您如何配置 ASP.Net TestHost 以使用 OpenId Connect?
How do you configure ASP.Net TestHost to work with OpenId Connect?
我有一个 ASP.Net 核心应用程序配置为发布和验证 JWT 不记名令牌。当站点托管在 Kestrel 中时,客户端能够成功检索不记名令牌并使用令牌进行身份验证。
我还有一套使用 Microsoft.AspNetCore.TestHost.TestServer 的集成测试。在添加身份验证之前,测试能够成功地向应用程序发出请求。添加身份验证后,我开始收到与访问开放 ID 配置有关的错误。我看到的具体异常是:
info: Microsoft.AspNetCore.Hosting.Internal.WebHost[1]
Request starting HTTP/1.1 GET http://
fail: Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerMiddleware[3]
Exception occurred while processing message.
System.InvalidOperationException: IDX10803: Unable to obtain configuration from: 'http://localhost/.well-known/openid-configuration'. ---> System.IO.IOException: IDX10804: Unable to retrieve document from: 'http://localhost/.well-known/openid-configuration'. ---> System.Net.Http.HttpRequestException: Response status code does not indicate success: 404 (Not Found).
根据我的研究,当权限设置为与托管服务器不同的主机时,有时会触发此问题。例如,Kestrel 在 http://localhost:5000 by default which is what I had my Authority set to initially, but upon setting it to what the TestServer is emulating (http://localhost) 运行,它仍然给出相同的错误。这是我的身份验证配置:
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
AutomaticAuthenticate = true,
AutomaticChallenge = true,
RequireHttpsMetadata = false,
TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = signingKey,
ValidateAudience = true
},
Audience = "Anything",
Authority = "http://localhost"
});
奇怪的是,直接从集成测试中尝试点击 URL 效果很好:
那么如何配置 ASP.Net TestServer 和 OpenId Connect 基础设施一起工作?
=== 编辑 ====
稍微反思一下,我想到问题是 JWT 授权内部正在尝试向 http://localhost 端口 80 发出请求,但它并没有尝试发出请求使用 TestServer,因此正在寻找真实的服务器。因为没有,所以它永远不会进行身份验证。看起来下一步是看看是否有某种方法可以关闭权限检查或以某种方式扩展基础结构以允许它使用 TestServer 作为主机。
默认情况下,JWT 基础结构确实会尝试发出 HTTP 请求。我能够通过将 JwtBearerOptions.ConfigurationManager 属性 设置为 OpenIdConnectionConfigurationRetriever() 的新实例来使其工作,该实例提供了 DI:
提供的 IDocumentResolver
ConfigurationManager = new ConfigurationManager<OpenIdConnectConfiguration>(
authority + "/.well-known/openid-configuration",
new OpenIdConnectConfigurationRetriever(),
_documentRetriever),
在生产代码中,我只是将默认值注册到我的容器 (Autofac):
builder.RegisterType<HttpDocumentRetriever>().As<IDocumentRetriever>();
我已经在我的集成测试中使用派生的设置 class,它遵循模板方法模式来配置容器,因此我能够用 returns来自 TestServer 实例的结果。
我 运行 遇到了一个额外的障碍,即当发出请求时(从 JWT 调用我的 IDocumentRetriever 发起的请求),TestServer 的客户端似乎挂起,而另一个请求已经未完成(那个请求发起请求开始),所以我必须事先发出请求并提供来自我的 IDocumentRetriever 的缓存结果:
public class TestServerDocumentRetriever : IDocumentRetriever
{
readonly IOpenIdConfigurationAccessor _openIdConfigurationAccessor;
public TestServerDocumentRetriever(IOpenIdConfigurationAccessor openIdConfigurationAccessor)
{
_openIdConfigurationAccessor = openIdConfigurationAccessor;
}
public Task<string> GetDocumentAsync(string address, CancellationToken cancel)
{
return Task.FromResult(_openIdConfigurationAccessor.GetOpenIdConfiguration());
}
}
我有一个 ASP.Net 核心应用程序配置为发布和验证 JWT 不记名令牌。当站点托管在 Kestrel 中时,客户端能够成功检索不记名令牌并使用令牌进行身份验证。
我还有一套使用 Microsoft.AspNetCore.TestHost.TestServer 的集成测试。在添加身份验证之前,测试能够成功地向应用程序发出请求。添加身份验证后,我开始收到与访问开放 ID 配置有关的错误。我看到的具体异常是:
info: Microsoft.AspNetCore.Hosting.Internal.WebHost[1]
Request starting HTTP/1.1 GET http://
fail: Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerMiddleware[3]
Exception occurred while processing message.
