一个项目中的IdentityServer4和Web Api身份验证失败

2024-01-04

我一直在寻找我在这里遇到的问题。我试图从 SO 中的问题中找到答案，但可以找出问题所在。所以我非常绝望的自动提款机。

所以在我的解决方案中我们有 3 个项目

API

生产API资源

身份服务器4

身份服务器4
用于访问 IdentityServ4 上的客户端、范围等的 WebAPI 管理 API

客户端APP

MVC App

一切都很顺利。客户端可以通过IS4登录和验证并访问生产资源。现在还需要创建 api 来从客户端应用程序管理 IS4。但似乎我无法使用 IS4 颁发的相同令牌进行身份验证。

IS4日志上的消息如下

info: Microsoft.AspNetCore.Mvc.Internal.ControllerActionInvoker[1] Route matched with {action = "GetUserAccountsList", controller = "Accounts"}. Executing action Identity.API.API.AccountsController.GetUserAccountsList (Identity.API) dbug: IdentityServer4.AccessTokenValidation.IdentityServerAuthenticationHandler[9] AuthenticationScheme: Bearer was not authenticated. info: Microsoft.AspNetCore.Authorization.DefaultAuthorizationService[2] Authorization failed. info: Microsoft.AspNetCore.Mvc.Internal.ControllerActionInvoker[3] Authorization failed for the request at filter 'Microsoft.AspNetCore.Mvc.Authorization.AuthorizeFilter'. info: Microsoft.AspNetCore.Mvc.ChallengeResult[1] Executing ChallengeResult with authentication schemes (Bearer). info: Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerHandler[12] AuthenticationScheme: BearerIdentityServerAuthenticationJwt was challenged. info: IdentityServer4.AccessTokenValidation.IdentityServerAuthenticationHandler[12] AuthenticationScheme: Bearer was challenged. info: Microsoft.AspNetCore.Mvc.Internal.ControllerActionInvoker[2] Executed action Identity.API.API.AccountsController.GetUserAccountsList (Identity.API) in 0.212ms info: Microsoft.AspNetCore.Hosting.Internal.WebHost[2] Request finished in 0.6503ms 401

IS4 Web API 上的 API 代码

[Authorize(AuthenticationSchemes = "Bearer")]
    [HttpGet]
    public async Task<IActionResult> GetUserAccountsList()
    {
        var userAccounts = await _accountService.GetIdentityAccountsAsync();
        return new JsonResult(userAccounts);
    }

并在启动时配置服务

 public void ConfigureServices(IServiceCollection services)
    {
        var dbConnectionName = Constants.Environment.Development;
        if (_env.IsProduction())
        {
            dbConnectionName = Constants.Environment.Production;
        }

        services.AddDbContext<ApplicationDbContext>(options =>
       options.UseSqlServer(Configuration.GetConnectionString(dbConnectionName), sqlServerOptionsAction: sqlOptions =>
       {
           sqlOptions.MigrationsAssembly(typeof(Startup).GetTypeInfo().Assembly.GetName().Name);
       }));

        services.AddIdentity<ApplicationUser, IdentityRole>()
            //  use this if we want to implement default ASP.NET identity
            //services.AddDefaultIdentity<ApplicationUser>()
            .AddRoles<IdentityRole>()
            .AddRoleManager<RoleManager<IdentityRole>>()
            .AddEntityFrameworkStores<ApplicationDbContext>()
            .AddDefaultTokenProviders();

        // Configure DI
        ConfigureDependencies(services);
        services.AddMvc();

        #region Registering ASP.NET Identity Server

        var migrationsAssembly = typeof(Startup).GetTypeInfo().Assembly.GetName().Name;
        services.AddIdentityServer(options =>
        {
            options.IssuerUri = Constants.Address.GetIdentityServerAdress(_env.IsDevelopment());
            options.Authentication.CookieLifetime = TimeSpan.FromHours(2);
        })
         // change to certificate credentials on production
         // .AddSigningCredential(Certificate.Get())
         .AddDeveloperSigningCredential()
         .AddAspNetIdentity<ApplicationUser>()

        //// this adds the config data from DB (clients, resources) instead of memory
        //.AddInMemoryIdentityResources(Config.GetIdentityResources())
        //.AddInMemoryClients(Config.GetClients(_env.IsProduction()))
        //.AddInMemoryApiResources(Config.GetApiResources())

        .AddConfigurationStore(options =>
        {
            options.ConfigureDbContext = builder =>
                builder.UseSqlServer(Configuration.GetConnectionString(dbConnectionName),
                    sql => sql.MigrationsAssembly(migrationsAssembly));
        })

