如何将 'scope' 值映射到身份声明?
How can I map 'scope' values to Identity Claims?
我指定了需要范围 my_custom_value 的授权策略,例如
services.AddAuthorization(AuthConfig.GetAuthorizationOptions);
// ...
public static void GetAuthorizationOptions(AuthorizationOptions options)
{
options.AddPolicy("MyPolicy", policy =>
{
policy.RequireScope("my_custom_value");
});
对受 MyPolicy 保护的端点的请求失败,因为主体不包含任何范围
我可以看到我的授权令牌具有以下范围:
"scope": [
"openid",
"profile",
"my_custom_value",
"offline_access"
],
这些似乎没有映射到委托人的声明中。当我稍后在用户尝试访问受保护端点时检查声明时,没有范围。
policy.RequireAssertion(context =>
{
if (context.User.HasClaim(c => c.Type == "scope")) // <-- always false
{
if (context.User.HasClaim(c => c.Value == "my_custom_value"))
{
return true;
}
}
为什么没有映射范围?我需要做什么来映射它们?
作为参考,我已经用
试过了
options.ClaimActions.MapUniqueJsonKey(JwtClaimTypes.Scope, "scope");
options.Scope.Add("my_custom_value");
我是否应该实施自定义 IProfileService 以将范围包含在 OnUserInformationReceived 事件中?
使用 MVC 进行 oidc 身份验证时,只有 IdentityToken 声明映射到 ClaimsPrincipal。我想不出一种方法来将访问令牌声明映射或包含到 ClaimsPrincipal。
我最终编写了一个授权处理程序来验证访问令牌并执行所需的声明检查。我假设您阅读了 asp.net 5.0.
中的授权策略
public class AccessTokenAuthorizationHandler : AuthorizationHandler<AccessTokenRequirement> {
readonly IOptionsMonitor<OpenIdConnectOptions> _openIdConnectOptions;
readonly ILogger<AccessTokenAuthorizationHandler> _logger;
readonly IOptions<OpenIdOptions> _openIdOptions;
public AccessTokenAuthorizationHandler(
ILogger<AccessTokenAuthorizationHandler> logger,
IOptionsMonitor<OpenIdConnectOptions> openIdConnectOptions,
IOptions<OpenIdOptions> openIdOptions) {
_logger = logger;
_openIdConnectOptions = openIdConnectOptions;
_openIdOptions = openIdOptions;
}
protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, AccessTokenRequirement requirement) {
if (context == null) {
throw new ArgumentNullException(nameof(context));
}
if (requirement == null) {
throw new ArgumentNullException(nameof(requirement));
}
if (context.Resource is Microsoft.AspNetCore.Mvc.ActionContext actionContext) {
ClaimsPrincipal principal = await GetAccessTokenPrincipal(actionContext.HttpContext).ConfigureAwait(false);
// verify your requirement
if (condition met) {
context.Succeed(requirement);
}
}
}
private async Task<ClaimsPrincipal> GetAccessTokenPrincipal(HttpContext httpContext) {
if (httpContext == null) {
return null;
}
String accessToken = await httpContext.GetUserAccessTokenAsync().ConfigureAwait(false);
if (!String.IsNullOrWhiteSpace(accessToken)) {
try {
TokenValidationParameters validationParameters = await BuildValidationParameters();
return new JwtSecurityTokenHandler().ValidateToken(accessToken, validationParameters, out var rawValidatedToken);
}
catch (SecurityTokenValidationException validationException) {
_logger.LogWarning(validationException, "Access token not valid.");
}
catch (Exception ex) {
_logger.LogError(ex, "Access token could not be validated.");
}
}
return null;
}
private async Task<TokenValidationParameters> BuildValidationParameters() {
var options = _openIdConnectOptions.Get(OpenIdConnectDefaults.AuthenticationScheme);
var discoveryDocument = await options.ConfigurationManager.GetConfigurationAsync(CancellationToken.None);
var signingKeys = discoveryDocument.SigningKeys;
var validationParameters = new TokenValidationParameters {
RequireExpirationTime = true,
RequireSignedTokens = true,
ValidateIssuer = true,
ValidIssuer = options.Authority,
ValidateIssuerSigningKey = true,
IssuerSigningKeys = signingKeys,
ValidateLifetime = true,
ValidateAudience = true,
ValidAudience = "your audience",
ValidateActor = false,
ValidTypes = new String[] { "at+jwt" },
ClockSkew = TimeSpan.FromMinutes(2),
};
return validationParameters;
}
}
我很不高兴我不得不这样做,尽管我认为这样做是正确的。要检索访问令牌,我正在使用 nuget package IdentityModel.AspNetCore, Version=3.0.0.0
我不明白为什么没有更多人遇到这个问题。当然,如果您的应用程序使用来自 api 的数据,您会传递访问令牌,并且访问令牌会成为声明主体。但是,如果您的 mvc 应用程序执行直接数据库访问(并且可能稍后被提取到 api),您需要以某种方式能够检查访问令牌的声明。可能大家概念上有误...