System.InvalidOperationException: IDX10803: Unable to obtain configuration from: 'http://localhost/.well-known/openid-configuration'. ---> System.IO.IOException: IDX10804: Unable to retrieve document from: 'http://localhost/.well-known/openid-configuration'. ---> System.Net.Http.HttpRequestException: Response status code does not indicate success: 404 (Not Found).
根据我的研究,当权限设置为与托管服务器不同的主机时,有时会触发此问题。例如,Kestrel 在 http://localhost:5000 by default which is what I had my Authority set to initially, but upon setting it to what the TestServer is emulating (http://localhost) 运行,它仍然给出相同的错误。这是我的身份验证配置:
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
AutomaticAuthenticate = true,
AutomaticChallenge = true,
RequireHttpsMetadata = false,
TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = signingKey,
ValidateAudience = true
},
Audience = "Anything",
Authority = "http://localhost"
});
奇怪的是,直接从集成测试中尝试点击 URL 效果很好:
那么如何配置 ASP.Net TestServer 和 OpenId Connect 基础设施一起工作?
=== 编辑 ====
稍微反思一下,我想到问题是 JWT 授权内部正在尝试向 http://localhost 端口 80 发出请求,但它并没有尝试发出请求使用 TestServer,因此正在寻找真实的服务器。因为没有,所以它永远不会进行身份验证。看起来下一步是看看是否有某种方法可以关闭权限检查或以某种方式扩展基础结构以允许它使用 TestServer 作为主机。
默认情况下,JWT 基础结构确实会尝试发出 HTTP 请求。我能够通过将 JwtBearerOptions.ConfigurationManager 属性 设置为 OpenIdConnectionConfigurationRetriever() 的新实例来使其工作,该实例提供了 DI:
提供的 IDocumentResolver ConfigurationManager = new ConfigurationManager<OpenIdConnectConfiguration>(
authority + "/.well-known/openid-configuration",
new OpenIdConnectConfigurationRetriever(),
_documentRetriever),
在生产代码中,我只是将默认值注册到我的容器 (Autofac):
builder.RegisterType<HttpDocumentRetriever>().As<IDocumentRetriever>();
我已经在我的集成测试中使用派生的设置 class,它遵循模板方法模式来配置容器,因此我能够用 returns来自 TestServer 实例的结果。
我 运行 遇到了一个额外的障碍,即当发出请求时(从 JWT 调用我的 IDocumentRetriever 发起的请求),TestServer 的客户端似乎挂起,而另一个请求已经未完成(那个请求发起请求开始),所以我必须事先发出请求并提供来自我的 IDocumentRetriever 的缓存结果:
public class TestServerDocumentRetriever : IDocumentRetriever
{
readonly IOpenIdConfigurationAccessor _openIdConfigurationAccessor;
public TestServerDocumentRetriever(IOpenIdConfigurationAccessor openIdConfigurationAccessor)
{
_openIdConfigurationAccessor = openIdConfigurationAccessor;
}
public Task<string> GetDocumentAsync(string address, CancellationToken cancel)
{
return Task.FromResult(_openIdConfigurationAccessor.GetOpenIdConfiguration());
}
}