        //// this adds the operational data from DB (codes, tokens, consents)
        //.AddInMemoryPersistedGrants()
        .AddOperationalStore(options =>
        {
            options.ConfigureDbContext = builder =>
                builder.UseSqlServer(Configuration.GetConnectionString(dbConnectionName),
                    sql => sql.MigrationsAssembly(migrationsAssembly));

            // this enables automatic token cleanup. this is optional.
            options.EnableTokenCleanup = true;
            options.TokenCleanupInterval = 30;
        })
        .AddProfileService<IdentityProfileService>(); ;

        #endregion Registering ASP.NET Identity Server

        services.RegisterApplicationPolicy();

        #region External Auth

        services.AddAuthentication(IdentityServerAuthenticationDefaults.AuthenticationScheme)
            .AddIdentityServerAuthentication(options =>
            {
                options.Authority = Constants.Address.GetIdentityServerAdress(_env.IsDevelopment());
                options.RequireHttpsMetadata = false;
                options.ApiName = Constants.Resource.Identity;
                // options.SupportedTokens = SupportedTokens.Both;
            }); ;

        #endregion External Auth
    }

启动.cs配置

public void Configure(IApplicationBuilder app, UserManager<ApplicationUser> userManager, RoleManager<IdentityRole> roleManager)
    {
        InitializeDatabase(app, _env, userManager, roleManager);

        if (_env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
            app.UseDatabaseErrorPage();
        }
        else
        {
            app.UseExceptionHandler("/Home/Error");
        }
        app.UseIdentityServer();
        app.UseHttpsRedirection();
        app.UseStaticFiles();
        app.UseCookiePolicy();
        app.UseMvc(routes =>
        {
            routes.MapRoute(
                name: "default",
                template: "{controller=Home}/{action=Index}/{id?}");
        });
    }

IS4 上的客户端被播种到数据库并设置如下

        public static class Resource
    {
        public static List<string> GetAllResourceList()
        {
            return new List<string>()
            {
                Clinic,
                Subscription,
                Module,
                Identity // this is IDS4 Server
            };
        }

        // this is used on db seed only.
        // resource name has to be updated on DB after db seed
        public const string Clinic = "Clinic";
        public const string Subscription = "Subscription";
        public const string Module = "Module";
        public const string Identity = "Identity";

        public const string ClinicAddress = "http://localhost:5100";
        public const string SubscriptionAddress = "http://localhost:5200";
        public const string ModuleAddress = "http://localhost:5300";
        public const string IdentityAddress = "http://localhost:5000";
    }

 public class Config
{
    public static IEnumerable<ApiResource> GetApiResources()
    {
        return Constants.Resource.GetAllResourceList().Select(s => new ApiResource(s));
    }

    // client want to access resources (aka scopes)
    public static IEnumerable<Client> GetClients(bool isDevelopment)
    {
        var client = new List<Client>();
        var mvcClient = new Client
        {
            ClientId = "mvc",
            ClientName = "MVC Client",
            AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
            RequireConsent = false,
            ClientSecrets =
            {
                new Secret("secret".Sha256())
            },
            RedirectUris = { $"{Constants.Address.GetClientServerAdress(isDevelopment)}/signin-oidc" },
            PostLogoutRedirectUris =
                {$"{Constants.Address.GetClientServerAdress(isDevelopment)}/signout-callback-oidc"},
            AlwaysIncludeUserClaimsInIdToken = true,
            AllowAccessTokensViaBrowser = true,
            AllowedScopes =
            {
                IdentityServerConstants.StandardScopes.OpenId,
                IdentityServerConstants.StandardScopes.Profile,
            },
            AllowOfflineAccess = true
        };
        foreach (var resource in Constants.Resource.GetAllResourceList())
        {
            mvcClient.AllowedScopes.Add(resource);
        }
        client.Add(mvcClient);
        return client;
    }

    //Add support for the standard openid (subject id) and profile scopes
    public static IEnumerable<IdentityResource> GetIdentityResources()
    {
        return new List<IdentityResource>
        {
            new IdentityResources.OpenId(),
            new IdentityResources.Profile(),
        };
    }
}

在客户端应用程序上 Startup.cs如下

        public IConfiguration Configuration { get; }

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
        JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

