无法调用具有有效访问令牌的 IdentityServer 保护的 Web API
Unable to call Web API Secured with IdentityServer with valid Access token
我正在申请调用 Web API 使用 IdentityServer 保护的代码如下。
var accessToken = await HttpContext.GetTokenAsync("access_token");
var data = new List<WeatherForecast>();
using (var client = new HttpClient())
{
client.SetBearerToken(accessToken);
var result = await client.GetAsync("https://localhost:6001/WeatherForecast");
if (result.IsSuccessStatusCode)
{
var model = await result.Content.ReadAsStringAsync();
data = JsonConvert.DeserializeObject<List<WeatherForecast>>(model);
}
else
{
throw new Exception("Failed to get Data from API");
}
}
此代码失败,日志中显示 用户未通过身份验证。这段代码实际上是在用户通过 IdentityServer 进行身份验证后执行的。所以代码行:
var accessToken = await HttpContext.GetTokenAsync("access_token");
正在向我提供 accessToken。但是WebAPI不叫,为什么??
我测试了在 Postman 上使用相同的访问令牌调用网络 api,它能够调用网络 api.
所以我认为我的 OpenID Connect 设置有问题。我使用的 OpenID 连接设置是:
services.AddAuthentication(options =>
{
options.DefaultScheme = "Cookies";
options.DefaultChallengeScheme = "oidc";
})
.AddCookie("Cookies")
.AddJwtBearer(options =>
{
options.Authority = "https://localhost:5001";
options.Audience = "Bond";
})
.AddOpenIdConnect("oidc", options =>
{
options.Authority = "https://localhost:5001";
options.ClientId = "xena";
options.ResponseType = "code";
options.Scope.Add("openid");
options.Scope.Add("profile");
options.Scope.Add("fullaccess");
options.SaveTokens = true;
});
我在 OpenID Connect 中尝试了很多设置,但似乎没有任何效果。我正在向您展示工作原理和问题。
Here you can see the authentication part:
Here you can see the problem.
身份验证后,我访问了 URL,其中调用了 Web API。我通过此行获得令牌:
var accessToken = await HttpContext.GetTokenAsync("access_token")
但是当我使用令牌进行 api 调用时,我在控制台日志中得到显示登录:用户未通过身份验证。见下图:
问题是用户已经通过身份验证,否则我无法获得访问令牌。
我对这个问题进行了深入研究,并在 api 调用代码上设置了一个断点。我发现对 api 的调用被重定向到这个 url:
Account/Login?ReturnUrl=%2Fconnect%2Fauthorize%2Fcallback%3Fclient_id%3Dzorro%26redirect_uri%3Dhttps%253A%252F%252Flocalhost%253A6001%252Fsignin-oidc%26response_type%3Dcode%26scope%3Dopenid%2520profile%2520fullaccess%26code_challenge%3Dwd31qWo2SpjTuncroM6qkWSvhFg-rKDVcicPOrp3-6E%26code_challenge_method%3DS256%26response_mode%3Dform_post%26nonce%3D637629779176334831.MTUwZjRlODgtZmJhYi00Y2I3LWFlYmQtNGYzNWViZmM1NWNjOWI1NDg4YTItMGI5Yy00MTk3LTk0OTQtMDIxMWI5YTg1NGIw%26state%3DCfDJ8Cuukidn-CJOlLfkzyfYd36FVs9F-zMJ_0v67GE7qgtpnN8Zd10Gnkwbhm2VgMnLCt3pihVGA3jhXFF2rYrBaj8z-j1muaq8BgUcM4Ay3yjR1i2D4gm3JrXtAUGQAulW8CqC3XWbXvS8b3U8srEXVFP2qGW91jejBVJ9YCc1v-3gTYaRmRuf45DM3Kx1bDML7Yz7s1wKyXjvSE5aS5Bq78az3gXpqOC7GIciNJ2UELFtDSJF14GEYwtHM53Ehv3p_XvU86RCYwzH9jU9CzoCeIx6ScKbRi0hTp9nybNgj3PlOvzMZWg4taxiOK3yKxroFEK_GGAY9oK_ZzsRodVcoJp-2BGA_yceJbU0GeoPic111cjUC4_ml1r_gBiq-o7dDBWRRJsFyScGVRNDj8vyL7k%26x-client-SKU%3DID_NETSTANDARD2_0%26x-client-ver%3D6.7.1.0
很明显,应用程序断定我没有经过身份验证,所以我无法进行 api 调用。但是我已经认证了,请问如何解决?
据我所知,HttpContext.GetTokenAsync方法会根据认证方案获取token。
我建议您尝试指定身份验证方案并重试。如下所示:
var re = HttpContext.GetTokenAsync("oidc", "access_token");
我的建议是把WEBAPI放在自己的服务上,遵循关注点分离的原则。当您将 IdentityServer 和 Web 应用程序与 API 混合使用时,您是在自找麻烦。
我通过将 Web API 中的 [Authorize] 属性更改为:
找到了解决方案
[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]
然后还在客户端项目(包含 Web API)的 Starup.cs 上添加授权。
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme);
// other authorization of oidc which is given in the question itself.
