This method get called when a login event triggered, as you can see I authenticate users against my own database repository, then from the result I built up claims object which referenced in AuthenticateResult object and return back.

So I thought that the claims should now be available on the client, so no need to make further request, but it actually makes second request to itself which the GetProfileDataAsync method get called, and based on document:

This method is called whenever claims about the user are requested (e.g. during token creation or via the userinfo endpoint

Which kinda of making sense, but does it mean that I need to call my database again to retrieve customer data again, and rebuild the claims same as I did in my AuthenticateLocalAsync method?

If so, what's the point to pass claims back in the first authenticate method?

Can someone explain please?

Thanks

Ming

我正在使用 Thinktecture.IdentityModel 并尝试将 Owin.BasicAuthentication 库与 UseBasicAuthentication 与 Webapi 和 OWIN 一起使用。我的控制器中的身份没有声明，并且显示未经过身份验证。

我在 Startup.Auth.cs 中设置了 owin 配置

索赔按预期从会员重启中返回。

但是当我在我的控制器方法中查看它时，没有任何声明，它说没有经过身份验证..

我错过了什么？

我需要一些帮助来解决在我的 ASP.net MVC 应用程序中本地使用 Thinktectures Embedded STS 时遇到的奇怪行为。我在使用 ADFS 的服务器上没有看到这个问题。

问题是 在我登录到应用程序后，从那时起大多数 HTTP 调用都会被调用两次。第一个 HTTP 请求没有 FedAuth cookie，服务器使用状态代码 302（重定向）对其进行响应，并且向同一 URL 发出另一个请求，但这次使用 Fedauth cookie。我试图了解是什么导致浏览器在没有 FedAuth cookie 的情况下发送第一个请求，以及为什么服务器重定向到相同的 URL？

我还需要帮助了解 EmbeddedSTS URL 是如何被解析的。我浏览了 Github 上的代码，但我不太清楚 EmbeddedSTS url 是如何解析的。

任何帮助表示赞赏。

Brock Allen上周发布了IdentityManager的新测试版。安全模型发生了相当大的变化，因此配置也发生了变化。

他甚至拍摄了一些关于如何正确配置新版本的视频（设置 ASP.NET Identity and Security 和 IdentityManager ）。这些很好地解释了经典 ASP.NET MVC 应用程序中的用法以及 ADFS 设置，但我找不到任何帮助或示例代码来说明如何使其与Identity Server v3一起工作。

您能否分享您在 IdSrv3 的帮助下配置 IdMgr 的远程访问的经验？

我需要一些实施指导，我在服务器端有一个带有 ASP.NET Web API 的 AngularJS 客户端。这里有一些问题： 1. 我已经实现了隐式流程，我可以从 IdentityServer 获取 id_token 和 access_token。我想知道我们是否可以实现允许刷新令牌的混合流？2) 在 JavaScript 客户端上处理会话管理的正确方法是什么？

我们已将客户端应用程序配置为通过 OpenID Connect 协议使用 IdentityServer3 身份验证（它是使用 OWIN 中间件支持 OIDC 的 ASP.NET MVC 应用程序）。

IdentityServer3 本身被配置为使用本地登录和外部登录（例如 Azure AD）。

在常规流程中，一旦应用程序需要对用户进行身份验证，它就会将他重定向到 IdentityServer3 登录屏幕——这很好。但在某些情况下，在每个请求的基础上，我想通过某种方式让 IdentityServer3 知道用户想要立即使用特定的外部身份提供者登录来绕过登录屏幕。

那有可能吗？

我们有 IdentityServer v3 和一个自定义的 UserService，它处理两个因素身份验证。我们将它用于许多客户端（webapps），我想跟踪不同应用程序的登录次数。

我看到GetProfileDataAsync每次用户导航到新客户端时都会调用它（也发生在 webapps 之间的每个选项卡切换上）。但我无法追踪究竟是什么客户引起了通话。

还有其他适合伐木的地方吗

• 应用程序 (clientid)
• 主题 ID

谢谢你的帮助

拉尔西

我们有一个 Identityserver v3，在负载均衡器后面有一个带有 2 因素身份验证的自定义 UserService。它可以在我的机器上运行 :-) 但是 partialSigninAuthentication 在部署到负载平衡环境时失败（我不确定它是否与负载平衡有关，我只是假设。我们有一个 v2 也在同一台服务器上运行 - 没有问题）。

我正在使用示例 impl 中的证书，并使用 RequireSSL=false（负载均衡器后面的 http）

在我的 TwoFactorController 中，我打印了一些调试，也许这有帮助？

跟踪日志：

更新 我删除了部分登录，但仍然无法正常工作。这是来自 IdServer 的最后一个日志条目

并且在浏览器的内容是空的，但是标题说： 'Submmit this form' 浏览器的 url 是：

Update2 检查提交表单，看起来 a 脚本被内容安全策略阻止

页面https://smi-test.myserver.net/STSv3/connect/authorize加载脚本

如何将其更改为https？

拉尔西