        // Adding Authentication options+

        services.AddAuthentication(options =>
            {
                options.DefaultScheme = "Cookies";
                options.DefaultChallengeScheme = "oidc";
            })
            .AddCookie("Cookies")
            .AddOpenIdConnect("oidc", options =>
            {
                options.SignInScheme = "Cookies";
                options.Authority = $"{Constants.Address.GetIdentityServerAdress(_env.IsDevelopment())}";
                options.ClientId = "mvc";
                options.ClientSecret = "secret";
                options.ResponseType = "code id_token";

                options.SaveTokens = true;
                options.GetClaimsFromUserInfoEndpoint = true;
                options.RequireHttpsMetadata = false;

                foreach (var resource in Constants.Resource.GetAllResourceList())
                {
                    options.Scope.Add(resource);
                }
                options.Scope.Add("offline_access");
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    NameClaimType = "name",
                    RoleClaimType = "role",
                };
            });
        // Adding Authorisation
        services.RegisterApplicationPolicy();
    }

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }
        else
        {
            app.UseExceptionHandler("/Home/Error");
        }
        app.UseAuthentication();
        app.UseStaticFiles();
        app.UseMvcWithDefaultRoute();
    }

我们尝试使用以下代码访问 IS4 上的 Web Api。看到下面的调用总是返回401 Unauthorize

  var accessToken = await HttpContext.GetTokenAsync("access_token");

        var client = new HttpClient();
        client.SetBearerToken(accessToken);

        var response = await client.GetAsync($"{Constants.Address.GetIdentityServerAdress(_env.IsDevelopment())}/api/Accounts/GetUserAccountsList");
        if (response.IsSuccessStatusCode)
        {
            var content = await response.Content.ReadAsStringAsync();
            ViewBag.Json = JArray.Parse(content).ToString();
        }
        else if (response.StatusCode == System.Net.HttpStatusCode.Unauthorized)
        {
            return Unauthorized();
        }
        return View("Json");

任何有关如何解决问题的建议都会有所帮助。目前我使用表单身份验证在 IS4 上进行客户端管理。

IdentityServer是用于对现有用户进行身份验证，而不是用于管理用户。所以我建议你创建另一个受 IdenitityServer 保护的 api 应用程序来管理用户，api 应用程序和身份服务器应用程序共享相同的数据库。

当然，您也可以将 api 添加到您的身份服务器应用程序中。根据您的代码，您应该修改为：

您应该将 Api 资源添加到Config.cs在您的身份服务器中：

public static IEnumerable<ApiResource> GetApiResources()
{
    return new List<ApiResource>
    {
        new ApiResource("api1", "My API")
    };
}

修改您的客户端Config.cs在您的身份服务器中，允许客户端获取访问令牌来访问 api 资源：

AllowedScopes =
            {
               IdentityServerConstants.StandardScopes.OpenId,
               IdentityServerConstants.StandardScopes.Profile,
               "api1"
            },

您的身份服务器应验证访问令牌：

services.AddAuthentication(IdentityServerAuthenticationDefaults.AuthenticationScheme)
        .AddIdentityServerAuthentication(options =>
        {
            options.Authority = "https://localhost:44373"; //IDS's endpoint
            options.RequireHttpsMetadata = false;
            options.ApiName = "api1";   //api name
        });

修改您的客户端以使用混合流获取访问令牌：

.AddOpenIdConnect("oidc", options =>
{
    options.SignInScheme = "Cookies";

    options.Authority = "https://localhost:44373/";
    options.RequireHttpsMetadata = false;

    options.ClientId = "mvc2";
    options.ClientSecret = "secret";
    options.ResponseType = "code id_token";

    options.SaveTokens = true;
    options.GetClaimsFromUserInfoEndpoint = true;

    options.Scope.Add("api1");  //Api name
    options.Scope.Add("offline_access");

});

获取访问令牌后，您可以使用以下命令请求 api 端点Authorization: Bearer xxxxheader .

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

一个项目中的IdentityServer4和Web Api身份验证失败的相关文章

结构化绑定中缺少类型信息

我刚刚了解了 C 中的结构化绑定但有一件事我不喜欢 auto x y some func is that auto正在隐藏类型x and y 我得抬头看看some func的声明来了解类型x and y 或者我可以写 T1 x T2 y
STL 迭代器：前缀增量更快？ [复制]

这个问题在这里已经有答案了可能的重复 C 中的预增量比后增量快正确吗如果是为什么呢 https stackoverflow com questions 2020184 preincrement faster than postinc
在一个数据访问层中处理多个连接字符串

我有一个有趣的困境我目前有一个数据访问层它必须与多个域一起使用并且每个域都有多个数据库存储库具体取决于所调用的存储过程目前我只需使用 SWITCH 语句来确定应用程序正在运行的计算机并从 Web config 返回适当的连接字
类型中的属性名称必须是唯一的

我正在使用 Entity Framework 5 并且有以下实体 public class User public Int32 Id get set public String Username get set public virtual
随着时间的推移，添加到 List 变得非常慢