我正在申请调用 Web API 使用 IdentityServer 保护的代码如下。
var accessToken = await HttpContext.GetTokenAsync("access_token");
var data = new List<WeatherForecast>();
using (var client = new HttpClient())
{
client.SetBearerToken(accessToken);
var result = await client.GetAsync("https://localhost:6001/WeatherForecast");
if (result.IsSuccessStatusCode)
{
var model = await result.Content.ReadAsStringAsync();
data = JsonConvert.DeserializeObject<List<WeatherForecast>>(model);
}
else
{
throw new Exception("Failed to get Data from API");
}
}
此代码失败,日志中显示 用户未通过身份验证。这段代码实际上是在用户通过 IdentityServer 进行身份验证后执行的。所以代码行:
var accessToken = await HttpContext.GetTokenAsync("access_token");
正在向我提供 accessToken。但是WebAPI不叫,为什么?? 我测试了在 Postman 上使用相同的访问令牌调用网络 api,它能够调用网络 api.
所以我认为我的 OpenID Connect 设置有问题。我使用的 OpenID 连接设置是:
services.AddAuthentication(options =>
{
options.DefaultScheme = "Cookies";
options.DefaultChallengeScheme = "oidc";
})
.AddCookie("Cookies")
.AddJwtBearer(options =>
{
options.Authority = "https://localhost:5001";
options.Audience = "Bond";
})
.AddOpenIdConnect("oidc", options =>
{
options.Authority = "https://localhost:5001";
options.ClientId = "xena";
options.ResponseType = "code";
options.Scope.Add("openid");
options.Scope.Add("profile");
options.Scope.Add("fullaccess");
options.SaveTokens = true;
});
我在 OpenID Connect 中尝试了很多设置,但似乎没有任何效果。我正在向您展示工作原理和问题。
Here you can see the authentication part:
Here you can see the problem.
身份验证后,我访问了 URL,其中调用了 Web API。我通过此行获得令牌:
var accessToken = await HttpContext.GetTokenAsync("access_token")
但是当我使用令牌进行 api 调用时,我在控制台日志中得到显示登录:用户未通过身份验证。见下图:
问题是用户已经通过身份验证,否则我无法获得访问令牌。
我对这个问题进行了深入研究,并在 api 调用代码上设置了一个断点。我发现对 api 的调用被重定向到这个 url:
Account/Login?ReturnUrl=%2Fconnect%2Fauthorize%2Fcallback%3Fclient_id%3Dzorro%26redirect_uri%3Dhttps%253A%252F%252Flocalhost%253A6001%252Fsignin-oidc%26response_type%3Dcode%26scope%3Dopenid%2520profile%2520fullaccess%26code_challenge%3Dwd31qWo2SpjTuncroM6qkWSvhFg-rKDVcicPOrp3-6E%26code_challenge_method%3DS256%26response_mode%3Dform_post%26nonce%3D637629779176334831.MTUwZjRlODgtZmJhYi00Y2I3LWFlYmQtNGYzNWViZmM1NWNjOWI1NDg4YTItMGI5Yy00MTk3LTk0OTQtMDIxMWI5YTg1NGIw%26state%3DCfDJ8Cuukidn-CJOlLfkzyfYd36FVs9F-zMJ_0v67GE7qgtpnN8Zd10Gnkwbhm2VgMnLCt3pihVGA3jhXFF2rYrBaj8z-j1muaq8BgUcM4Ay3yjR1i2D4gm3JrXtAUGQAulW8CqC3XWbXvS8b3U8srEXVFP2qGW91jejBVJ9YCc1v-3gTYaRmRuf45DM3Kx1bDML7Yz7s1wKyXjvSE5aS5Bq78az3gXpqOC7GIciNJ2UELFtDSJF14GEYwtHM53Ehv3p_XvU86RCYwzH9jU9CzoCeIx6ScKbRi0hTp9nybNgj3PlOvzMZWg4taxiOK3yKxroFEK_GGAY9oK_ZzsRodVcoJp-2BGA_yceJbU0GeoPic111cjUC4_ml1r_gBiq-o7dDBWRRJsFyScGVRNDj8vyL7k%26x-client-SKU%3DID_NETSTANDARD2_0%26x-client-ver%3D6.7.1.0
很明显,应用程序断定我没有经过身份验证,所以我无法进行 api 调用。但是我已经认证了,请问如何解决?
据我所知,HttpContext.GetTokenAsync方法会根据认证方案获取token。
我建议您尝试指定身份验证方案并重试。如下所示:
var re = HttpContext.GetTokenAsync("oidc", "access_token");
我的建议是把WEBAPI放在自己的服务上,遵循关注点分离的原则。当您将 IdentityServer 和 Web 应用程序与 API 混合使用时,您是在自找麻烦。
我通过将 Web API 中的 [Authorize] 属性更改为:
找到了解决方案[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]
然后还在客户端项目(包含 Web API)的 Starup.cs 上添加授权。
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme);
// other authorization of oidc which is given in the question itself.