IdentityServer4 分别对每个客户端进行身份验证
IdentityServer4 authenticate each client separately
我使用两个不同的客户端。 IdentityServer4 提供 API 保护和登录表单。我可以配置客户端以避免单点登录吗?我的意思是,即使我登录了第一个客户端,我也需要登录第二个客户端。
我的 ID4 配置:
internal static IEnumerable<Client> GetClients(IEnumerable<RegisteredClient> clients)
{
return clients.Select(x =>
{
var scopes = x.AllowedScopes.ToList();
scopes.Add(IdentityServerConstants.StandardScopes.OpenId);
scopes.Add(IdentityServerConstants.StandardScopes.Profile);
scopes.Add(IdentityServerConstants.StandardScopes.OfflineAccess);
var client = new Client
{
ClientId = x.Id,
ClientName = x.Name,
AllowedGrantTypes = GrantTypes.Hybrid,
RequireConsent = false,
RefreshTokenExpiration = TokenExpiration.Sliding,
RefreshTokenUsage = TokenUsage.ReUse,
ClientSecrets = {new Secret(x.Secret.Sha256())},
RedirectUris = new[] {$"{x.Url}/signin-oidc"},
PostLogoutRedirectUris = new[] {$"{x.Url}/signout-callback-oidc"},
UpdateAccessTokenClaimsOnRefresh = true,
AllowAccessTokensViaBrowser = true,
AllowedScopes = scopes,
AllowedCorsOrigins = {x.Url},
AllowOfflineAccess = true
};
return client;
});
}
所有客户端都有相同的注册码(可能是问题):
const string oidcScheme = "oidc";
const string coockieScheme = CookieAuthenticationDefaults.AuthenticationScheme;
services.AddAuthentication(options =>
{
options.DefaultScheme = coockieScheme;
options.DefaultChallengeScheme = oidcScheme;
})
.AddCookie(coockieScheme)
.AddOpenIdConnect(oidcScheme, options =>
{
options.SignInScheme = coockieScheme;
options.Authority = identitySettings.Authority;
options.RequireHttpsMetadata = false;
options.ClientId = identitySettings.Id;
options.ClientSecret = identitySettings.Secret;
options.ResponseType = "code id_token";
options.Scope.Add("offline_access");
foreach (var scope in identitySettings.Scopes)
{
options.Scope.Add(scope);
}
options.GetClaimsFromUserInfoEndpoint = true;
options.SaveTokens = true;
});
任何帮助都会有用。
只要您在同一个浏览器会话中,并且您的应用程序具有相同的权限(使用相同的身份服务器),这将不起作用。
我将向您解释原因 - 一旦您从第一个客户端登录,Identity Server 就会创建一个 cookie(其中包含所需的所有相关数据)。
现在是第二个客户端 - 授权机构(身份服务器)与发出 cookie 的机构相同。因此 Identity Server 识别您的会话,看到您已经通过身份验证并将您重定向到第二个客户端,而不要求提供凭据。
毕竟这是Identity Server的想法:
IdentityServer4 is an OpenID Connect and OAuth 2.0 framework for ASP.NET Core 2.
It enables the following features in your applications:
Authentication as a Service
Centralized login logic and workflow for all of your applications (web, native, mobile, services). IdentityServer is an officially certified implementation of OpenID Connect.
Single Sign-on / Sign-out
Single sign-on (and out) over multiple application types.
and more....
这是来自 official documentation.
您必须为每个客户端寻求不同的权限(Identity Server 实例),或者重新考虑 Identity Server 在这种情况下是否适合您。
不推荐
我不推荐这样做,因为它会覆盖 Identity Server 的 SSO 想法,但是如果您仍然想这样做 - 如果您覆盖 IProfileService,您可以实现您想要的。有一个方法 public Task IsActiveAsync(IsActiveContext context) 并且此上下文有一个 属性 IsActive 来确定当前主体在当前客户端中是否处于活动状态。
您可以在这里尝试实现一些自定义逻辑,并根据用户ID(context.Subject.GetSubjectId())和客户端ID(context.Client.ClientId)来判断用户是否已经登录此客户端或不。
编辑
在你的评论之后 - 这不是来自 Identity Server 的 OOTB(如果我可以这样说的话),但幸运的是你有一个选择。
Policy based authorization 每个客户。像这样,您的用户可以针对 Identity Server(及其所有客户端)验证,但只有特定的客户端才会授权他。您可以将此策略视为自定义授权属性(或多或少)。
像这样,用户将在客户端收到未经授权的消息,他.. 未被授权。希望这能解决问题并有所帮助:)
您可以从所有客户端设置 prompt=login。
prompt
none - no UI will be shown during the request. If this is not possible (e.g. because the user has to sign in or consent) an error is returned
login - the login UI will be shown, even if the user is already signed-in and has a valid session
https://identityserver4.readthedocs.io/en/latest/endpoints/authorize.html