关于个人资料服务。我认为尝试将访问令牌声明包含到身份令牌中并不是正确的方法。我认为这甚至是不可能的,因为当为身份令牌调用服务时,您没有关于请求范围的信息。
我指定了需要范围 my_custom_value 的授权策略,例如
services.AddAuthorization(AuthConfig.GetAuthorizationOptions);
// ...
public static void GetAuthorizationOptions(AuthorizationOptions options)
{
options.AddPolicy("MyPolicy", policy =>
{
policy.RequireScope("my_custom_value");
});
对受 MyPolicy 保护的端点的请求失败,因为主体不包含任何范围
我可以看到我的授权令牌具有以下范围:
"scope": [
"openid",
"profile",
"my_custom_value",
"offline_access"
],
这些似乎没有映射到委托人的声明中。当我稍后在用户尝试访问受保护端点时检查声明时,没有范围。
policy.RequireAssertion(context =>
{
if (context.User.HasClaim(c => c.Type == "scope")) // <-- always false
{
if (context.User.HasClaim(c => c.Value == "my_custom_value"))
{
return true;
}
}
为什么没有映射范围?我需要做什么来映射它们?
作为参考,我已经用
试过了options.ClaimActions.MapUniqueJsonKey(JwtClaimTypes.Scope, "scope");
options.Scope.Add("my_custom_value");
我是否应该实施自定义 IProfileService 以将范围包含在 OnUserInformationReceived 事件中?
使用 MVC 进行 oidc 身份验证时,只有 IdentityToken 声明映射到 ClaimsPrincipal。我想不出一种方法来将访问令牌声明映射或包含到 ClaimsPrincipal。
我最终编写了一个授权处理程序来验证访问令牌并执行所需的声明检查。我假设您阅读了 asp.net 5.0.
中的授权策略public class AccessTokenAuthorizationHandler : AuthorizationHandler<AccessTokenRequirement> {
readonly IOptionsMonitor<OpenIdConnectOptions> _openIdConnectOptions;
readonly ILogger<AccessTokenAuthorizationHandler> _logger;
readonly IOptions<OpenIdOptions> _openIdOptions;
public AccessTokenAuthorizationHandler(
ILogger<AccessTokenAuthorizationHandler> logger,
IOptionsMonitor<OpenIdConnectOptions> openIdConnectOptions,
IOptions<OpenIdOptions> openIdOptions) {
_logger = logger;
_openIdConnectOptions = openIdConnectOptions;
_openIdOptions = openIdOptions;
}
protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, AccessTokenRequirement requirement) {
if (context == null) {
throw new ArgumentNullException(nameof(context));
}
if (requirement == null) {
throw new ArgumentNullException(nameof(requirement));
}
if (context.Resource is Microsoft.AspNetCore.Mvc.ActionContext actionContext) {
ClaimsPrincipal principal = await GetAccessTokenPrincipal(actionContext.HttpContext).ConfigureAwait(false);
// verify your requirement
if (condition met) {
context.Succeed(requirement);
}
}
}
private async Task<ClaimsPrincipal> GetAccessTokenPrincipal(HttpContext httpContext) {
if (httpContext == null) {
return null;
}
String accessToken = await httpContext.GetUserAccessTokenAsync().ConfigureAwait(false);
if (!String.IsNullOrWhiteSpace(accessToken)) {
try {
TokenValidationParameters validationParameters = await BuildValidationParameters();
return new JwtSecurityTokenHandler().ValidateToken(accessToken, validationParameters, out var rawValidatedToken);
}
catch (SecurityTokenValidationException validationException) {
_logger.LogWarning(validationException, "Access token not valid.");
}
catch (Exception ex) {
_logger.LogError(ex, "Access token could not be validated.");
}
}
return null;
}
private async Task<TokenValidationParameters> BuildValidationParameters() {
var options = _openIdConnectOptions.Get(OpenIdConnectDefaults.AuthenticationScheme);
var discoveryDocument = await options.ConfigurationManager.GetConfigurationAsync(CancellationToken.None);
var signingKeys = discoveryDocument.SigningKeys;
var validationParameters = new TokenValidationParameters {
RequireExpirationTime = true,
RequireSignedTokens = true,
ValidateIssuer = true,
ValidIssuer = options.Authority,
ValidateIssuerSigningKey = true,
IssuerSigningKeys = signingKeys,
ValidateLifetime = true,
ValidateAudience = true,
ValidAudience = "your audience",
ValidateActor = false,
ValidTypes = new String[] { "at+jwt" },
ClockSkew = TimeSpan.FromMinutes(2),
};
return validationParameters;
}
}
我很不高兴我不得不这样做,尽管我认为这样做是正确的。要检索访问令牌,我正在使用 nuget package IdentityModel.AspNetCore, Version=3.0.0.0
我不明白为什么没有更多人遇到这个问题。当然,如果您的应用程序使用来自 api 的数据,您会传递访问令牌,并且访问令牌会成为声明主体。但是,如果您的 mvc 应用程序执行直接数据库访问(并且可能稍后被提取到 api),您需要以某种方式能够检查访问令牌的声明。可能大家概念上有误...
关于个人资料服务。我认为尝试将访问令牌声明包含到身份令牌中并不是正确的方法。我认为这甚至是不可能的,因为当为身份令牌调用服务时,您没有关于请求范围的信息。