用作另一个 IdentityServer 的外部身份提供者的 IdentityServer 无法正确重定向

IdentityServer used as external identity provider for another IdentityServer fails to properly redirect

在登录并同意后使用任何标准身份提供者(Google、Facebook)时,他们会重定向到我的主身份服务器,并让它重定向到在其中注册的隐式客户端。我怎样才能用另一个身份服务器作为外部身份提供者实现相同的行为?

我的安全架构由两个身份服务器组成,主要一个 (v3) 使用另一个 (v4) 作为外部身份提供者。隐式客户端打开一个带有主要 IdentityServer 的弹出窗口。

我在执行以下流程时遇到问题:

充当外部 IdP 的身份服务器卡在端点上:

/connect/authorize/login?client_id=primaryIdentityServer&redirect_uri=https://primaryIdentityServer.example.com/signin-oidc&response_mode=form_post&response_type=code id_token&scope=openid profile email

错误信息:

Refused to send form data to 'https://jsclient.example.com/#(...)' because it violates the following Content Security Policy directive: "form-action https://primaryIdentityServer.example.com".

外部身份提供商的主要 IdentityServer 配置:

var opts = new OpenIdConnectAuthenticationOptions {
    ClientId = "primaryServer",
    ClientSecret = "secret",
    RedirectUri = "https://primaryIdentityServer.example.com/signin-oidc",
    Authority = "https://externalIdPIdentityServer.example.com",
    ResponseType = "code id_token",
    Scope = "openid profile email",
    SignInAsAuthenticationType = signInAsType
};

app.UseOpenIdConnectAuthentication(opts);

在 IdentityServer 中注册的 IdentityServer 主要用作外部 IdP:

new Client
{
    ClientId = "primaryServer",
    AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
    RedirectUris = new List<string>
    {
        "https://primaryIdentityServer.example.com/signin-oidc"
    },
    ClientSecrets = 
    {
        new Secret("secret".Sha256())
    },

    AllowedScopes =
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        IdentityServerConstants.StandardScopes.Email
    },
    AlwaysIncludeUserClaimsInIdToken = true
}

编辑: 我注意到当我尝试在 /permissions 端点上检查我的应用程序权限并使用外部 IdentityServer 进行身份验证时,我被重定向到权限端点而没有任何问题。

编辑: 我试过切换到身份服务器之间的隐式流。从 response_type 中删除了秘密 code 并将隐式设置为允许的授权类型,我仍然收到与向我的 js 客户端发送 post 数据相同的错误,因此似乎选择了流(混合或隐式) 与此问题无关。

编辑: 我检查了身份验证过程卡住的端点的来源:

<form method='post' action='https://primaryIdentityServer.example.com/signin-oidc'><input type='hidden' name='id_token' value='{token}' />
<input type='hidden' name='access_token' value='{token}' />
<input type='hidden' name='token_type' value='Bearer' />
<input type='hidden' name='expires_in' value='3600' />
<input type='hidden' name='scope' value='openid profile' />
<input type='hidden' name='state' value='OpenIdConnect.AuthenticationProperties={props}' />
<input type='hidden' name='session_state' value='{state}' />
</form><script>(function(){document.forms[0].submit();})();</script>

使用查询参数: https://externalIdPIdentityServer.example.com/connect/authorize/consent?client_id=primaryServer&redirect_uri=https://primaryIdentityServer.example.com/signin-oidc&response_mode=form_post&response_type=token id_token&scope=openid profile&state={state}&nonce={nonce}

所以错误的原因很奇怪:

Refused to send form data to 'https://jsclient.example.com/#(...)' because it violates the following Content Security Policy directive: "form-action https://primaryIdentityServer.example.com".

因为 jsclient.example.com 未在任何地方提及。

编辑: 问题仅出现在 Chrome 中,不出现在 Firefox 或 IE Edge 中。

我已经开始在 IdentityServer4 问题中搜索 "chrome" 和 "csp" 关键字并找到了这个:https://github.com/IdentityServer/IdentityServer4/issues/659

事实证明,form-action 授权响应的 CSP 需要更改,并且从 1.0.1 开始的 IdentityServer4 版本放宽了此策略指令。

我将 IdentityServer4 从 1.0.0 更新到 1.0.2,它解决了问题。