Rich Twitter Digits/Google 使用 OpenIdDictServer 进行身份验证
Rich Twitter Digits/Google Auth with OpenIdDictServer
我们的应用程序需要通过手机号码或 Google 登录。我们正计划将 Twitter Digits 用于手机号码认证。
我理解的注册和认证流程如下:
移动应用程序使用 Twitter 数字或 Google 登录进行丰富的身份验证(用户进行丰富的身份验证而不是打开 Web 浏览器选项卡的用户体验更好)。 Twitter 数字 / Google 登录 returns 身份令牌。
移动应用调用 AuthServer 登录并出示身份令牌。
身份服务器使用数字服务或 Google 身份验证服务验证提供的身份令牌。
验证后,AuthServer 将尝试查找用户,如果不存在,它将创建一个。
AuthServer returns 移动应用程序的访问令牌。
现在,我正在寻找实施步骤 #3-4 的选项。
目前,我所做的是修改将用户名作为 phone 号码或电子邮件地址和密码作为 Google/Twitter 数字 ID 令牌发送的令牌端点代码。现在,由于 auth 服务器需要知道发送的密码实际上是一个需要用第三方服务验证的令牌,我通过在 TokenHint 中发送服务名称“Digits”或“Google”来解决这个问题。
效果很好,但我想知道支持我想要实现的目标的最干净的方法是什么。
This works very well, but I am wondering what is the cleanest way to support what I am trying to achieve.
我个人会选择自定义赠款类型:
[HttpPost("~/connect/token")]
[Produces("application/json")]
public IActionResult Exchange(OpenIdConnectRequest request)
{
if (request.GrantType == "urn:ietf:params:oauth:grant-type:google_identity_token")
{
// Reject the request if the "assertion" parameter is missing.
if (string.IsNullOrEmpty(request.Assertion))
{
return BadRequest(new OpenIdConnectResponse
{
Error = OpenIdConnectConstants.Errors.InvalidRequest,
ErrorDescription = "The mandatory 'assertion' parameter was missing."
});
}
// Create a new ClaimsIdentity containing the claims that
// will be used to create an id_token and/or an access token.
var identity = new ClaimsIdentity(OpenIdConnectServerDefaults.AuthenticationScheme);
// Manually validate the identity token issued by Google,
// including the issuer, the signature and the audience.
// Then, copy the claims you need to the "identity" instance.
// Create a new authentication ticket holding the user identity.
var ticket = new AuthenticationTicket(
new ClaimsPrincipal(identity),
new AuthenticationProperties(),
OpenIdConnectServerDefaults.AuthenticationScheme);
ticket.SetScopes(
OpenIdConnectConstants.Scopes.OpenId,
OpenIdConnectConstants.Scopes.OfflineAccess);
return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme);
}
return BadRequest(new OpenIdConnectResponse
{
Error = OpenIdConnectConstants.Errors.UnsupportedGrantType,
ErrorDescription = "The specified grant type is not supported."
});
}
请注意,您还必须在 OpenIddict 选项中启用它:
// Register the OpenIddict services.
services.AddOpenIddict()
// Register the Entity Framework stores.
.AddEntityFrameworkCoreStores<ApplicationDbContext>()
// Register the ASP.NET Core MVC binder used by OpenIddict.
// Note: if you don't call this method, you won't be able to
// bind OpenIdConnectRequest or OpenIdConnectResponse parameters.
.AddMvcBinders()
// Enable the token endpoint.
.EnableTokenEndpoint("/connect/token")
// Enable the refresh token flow and a custom grant type.
.AllowRefreshTokenFlow()
.AllowCustomFlow("urn:ietf:params:oauth:grant-type:google_identity_token")
// During development, you can disable the HTTPS requirement.
