如何通过自省验证 IdentityServer4 访问令牌
[英]How to validate IdentityServer4 access tokens through introspection
问题描述
我正在通过 IdentityServer4 发布的 AccessToken 实现受保护的 api。 现在我的问题是,当我从我的客户端调用带有标头中的 Bearer 令牌的 API 时,是否有可能通过调用内省端点来恢复该值并验证它? 像这样的密钥没有自我验证:
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
// base-address of your identityserver
options.Authority = "https://demo.identityserver.io";
// if you are using API resources, you can specify the name here
options.Audience = "resource1";
// IdentityServer emits a typ header by default, recommended extra check
options.TokenValidationParameters.ValidTypes = new[] { "at+jwt" };
});
是否有任何库可以通过依赖注入完成授权中间件中的所有操作,还是我必须手动完成所有操作? 我试图环顾四周,但似乎唯一的库引用了引用令牌,而不是作为 Bearer 传递的访问令牌。 谢谢
1 个解决方案
解决方案1
2 2021-07-28 10:33:06
您可以挂钩OnMessageReceived事件并自己验证令牌:
services.AddAuthentication(...)
.AddJwtBearer(
options => {
options.Events.OnMessageReceived = async context => {
var accessToken = context.Token;
// inject a custom token validator
var tokenValidator =
context.HttpContext.RequestServices.GetRequiredService<ITokenValidator>();
var ok = await tokenValidator.ValidateTokenAsync(accessToken);
if (!ok) {
context.Fail("Invalid token");
}
};
}
);
如何在ASP.NET WEB API中验证由identityserver4生成的OpenID Connect访问令牌
[英]How to Validate OpenID Connect Access Token generated by identityserver4 in ASP.NET WEB API
无法使用IdentityServer4验证API中的JWT或access_token
[英]Unable to Validate JWT or access_token in API with IdentityServer4
IdentityServer4 Introspection Endpoint API使用无效散列算法
[英]IdentityServer4 Introspection Endpoint API uses invalid hashing algorithm
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
IdentityServer4 - 客户端的委托访问令牌
从.NET 4.5访问IdentityServer4内省
IdentityServer4 API 未经授权调用自省端点
IdentityServer4外部身份验证令牌
如何在ASP.NET WEB API中验证由identityserver4生成的OpenID Connect访问令牌
无法使用IdentityServer4验证API中的JWT或access_token
如何停止IdentityServer4刷新令牌过期?
IdentityServer4-无法验证令牌
将 IdentityServer4 配置为仅颁发令牌
IdentityServer4 Introspection Endpoint API使用无效散列算法
相关标签