为什么 IdentityServer 重定向到 http 而不是 https?

Why is IdentityServer redirecting to http rather than https?

我有一个非常简单的 MVC5 网站,我正在尝试使用 IdentityServer3 保护它。

我的网站和我的 IdentityServer 实例都作为单独的站点托管在 AppHarbor 中。两者都在 https 之后。

当我访问我网站中受 [Authorize] 属性(例如 /Home/About)保护的资源时,我被成功重定向到 IdentityServer,并且我可以成功进行身份验证。

当 IdentityServer 将其响应 POST 回网站(通过 app.FormPostResponse.js)时,网站会按预期响应 302 重定向到所请求的资源。但是,此重定向是 http,而不是 https(请参阅下面的网络跟踪)。

我确定这只是我的 IdentityServer 配置有问题,但如果有人指出我的错误,我将不胜感激。

(AppHarbor 在 IIS 前面使用反向代理(我相信是 nginx),SSL 在那里终止 - 所以根据 IdentityServer 文档,我有 RequireSsl = false 用于这种情况。)

这是我网站的 Startup.cs

public class Startup
{
    public void Configuration(IAppBuilder app)
    {
        app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
            AuthenticationType = "Cookies"
        });

        app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
        {
            Authority = "https://<my-idsrv3>.apphb.com/identity",

            ClientId = "<my-client-id>",
            Scope = "openid profile roles email",
            RedirectUri = "https://<my-website>.apphb.com",
            ResponseType = "id_token",

            SignInAsAuthenticationType = "Cookies",

            UseTokenLifetime = false
        });

        JwtSecurityTokenHandler.InboundClaimTypeMap = new Dictionary<string, string>();
    }
}

这是来自我的 IdentityServer3 实例的Startup.cs:

public class Startup
{
    public void Configuration(IAppBuilder app)
    {
        app.Map("/identity", idsrvApp =>
        {
            idsrvApp.UseIdentityServer(new IdentityServerOptions
            {
                SiteName = "My Identity Server",
                SigningCertificate = Certificates.LoadSigningCertificate(),
                RequireSsl = false,
                PublicOrigin = "https://<my-idsrv3>.apphb.com",

                Factory = new IdentityServerServiceFactory()
                    .UseInMemoryUsers(Users.Get())
                    .UseInMemoryClients(Clients.Get())
                    .UseInMemoryScopes(Scopes.Get())
            });
        });
    }
}

这是我的网站客户端的定义:

new Client
{
    Enabled = true,
    ClientName = "My Website Client",
    ClientId = "<my-client-id>",
    Flow = Flows.Implicit,

    RedirectUris = new List<string>
    {
        "https://<my-website>.apphb.com"
    },

    AllowAccessToAllScopes = true
}

这是在 IdentityServer 同意屏幕上单击 'Yes, Allow' 后来自 Chrome 的跟踪:

看来这个问题是由我的客户网站在 SSL 终止的 nginx 前端后面引起的。

参考this GitHub issue,我在网站应用程序配置的开头添加了以下内容:

app.Use(async (ctx, next) =>
{
    string proto = ctx.Request.Headers.Get("X-Forwarded-Proto");
    if (!string.IsNullOrEmpty(proto))
    {
        ctx.Request.Scheme = proto;
    }
    await next();
});

这让网站知道传入的请求是通过 https 发出的;这反过来似乎可以确保 IdentityServer3 中间件生成 https uri。

在 Azure 应用服务中遇到了同样的问题 运行 identityserver4。即使使用强制 https.well-known/openid-configuration 中生成的 url 仍然是 http://.

使用与其他答案相同的解决方案修复,但使用 AspNetCore ForwardedHeadersExtensions:

var forwardOptions = new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto,
    // Needed because of mixing http and https.
    RequireHeaderSymmetry = false,
};

// Accept X-Forwarded-* headers from all sources.
forwardOptions.KnownNetworks.Clear();
forwardOptions.KnownProxies.Clear();

app.UseForwardedHeaders(forwardOptions);

有关此主题的更多讨论,另请参阅 https://github.com/IdentityServer/IdentityServer4/issues/1331

在您的启动项中添加转发headers

    services.Configure<ForwardedHeadersOptions>(options =>
    {
        options.ForwardedHeaders =
            ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto | ForwardedHeaders.XForwardedHost;
    });

    app.UseForwardedHeaders(new ForwardedHeadersOptions()
    {
        ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
    });

最后告诉配置它必须将重定向中的 http 替换为 https url。我仍在寻找更好的方法来实现它。

在你的 .addopenidconnect() 添加:

 Func<RedirectContext, Task> redirectToIdentityProvider = (ctx) =>
                     {
                         if (!ctx.ProtocolMessage.RedirectUri.StartsWith("https") && !ctx.ProtocolMessage.RedirectUri.Contains("localhost"))
                             ctx.ProtocolMessage.RedirectUri = ctx.ProtocolMessage.RedirectUri.Replace("http", "https");
                         return Task.FromResult(0);
                     };
                     opt.Events = new OpenIdConnectEvents
                     {
                         OnRedirectToIdentityProvider = redirectToIdentityProvider
                     };