.DisableHttpsRequirement();
发送令牌请求时,确保使用正确的 grant_type 并将您的 id_token 作为 assertion 参数发送,它应该可以工作。
这是一个使用 Facebook 访问令牌的示例:
在实施令牌验证例程时要格外小心,因为这一步特别容易出错。验证所有内容非常重要,包括观众(否则,your server would be vulnerable to confused deputy attacks)。
我们的应用程序需要通过手机号码或 Google 登录。我们正计划将 Twitter Digits 用于手机号码认证。
我理解的注册和认证流程如下:
移动应用程序使用 Twitter 数字或 Google 登录进行丰富的身份验证(用户进行丰富的身份验证而不是打开 Web 浏览器选项卡的用户体验更好)。 Twitter 数字 / Google 登录 returns 身份令牌。
移动应用调用 AuthServer 登录并出示身份令牌。
身份服务器使用数字服务或 Google 身份验证服务验证提供的身份令牌。
验证后,AuthServer 将尝试查找用户,如果不存在,它将创建一个。
AuthServer returns 移动应用程序的访问令牌。
现在,我正在寻找实施步骤 #3-4 的选项。
目前,我所做的是修改将用户名作为 phone 号码或电子邮件地址和密码作为 Google/Twitter 数字 ID 令牌发送的令牌端点代码。现在,由于 auth 服务器需要知道发送的密码实际上是一个需要用第三方服务验证的令牌,我通过在 TokenHint 中发送服务名称“Digits”或“Google”来解决这个问题。
效果很好,但我想知道支持我想要实现的目标的最干净的方法是什么。
This works very well, but I am wondering what is the cleanest way to support what I am trying to achieve.
我个人会选择自定义赠款类型:
[HttpPost("~/connect/token")]
[Produces("application/json")]
public IActionResult Exchange(OpenIdConnectRequest request)
{
if (request.GrantType == "urn:ietf:params:oauth:grant-type:google_identity_token")
{
// Reject the request if the "assertion" parameter is missing.
if (string.IsNullOrEmpty(request.Assertion))
{
return BadRequest(new OpenIdConnectResponse
{
Error = OpenIdConnectConstants.Errors.InvalidRequest,
ErrorDescription = "The mandatory 'assertion' parameter was missing."
});
}
// Create a new ClaimsIdentity containing the claims that
// will be used to create an id_token and/or an access token.
var identity = new ClaimsIdentity(OpenIdConnectServerDefaults.AuthenticationScheme);
// Manually validate the identity token issued by Google,
// including the issuer, the signature and the audience.
// Then, copy the claims you need to the "identity" instance.
// Create a new authentication ticket holding the user identity.
var ticket = new AuthenticationTicket(
new ClaimsPrincipal(identity),
new AuthenticationProperties(),
OpenIdConnectServerDefaults.AuthenticationScheme);
ticket.SetScopes(
OpenIdConnectConstants.Scopes.OpenId,
OpenIdConnectConstants.Scopes.OfflineAccess);
return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme);
}
return BadRequest(new OpenIdConnectResponse
{
Error = OpenIdConnectConstants.Errors.UnsupportedGrantType,
ErrorDescription = "The specified grant type is not supported."
});
}
请注意,您还必须在 OpenIddict 选项中启用它:
// Register the OpenIddict services.
services.AddOpenIddict()
// Register the Entity Framework stores.
.AddEntityFrameworkCoreStores<ApplicationDbContext>()
// Register the ASP.NET Core MVC binder used by OpenIddict.
// Note: if you don't call this method, you won't be able to
// bind OpenIdConnectRequest or OpenIdConnectResponse parameters.
.AddMvcBinders()
// Enable the token endpoint.
.EnableTokenEndpoint("/connect/token")
// Enable the refresh token flow and a custom grant type.
.AllowRefreshTokenFlow()
.AllowCustomFlow("urn:ietf:params:oauth:grant-type:google_identity_token")
// During development, you can disable the HTTPS requirement.
.DisableHttpsRequirement();
发送令牌请求时,确保使用正确的 grant_type 并将您的 id_token 作为 assertion 参数发送,它应该可以工作。
这是一个使用 Facebook 访问令牌的示例:
在实施令牌验证例程时要格外小心,因为这一步特别容易出错。验证所有内容非常重要,包括观众(否则,your server would be vulnerable to confused deputy attacks)。