![](/img/trans.png)
[英]API Authorization with Identity Server 4 keeps returning 401 Unauthorized
[英].net 4.6 web api2 401 Unauthorized with identity server 4
我已经在 .net 核心应用程序中有一个工作身份服务器 4。
namespace IdentityServer
{
public class Config
{
public static IEnumerable<ApiResource> GetApiResources()
{
return new List<ApiResource>
{
new ApiResource("myresourceapi", "My Resource API")
{
Scopes = {new Scope("apiscope")}
}
};
}
public static IEnumerable<Client> GetClients()
{
return new[]
{
// for public api
new Client
{
ClientId = "secret_client_id",
AllowedGrantTypes = GrantTypes.ClientCredentials,
ClientSecrets =
{
new Secret("secret".Sha256())
},
AllowedScopes = { "apiscope" }
}
};
}
}
}
namespace IdentityServer
{
public class Startup
{
// This method gets called by the runtime. Use this method to add services to the container.
// For more information on how to configure your application, visit https://go.microsoft.com/fwlink/?LinkID=398940
public void ConfigureServices(IServiceCollection services)
{
services.AddIdentityServer()
.AddDeveloperSigningCredential()
.AddOperationalStore(options =>
{
options.EnableTokenCleanup = true;
options.TokenCleanupInterval = 30; // interval in seconds
})
.AddInMemoryApiResources(Config.GetApiResources())
.AddInMemoryClients(Config.GetClients());
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseIdentityServer();
app.UseRouting();
app.UseEndpoints(endpoints =>
{
endpoints.MapGet("/", async context =>
{
await context.Response.WriteAsync("Hello World!");
});
});
}
}
}
问题是现在我需要向 .net 4.6 web api2(不是核心)发出经过身份验证的请求。 而 IdentityServer4.AccessTokenValidation package 对此不起作用。 根据这个问题( https://stackoverflow.com/questions/41992272/is-it-possible-to-use-identity-server-4-running-on-net-core-with-a-webapi-app-r
) 我所要做的就是使用与身份服务器 3 (IdentityServer3.AccessTokenValidation) 相同的 package。 这是我在 webapi 2 中实现的代码
using IdentityServer3.AccessTokenValidation;
using Microsoft.Owin;
using Owin;
using Microsoft.Owin.Host.SystemWeb;
using IdentityModel.Extensions;
using System.Web.Http;
[assembly: OwinStartup(typeof(WebApplication10.Startup))]
namespace WebApplication10
{
public partial class Startup
{
public void Configuration(IAppBuilder app)
{
app.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
{
Authority = "https://localhost:44357",
// For access to the introspection endpoint
ClientId = "secret_client_id",
ClientSecret = "secret".ToSha256(),
RequiredScopes = new[] { "apiscope" }
});
}
}
}
namespace WebApplication10.Controllers
{
public class ValuesController : ApiController
{
[Authorize]
// GET api/values
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
}
}
我一直得到的状态是 401 Unauthorized。 难道我做错了什么? 有什么帮助吗? 谢谢。
如果没有日志,则无法确定您的情况是什么问题,但这是我为使其正常工作而进行的一些修复:
Statup.cs
class
AccessTokenJwtType
更改为JWT
,IdentityServer4 上的默认值是at+jwt
但.Net Framework Api(OWIN/Katana)需要JWT
。EmitLegacyResourceAudienceClaim
设置为 true 添加/resources
aud,这在 IdentityServer4 上被删除。 您可以通过检查"typ"
和"aud"
来验证https://jwt.ms/上的 access_token。
var builder = services.AddIdentityServer(
options =>
{
options.AccessTokenJwtType = "JWT";
options.EmitLegacyResourceAudienceClaim = true;
});
Statup.cs
class 上,将ValidationMode
设置为ValidationMode.Local
,此方法使用的自定义访问令牌验证端点在 IdentityServer4 上被删除。app.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
{
Authority = "https://localhost:44357",
// For access to the introspection endpoint
ClientId = "secret_client_id",
ClientSecret = "secret".ToSha256(),
RequiredScopes = new[] { "apiscope" },
ValidationMode = ValidationMode.Local,
});
我在这里有示例工作实现
我强烈建议您在 API 上收集日志,这有助于找到您案例中的实际问题并找到修复程序。 这是在 Api 上打开 OWIN 日志的示例。
您可以按照CrossVersionIntegrationTests中的示例进行操作。
身份服务器 4 没有connect/accesstokenvalidation
端点。 因此,在身份 server4 应用程序中,您可以修改ApiResource
以添加ApiSecret
:
new ApiResource("api1", "My API"){ ApiSecrets = new List<Secret> {new Secret("scopeSecret".Sha256())}}
在您的 web api 中,配置IdentityServerBearerTokenAuthenticationOptions
如下:
app.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
{
Authority = "http://localhost:5000",
ValidationMode = ValidationMode.ValidationEndpoint,
ClientId = "api1",
ClientSecret = "scopeSecret",
RequiredScopes = new[] { "api1" }
});
ClientId
和ClientSecret
都来自您的 ApiResource。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.