使用 nonce 为登录页面添加书签

Question

我正在尝试使用 Microsoft OWIN 中间件 OIDC 身份验证 v4.0.0 将 MVC4 Web 客户端与 IdentityServer 集成。从授权端点请求 ID 令牌时，必须提供随机数，并且提供的登录页面在查询字符串中包含随机数。如果用户将此添加为书签并在第二天使用它登录（例如），则客户端中的随机数验证将失败，因为他们将不再存储该随机数，或者它已过期等。

这将触发客户端中的 AuthenticationFailed 通知，但出现以下异常：

"IDX21323: RequireNonce is '[PII is hidden]'. OpenIdConnectProtocolValidationContext.Nonce was null, OpenIdConnectProtocol.ValidatedIdToken.Payload.Nonce was not null. The nonce cannot be validated. If you don't need to check the nonce, set OpenIdConnectProtocolValidator.RequireNonce to 'false'. Note if a 'nonce' is found it will be evaluated."

此时我可以处理响应，重定向到错误页面等等。如果他们随后再次尝试访问受保护的资源，由于之前成功登录（我猜是从它的角度来看？），立即重定向到 IdentityServer returns 一个 ID 令牌，这一次随机数验证并且用户是登录到客户端。但这对用户来说是一种相当奇怪的体验——他们第一次尝试登录似乎失败了，他们得到了一个错误，但是当他们再次尝试时，他们甚至不需要登录，他们直接进入了。

另一种方法是通过重定向到受保护的家庭资源来处理 AuthenticationFailed 中的此类异常，以便在后台发生 'seamlessly'。对于用户来说，他们的第一次登录尝试似乎成功了。但我不确定这是否适用于真正的 nonce 验证问题。我也担心这在某些情况下可能会导致重定向循环。

那么回到我的问题...这个为登录页面/随机数添加书签问题的常用方法是什么？我是不是犯了一个根本性的错误，或者在某个地方发现了一个根本性的误解，导致了这种情况的发生？

Answer 1

这是调用

所需的代码

UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
{
   AuthenticationType = "oidc",
   Authority = appSettings["ida:Authority"],
   ClientId = appSettings["ida:ClientId"],
   ClientSecret = appSettings["ida:ClientSecret"],
   PostLogoutRedirectUri = appSettings["ida:PostLogoutRedirectUri"],
   RedirectUri = appSettings["ida:RedirectUri"],
   RequireHttpsMetadata = false,
   ResponseType = "code id_token",
   Scope = appSettings["ida:Scope"],
   Notifications = new OpenIdConnectAuthenticationNotifications
   {
       AuthenticationFailed = authFailed =>
       {
           if (authFailed.Exception.Message.Contains("IDX21323"))
           {
              authFailed.HandleResponse();
              authFailed.OwinContext.Authentication.Challenge();
           }

           return Task.FromResult(true);
                    }
         },
      SignInAsAuthenticationType = "Cookies"
    }
});