[英]Check if user is already authenticated in IdentityServer 4
我正在用IdentityServer 4實現授權服務器。我可以保護我的API,並使用混合流發布ID,訪問和刷新令牌。 我對客戶的一項要求是能夠在后台檢查用戶是否已在授權服務器中進行了身份驗證。
為了實現這一點,我認為僅通過promt = none到達授權端點/ connect / authorize並解析響應就足夠了,但它不斷出現以下錯誤:
info: IdentityServer4.ResponseHandling.AuthorizeInteractionResponseGenerator[0]
Showing error: prompt=none was requested but user is not authenticated
info: IdentityServer4.Endpoints.AuthorizeEndpoint[0]
{
"ClientId": "BGServer",
"ClientName": "BabyGiness Server",
"RedirectUri": "http://localhost:5005/signin-oidc",
"AllowedRedirectUris": [
"http://localhost:5005/authorization_code_callback",
"http://localhost:5005/signin-oidc"
],
"SubjectId": "anonymous",
"ResponseType": "code id_token",
"ResponseMode": "form_post",
"GrantType": "hybrid",
"RequestedScopes": "openid BG_API",
"State": "f3ea482efca35891a774242fa582f14782ab45783f4630a2950791e693734c53",
"Nonce": "56c99bb0175cbf92a83c80089baa003e76cc89f28cb704f440b3c9fec54b759c",
"PromptMode": "none",
"Raw": {
"client_id": "BGServer",
"response_type": "code id_token",
"scope": "openid BG_API",
"redirect_uri": "http://localhost:5005/signin-oidc",
"state": "f3ea482efca35891a774242fa582f14782ab45783f4630a2950791e693734c53",
"nonce": "56c99bb0175cbf92a83c80089baa003e76cc89f28cb704f440b3c9fec54b759c",
"prompt": "none",
"response_mode": "form_post"
}
}
這是我的要求方式:
var client = new HttpClient();
var request = new RequestUrl(disco.AuthorizeEndpoint);
var url = request.CreateAuthorizeUrl(
clientId: "BGServer",
scope: "openid BG_API",
responseType: OidcConstants.ResponseTypes.CodeIdToken,
responseMode: OidcConstants.ResponseModes.FormPost,
redirectUri: "http://localhost:5005/signin-oidc",
state: CryptoRandom.CreateUniqueId(),
nonce: CryptoRandom.CreateUniqueId(),
prompt: OidcConstants.PromptModes.None);
var authResponse = await client.GetAsync(url);
您可以看到,我之前在身份驗證服務器中登錄用戶時,用於檢查用戶是否在授權服務器中經過身份驗證的請求的SubjectId是“匿名”,而不是值“ 1”:
info: IdentityServer4.Endpoints.AuthorizeCallbackEndpoint[0]
ValidatedAuthorizeRequest
{
"ClientId": "BGServer",
"ClientName": "BabyGiness Server",
"RedirectUri": "http://localhost:5005/signin-oidc",
"AllowedRedirectUris": [
"http://localhost:5005/authorization_code_callback",
"http://localhost:5005/signin-oidc"
],
"SubjectId": "1",
"ResponseType": "code id_token",
"ResponseMode": "form_post",
"GrantType": "hybrid",
"RequestedScopes": "openid profile BG_API offline_access",
"State": "CfDJ8HU-TcpaPlFAoESzY3trdqklDCD3w3fsiSazk_fV3AMlQfQE5ow-IbLPLUM7CsL53unb_yLRnTKF5480gQOwSo9_HvlH3u0vRQZGwKde-yjTaSGKmu1LiKQTzpHpC7jStThRFQqbY5ukk-nUYhms473QHi7dudNIbx7fSXSeHn_P5ijItwMvssgIe9j92peeX2lI41Fc2XVAnw3FMGd88FtnVor6iXWUjKZLMiRN_3XWBDZOeCIsUAQrgYofYVp79wpNbOYxhiLabLFYMu0vK3LbEprQXJWSSL7QRFqh34ZO-8fvb1ps6oeo0H8Q6kiGEAJoVjre5wo09rBbmBYbLtU",
"Nonce": "636554914948006185.YjUwZDY3ZjItY2U2YS00ZmIzLWIxNmUtYTAwMmViM2E4ZTY2ZTA4MmRmODItY2ZiMi00ZTM2LTk2ZGItYzA0ZDJhMGQ3OWQ4",
"SessionId": "433c1aefad973812e41abac6c231304d",
"Raw": {
"client_id": "BGServer",
"redirect_uri": "http://localhost:5005/signin-oidc",
"response_type": "code id_token",
"scope": "openid profile BG_API offline_access",
"response_mode": "form_post",
"nonce": "636554914948006185.YjUwZDY3ZjItY2U2YS00ZmIzLWIxNmUtYTAwMmViM2E4ZTY2ZTA4MmRmODItY2ZiMi00ZTM2LTk2ZGItYzA0ZDJhMGQ3OWQ4",
"state": "CfDJ8HU-TcpaPlFAoESzY3trdqklDCD3w3fsiSazk_fV3AMlQfQE5ow-IbLPLUM7CsL53unb_yLRnTKF5480gQOwSo9_HvlH3u0vRQZGwKde-yjTaSGKmu1LiKQTzpHpC7jStThRFQqbY5ukk-nUYhms473QHi7dudNIbx7fSXSeHn_P5ijItwMvssgIe9j92peeX2lI41Fc2XVAnw3FMGd88FtnVor6iXWUjKZLMiRN_3XWBDZOeCIsUAQrgYofYVp79wpNbOYxhiLabLFYMu0vK3LbEprQXJWSSL7QRFqh34ZO-8fvb1ps6oeo0H8Q6kiGEAJoVjre5wo09rBbmBYbLtU",
"x-client-SKU": "ID_NET",
"x-client-ver": "2.1.4.0"
}
}
如何檢查授權服務器中用戶的身份驗證是否正確? 這是有效的方法嗎? 什么時候設置SubjectId? 當我向授權端點發出請求時,實際上我無法手動設置它。
謝謝。
promt = none是正確的方法。 根據規范,如果用戶未通過身份驗證或需要征得同意,則應該將錯誤返回給發出請求的客戶端。
這必須通過可訪問IdentityServer cookie的前端通道進行。
提示=無:
“授權服務器不得顯示任何身份驗證或同意用戶界面頁面。如果最終用戶尚未經過身份驗證,或者客戶端對請求的聲明沒有預先配置的同意,或者不滿足其他處理條件,則將返回錯誤錯誤代碼通常是login_required,interaction_required或第3.1.2.6節中定義的其他代碼。它可以用作檢查現有身份驗證和/或同意的方法。” -OpenID Connect Core 1.0
請注意,僅因為您具有有效的訪問令牌,並不意味着該用戶已通過IdentityServer進行身份驗證,或者根本就沒有用戶。 這僅表示您的應用有權執行“工作”。
您不能這樣做(稱為授權端點)反向通道,因為它必須在用戶瀏覽器的上下文中運行。 這樣做總是會失敗,因為您沒有提供用戶瀏覽器提供的cookie。
您實際上想達到什么目的? 用例是什么?
ETA:如果您想要中央控制和撤銷令牌的能力,則需要使用參考令牌而不是JWT。 這樣,當用戶退出IDP時,您可以顯式撤消任何當前有效的令牌。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.