ASP.NET 核心 1.0。 Bearer Token,无法访问自定义声明
ASP.NET Core 1.0. Bearer Token, cannot access custom claims
我正在尝试使用 ASP.NET Core 1.0 为 SPA 设置 Bearer 身份验证。我几乎已经将它用于 JwtToken 与 OpenIdConnect 服务器,但有一个问题,即我的自定义声明未随令牌一起返回。
我的 Startup.cs 身份验证逻辑如下:
private void ConfigureAuthentication(IApplicationBuilder app)
{
app.UseJwtBearerAuthentication(options =>
{
options.AutomaticAuthenticate = true;
options.Authority = "http://localhost:53844";
options.Audience = "http://localhost:53844";
options.RequireHttpsMetadata = false;
});
app.UseOpenIdConnectServer(options =>
{
options.TokenEndpointPath = "/api/v1/token";
options.AllowInsecureHttp = true;
options.AuthorizationEndpointPath = PathString.Empty;
options.Provider = new OpenIdConnectServerProvider
{
OnValidateClientAuthentication = context =>
{
context.Skipped();
return Task.FromResult<Object>(null);
},
OnGrantResourceOwnerCredentials = async context =>
{
var usersService = app.ApplicationServices.GetService<IUsersService>();
User user = usersService.getUser(context.Username, context.Password);
var identity = new ClaimsIdentity(new List<Claim>(), OpenIdConnectServerDefaults.AuthenticationScheme);
identity.AddClaim(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()));
identity.AddClaim(new Claim(ClaimTypes.Name, user.Id.ToString()));
identity.AddClaim(new Claim("myclaim", "4815162342"));
var ticket = new AuthenticationTicket(
new ClaimsPrincipal(identity),
new AuthenticationProperties(),
context.Options.AuthenticationScheme);
ticket.SetResources(new[] { "http://localhost:53844" });
ticket.SetAudiences(new [] {"http://localhost:53844"});
ticket.SetScopes(new [] {"email", "offline_access" });
context.Validated(ticket);
}
};
});
}
access_token 和 refresh_token 均已成功生成并且在授权中传递 access_token 时 header 系统将请求视为已授权。
唯一的问题是除了 NameIdentifier 之外的所有声明都没有通过。
我使用以下代码接收我对已验证请求的声明:
public class WebUserContext : IUserContext
{
private readonly IHttpContextAccessor contextAccessor;
public WebUserContext(IHttpContextAccessor contextAccessor)
{
this.contextAccessor = contextAccessor;
}
public long UserId
{
get
{
ClaimsIdentity identity = Principal?.Identity as ClaimsIdentity;
if (identity == null)
{
return -1;
}
Claim claim = identity.Claims.FirstOrDefault(c => c.Type == ClaimTypes.Name); // There is no such claim in claims collection
return long.Parse(claim.Value);
}
}
private ClaimsPrincipal Principal => contextAccessor.HttpContext.User as ClaimsPrincipal;
}
我的声明未通过或未从令牌中提取的原因是什么?
What can be the reason my claims are not passed or extracted from the token?
安全。
与 OAuthAuthorizationServerMiddleware 不同,ASOS 不假设访问令牌总是由您自己的资源服务器使用(尽管我同意这是一种常见情况)并且拒绝序列化未明确指定 "destination" 以避免将机密数据泄露给未授权方。
由于 JWT 是 ASOS beta4 (but not in the next beta) 中的默认格式,您还必须记住,即使是客户端应用程序(或用户)也可以读取您的访问令牌。
因此,您必须在声明中明确附加 "destination":
identity.AddClaim(ClaimTypes.Name, "Pinpoint", destination: "id_token token");
指定 id_token 以在身份令牌中序列化声明,token 以在访问令牌中序列化声明,或同时指定两者以在两个令牌中序列化声明(没有等效的授权代码或刷新令牌因为它们始终是加密的并且只能由授权服务器本身读取)
我正在尝试使用 ASP.NET Core 1.0 为 SPA 设置 Bearer 身份验证。我几乎已经将它用于 JwtToken 与 OpenIdConnect 服务器,但有一个问题,即我的自定义声明未随令牌一起返回。
我的 Startup.cs 身份验证逻辑如下:
private void ConfigureAuthentication(IApplicationBuilder app)
{
app.UseJwtBearerAuthentication(options =>
{
options.AutomaticAuthenticate = true;
options.Authority = "http://localhost:53844";
options.Audience = "http://localhost:53844";
options.RequireHttpsMetadata = false;
});
app.UseOpenIdConnectServer(options =>
{
options.TokenEndpointPath = "/api/v1/token";
options.AllowInsecureHttp = true;
options.AuthorizationEndpointPath = PathString.Empty;
options.Provider = new OpenIdConnectServerProvider
{
OnValidateClientAuthentication = context =>
{
context.Skipped();
return Task.FromResult<Object>(null);
},
OnGrantResourceOwnerCredentials = async context =>
{
var usersService = app.ApplicationServices.GetService<IUsersService>();
User user = usersService.getUser(context.Username, context.Password);
var identity = new ClaimsIdentity(new List<Claim>(), OpenIdConnectServerDefaults.AuthenticationScheme);
identity.AddClaim(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()));
identity.AddClaim(new Claim(ClaimTypes.Name, user.Id.ToString()));
identity.AddClaim(new Claim("myclaim", "4815162342"));
var ticket = new AuthenticationTicket(
new ClaimsPrincipal(identity),
new AuthenticationProperties(),
context.Options.AuthenticationScheme);
ticket.SetResources(new[] { "http://localhost:53844" });
ticket.SetAudiences(new [] {"http://localhost:53844"});
ticket.SetScopes(new [] {"email", "offline_access" });
context.Validated(ticket);
}
};
});
}
access_token 和 refresh_token 均已成功生成并且在授权中传递 access_token 时 header 系统将请求视为已授权。
唯一的问题是除了 NameIdentifier 之外的所有声明都没有通过。
我使用以下代码接收我对已验证请求的声明:
public class WebUserContext : IUserContext
{
private readonly IHttpContextAccessor contextAccessor;
public WebUserContext(IHttpContextAccessor contextAccessor)
{
this.contextAccessor = contextAccessor;
}
public long UserId
{
get
{
ClaimsIdentity identity = Principal?.Identity as ClaimsIdentity;
if (identity == null)
{
return -1;
}
Claim claim = identity.Claims.FirstOrDefault(c => c.Type == ClaimTypes.Name); // There is no such claim in claims collection
return long.Parse(claim.Value);
}
}
private ClaimsPrincipal Principal => contextAccessor.HttpContext.User as ClaimsPrincipal;
}
我的声明未通过或未从令牌中提取的原因是什么?
What can be the reason my claims are not passed or extracted from the token?
安全。
与 OAuthAuthorizationServerMiddleware 不同,ASOS 不假设访问令牌总是由您自己的资源服务器使用(尽管我同意这是一种常见情况)并且拒绝序列化未明确指定 "destination" 以避免将机密数据泄露给未授权方。
由于 JWT 是 ASOS beta4 (but not in the next beta) 中的默认格式,您还必须记住,即使是客户端应用程序(或用户)也可以读取您的访问令牌。
因此,您必须在声明中明确附加 "destination":
identity.AddClaim(ClaimTypes.Name, "Pinpoint", destination: "id_token token");
指定 id_token 以在身份令牌中序列化声明,token 以在访问令牌中序列化声明,或同时指定两者以在两个令牌中序列化声明(没有等效的授权代码或刷新令牌因为它们始终是加密的并且只能由授权服务器本身读取)