这将强制第二个客户端重新登录,而不管前一个客户端的登录状态。
我使用两个不同的客户端。 IdentityServer4 提供 API 保护和登录表单。我可以配置客户端以避免单点登录吗?我的意思是,即使我登录了第一个客户端,我也需要登录第二个客户端。
我的 ID4 配置:
internal static IEnumerable<Client> GetClients(IEnumerable<RegisteredClient> clients)
{
return clients.Select(x =>
{
var scopes = x.AllowedScopes.ToList();
scopes.Add(IdentityServerConstants.StandardScopes.OpenId);
scopes.Add(IdentityServerConstants.StandardScopes.Profile);
scopes.Add(IdentityServerConstants.StandardScopes.OfflineAccess);
var client = new Client
{
ClientId = x.Id,
ClientName = x.Name,
AllowedGrantTypes = GrantTypes.Hybrid,
RequireConsent = false,
RefreshTokenExpiration = TokenExpiration.Sliding,
RefreshTokenUsage = TokenUsage.ReUse,
ClientSecrets = {new Secret(x.Secret.Sha256())},
RedirectUris = new[] {$"{x.Url}/signin-oidc"},
PostLogoutRedirectUris = new[] {$"{x.Url}/signout-callback-oidc"},
UpdateAccessTokenClaimsOnRefresh = true,
AllowAccessTokensViaBrowser = true,
AllowedScopes = scopes,
AllowedCorsOrigins = {x.Url},
AllowOfflineAccess = true
};
return client;
});
}
所有客户端都有相同的注册码(可能是问题):
const string oidcScheme = "oidc";
const string coockieScheme = CookieAuthenticationDefaults.AuthenticationScheme;
services.AddAuthentication(options =>
{
options.DefaultScheme = coockieScheme;
options.DefaultChallengeScheme = oidcScheme;
})
.AddCookie(coockieScheme)
.AddOpenIdConnect(oidcScheme, options =>
{
options.SignInScheme = coockieScheme;
options.Authority = identitySettings.Authority;
options.RequireHttpsMetadata = false;
options.ClientId = identitySettings.Id;
options.ClientSecret = identitySettings.Secret;
options.ResponseType = "code id_token";
options.Scope.Add("offline_access");
foreach (var scope in identitySettings.Scopes)
{
options.Scope.Add(scope);
}
options.GetClaimsFromUserInfoEndpoint = true;
options.SaveTokens = true;
});
任何帮助都会有用。
只要您在同一个浏览器会话中,并且您的应用程序具有相同的权限(使用相同的身份服务器),这将不起作用。
我将向您解释原因 - 一旦您从第一个客户端登录,Identity Server 就会创建一个 cookie(其中包含所需的所有相关数据)。
现在是第二个客户端 - 授权机构(身份服务器)与发出 cookie 的机构相同。因此 Identity Server 识别您的会话,看到您已经通过身份验证并将您重定向到第二个客户端,而不要求提供凭据。
毕竟这是Identity Server的想法:
IdentityServer4 is an OpenID Connect and OAuth 2.0 framework for ASP.NET Core 2.
It enables the following features in your applications:
Authentication as a Service
Centralized login logic and workflow for all of your applications (web, native, mobile, services). IdentityServer is an officially certified implementation of OpenID Connect.
Single Sign-on / Sign-out
Single sign-on (and out) over multiple application types.
and more....
这是来自 official documentation.
您必须为每个客户端寻求不同的权限(Identity Server 实例),或者重新考虑 Identity Server 在这种情况下是否适合您。
不推荐
我不推荐这样做,因为它会覆盖 Identity Server 的 SSO 想法,但是如果您仍然想这样做 - 如果您覆盖 IProfileService,您可以实现您想要的。有一个方法 public Task IsActiveAsync(IsActiveContext context) 并且此上下文有一个 属性 IsActive 来确定当前主体在当前客户端中是否处于活动状态。
您可以在这里尝试实现一些自定义逻辑,并根据用户ID(context.Subject.GetSubjectId())和客户端ID(context.Client.ClientId)来判断用户是否已经登录此客户端或不。
编辑
在你的评论之后 - 这不是来自 Identity Server 的 OOTB(如果我可以这样说的话),但幸运的是你有一个选择。
Policy based authorization 每个客户。像这样,您的用户可以针对 Identity Server(及其所有客户端)验证,但只有特定的客户端才会授权他。您可以将此策略视为自定义授权属性(或多或少)。
像这样,用户将在客户端收到未经授权的消息,他.. 未被授权。希望这能解决问题并有所帮助:)
您可以从所有客户端设置 prompt=login。
prompt
none - no UI will be shown during the request. If this is not possible (e.g. because the user has to sign in or consent) an error is returned
login - the login UI will be shown, even if the user is already signed-in and has a valid session
https://identityserver4.readthedocs.io/en/latest/endpoints/authorize.html
这将强制第二个客户端重新登录,而不管前一个客户端的登录状态。