使用 Identity Server 3,ClaimsPrinciple 即使在不记名令牌身份验证成功后仍为空
Using Identity Server 3, ClaimsPrinciple null even after successful bearer token authentication
我有一个测试控制台应用程序,我指向 Identity Server 3 的本地实例以请求访问令牌。以下代码执行此操作并且 returns 我的令牌很好(传递单个范围 "scope.test.client")。
static TokenResponse GetClientToken(string clientId, string clientSecret, string[] scopes)
{
var uri = new Uri(string.Concat(ID_BASE_URI, ID_URL_TOKEN));
var client = new TokenClient(
uri.AbsoluteUri,
clientId,
clientSecret);
return client.RequestClientCredentialsAsync(string.Join(" ", scopes)).Result;
然后我使用这个令牌在本地调用 API 也 运行。这将获取上面获得的 TokenResponse 并将其传递给此方法:
static void CallApi(string url, TokenResponse response)
{
try
{
using (var client = new HttpClient())
{
client.SetBearerToken(response.AccessToken);
Console.WriteLine(client.GetStringAsync(url).Result);
}
}
catch (Exception x)
{
Console.WriteLine(string.Format("Exception: {0}", x.Message));
}
}
API(一个 ASP.NET WebApi 项目)使用 Owin Startup class 对所有请求强制执行不记名令牌身份验证:
appBuilder.Map(baseApiUrl, inner =>
{
inner.UseWebApi(GlobalConfiguration.Configuration);
// Enforce bearer token authentication for all API requests
inner.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
{
Authority = "https://identityserver/core",
ValidationMode = ValidationMode.ValidationEndpoint,
RequiredScopes = new[] { "scope.test.client" }
});
});
它还确保所有 API 请求都由自定义授权属性处理:
GlobalConfiguration.Configuration.Filters.Add(new DefaultApiAuthorizeAttribute());
调试此 API,我覆盖的 OnAuthorize 方法(在 DefaultApiAuthorizeAttribute 中)的第一行是:
var caller = actionContext.RequestContext.Principal as System.Security.Claims.ClaimsPrincipal;
如果我在此行中断,我可以看到 actionContext.RequestContext.Principal 始终为空。但是,我可以看到 ((System.Web.Http.Owin.OwinHttpRequestContext)actionContext.RequestContext).Request.Headers 包含一个授权 header,其中包含从我的控制台应用程序传递的不记名令牌。
所以 API 项目似乎没有验证不记名令牌。当然,Identity Server 日志表明它在发出初始访问令牌后根本没有被击中。因此,我非常感谢您就为什么不会发生这种情况提供专家建议,或者至少提供一些有关查找位置的指示。
我怀疑这可能与 SSL 有关。这两个站点都在 self-signed SSL 证书下本地托管,尽管 Identity Server 配置为不需要 SSL 并使用 idsrv3test.pfx 开发证书进行签名。我有另一个测试 MVC 网络应用程序,它将身份验证委托给在本地运行良好的同一个 IS3 实例,所以我相信我的 IS3 实例配置正确。
您需要先致电 UseIdentityServerBearerTokenAuthentication ,然后 致电 UseWebApi。设置 OWIN 中间件管道时,顺序很重要。
在您的情况下,Web API 将在将请求发送到 Identity Server 之前处理您的请求(如果它们被发送的话)。
我认为一系列可能的问题可能会产生我所描述的影响,但就我而言,我能够通过向我的消费 API 添加诊断日志来找到原因。这使我发现问题是程序集冲突。 Owin 中间件正在寻找版本为 8.0.0.0 的 Newtonsoft.JSON 程序集,但我使用的 API(实际上 运行 在 CMS 实例之上)使用的是 7.0.0.0.
对于想要快速找到答案而不是花费数小时调整配置的任何其他人,这里是描述如何添加此日志记录的文档:https://identityserver.github.io/Documentation/docsv2/consuming/diagnostics.html
我有一个测试控制台应用程序,我指向 Identity Server 3 的本地实例以请求访问令牌。以下代码执行此操作并且 returns 我的令牌很好(传递单个范围 "scope.test.client")。
static TokenResponse GetClientToken(string clientId, string clientSecret, string[] scopes)
{
var uri = new Uri(string.Concat(ID_BASE_URI, ID_URL_TOKEN));
var client = new TokenClient(
uri.AbsoluteUri,
clientId,
clientSecret);
return client.RequestClientCredentialsAsync(string.Join(" ", scopes)).Result;
然后我使用这个令牌在本地调用 API 也 运行。这将获取上面获得的 TokenResponse 并将其传递给此方法:
static void CallApi(string url, TokenResponse response)
{
try
{
using (var client = new HttpClient())
{
client.SetBearerToken(response.AccessToken);
Console.WriteLine(client.GetStringAsync(url).Result);
}
}
catch (Exception x)
{
Console.WriteLine(string.Format("Exception: {0}", x.Message));
}
}
API(一个 ASP.NET WebApi 项目)使用 Owin Startup class 对所有请求强制执行不记名令牌身份验证:
appBuilder.Map(baseApiUrl, inner =>
{
inner.UseWebApi(GlobalConfiguration.Configuration);
// Enforce bearer token authentication for all API requests
inner.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
{
Authority = "https://identityserver/core",
ValidationMode = ValidationMode.ValidationEndpoint,
RequiredScopes = new[] { "scope.test.client" }
});
});
它还确保所有 API 请求都由自定义授权属性处理:
GlobalConfiguration.Configuration.Filters.Add(new DefaultApiAuthorizeAttribute());
调试此 API,我覆盖的 OnAuthorize 方法(在 DefaultApiAuthorizeAttribute 中)的第一行是:
var caller = actionContext.RequestContext.Principal as System.Security.Claims.ClaimsPrincipal;
如果我在此行中断,我可以看到 actionContext.RequestContext.Principal 始终为空。但是,我可以看到 ((System.Web.Http.Owin.OwinHttpRequestContext)actionContext.RequestContext).Request.Headers 包含一个授权 header,其中包含从我的控制台应用程序传递的不记名令牌。
所以 API 项目似乎没有验证不记名令牌。当然,Identity Server 日志表明它在发出初始访问令牌后根本没有被击中。因此,我非常感谢您就为什么不会发生这种情况提供专家建议,或者至少提供一些有关查找位置的指示。
我怀疑这可能与 SSL 有关。这两个站点都在 self-signed SSL 证书下本地托管,尽管 Identity Server 配置为不需要 SSL 并使用 idsrv3test.pfx 开发证书进行签名。我有另一个测试 MVC 网络应用程序,它将身份验证委托给在本地运行良好的同一个 IS3 实例,所以我相信我的 IS3 实例配置正确。
您需要先致电 UseIdentityServerBearerTokenAuthentication ,然后 致电 UseWebApi。设置 OWIN 中间件管道时,顺序很重要。
在您的情况下,Web API 将在将请求发送到 Identity Server 之前处理您的请求(如果它们被发送的话)。
我认为一系列可能的问题可能会产生我所描述的影响,但就我而言,我能够通过向我的消费 API 添加诊断日志来找到原因。这使我发现问题是程序集冲突。 Owin 中间件正在寻找版本为 8.0.0.0 的 Newtonsoft.JSON 程序集,但我使用的 API(实际上 运行 在 CMS 实例之上)使用的是 7.0.0.0.
对于想要快速找到答案而不是花费数小时调整配置的任何其他人,这里是描述如何添加此日志记录的文档:https://identityserver.github.io/Documentation/docsv2/consuming/diagnostics.html