我正在解析一个大约有 1000 行的 html 表我从一个字符串中添加 10 个字符串 td 每行到一个list td
为什么 GCC 不允许我创建“内联静态 std::stringstream”？

我将直接前往 MCVE include
从经典 ASP 调用 .Net C# DLL 方法

我正在开发一个经典的 asp 项目该项目需要将字符串发送到 DLL DLL 会将其序列化并发送到 Zebra 热敏打印机我已经构建了我的 DLL 并使用它注册了regasm其次是代码库这使得 IIS 能够识别它虽然我可以设置我的对象
无限循环与无限递归。两者都是未定义的吗？

无副作用的无限循环是未定义的行为看here https coliru stacked crooked com view id 24e0a58778f67cd4举个例子参考参数 https en cppreference com w cpp
对类 static constexpr 结构的未定义引用，g++ 与 clang

这是我的代码 a cp p struct int2 int x y struct Foo static constexpr int bar1 1 static constexpr int2 bar2 1 2 int foo1 return
C++ 多行字符串原始文字[重复]

这个问题在这里已经有答案了我们可以像这样定义一个多行字符串 const char text1 part 1 part 2 part 3 part 4 const char text2 part 1 part 2 part 3 part 4
重载 (c)begin/(c)end

我试图超载 c begin c end类的函数以便能够调用 C 11 基于范围的 for 循环它在大多数情况下都有效但我无法理解和解决其中一个问题 for auto const point fProjectData gt getPoi
C# 列表通用扩展方法与非通用扩展方法

这是一个简单的问题我希望集合类中有通用和非通用方法例如List
使用 C# 中的 CsvHelper 将不同文化的 csv 解析为十进制

C 中 CsvHelper 解析小数的问题我创建了一个从 byte 而不是文件获取 csv 文件的类并且它工作正常 public static List
两个静态变量同名（两个不同的文件），并在任何其他文件中 extern 其中一个

在一个文件中将变量声明为 static 并在另一个文件中进行 extern 声明我认为这会在链接时出现错误因为 extern 变量不会在任何对象中看到因为在其他文件中声明的变量带有限定符 static 但不知何故链接器瑞萨没有显
x:将 ViewModel 方法绑定到 DataTemplate 内的事件

我基本上问同样的问题这个人 https stackoverflow com questions 10752448 binding to viewmodels property from a template 但在较新的背景下x Bind V
两个类可以使用 C++ 互相查看吗？

所以我有一个 A 类我想在其中调用一些 B 类函数所以我包括 b h 但是在 B 类中我想调用 A 类函数如果我包含 a h 它最终会陷入无限循环对吗我能做什么呢仅将成员函数声明放在头文件 h 中并将成员函数定义放在实现文
实例化类时重写虚拟方法

我有一个带有一些虚函数的类让我们假设这是其中之一 public class AClassWhatever protected virtual string DoAThingToAString string inputString retu
空指针与 int 等价

Bjarne 在 C 编程语言中写道空指针与整数零不同但 0 可以用作空指针的指针初始值设定项这是否意味着 void voidPointer 0 int zero 0 int castPointer reinterpret cast
使用特定参数从 SQL 数据库填充组合框

我在使用参数从 sql server 获取特定值时遇到问题任何人都可以解释一下为什么它在 winfom 上工作但在 wpf 上不起作用以及我如何修复它我的代码 private void UpdateItems COMBOBOX1 Ite
DotNetZip：如何提取文件，但忽略zip文件中的路径？

尝试将文件提取到给定文件夹忽略 zip 文件中的路径但似乎没有办法考虑到其中实现的所有其他好东西这似乎是一个相当基本的要求我缺少什么代码是 using Ionic Zip ZipFile zf Ionic Zip ZipFile

随机推荐

无法在脚本模块中创建 PowerShell 别名

重现步骤使用以下函数和别名在 WindowsPowerShell Modules TestAlias TestAlias psm1 中创建 TestAlias 模块 function foo write output foo New Al
将 defaultdict(list) 写入文件

之前问过一个问题使用defaultdict解析多分隔符文件 https stackoverflow com questions 46264408 using defaultdict to parse multi delimiter file
在 Glassfish 中导入 ssl 证书

我有以下问题我从 comodo 为我的 glassfish Web 应用程序获得了免费证书 90 天然后我通过以下方式将证书导入 glassfish 3 1http javadude wordpress com 2010 04 06 g
如何在不使用 UITableViewDiffableDataSource 删除和插入的情况下重新加载项目？

我正在使用我的应用程序中实现搜索屏幕UITableViewDiffableDataSource 每个单元格代表一个搜索命中并在单元格标题中突出显示搜索匹配有点像 Xcode 的快速打开窗口突出显示其结果项的部分内容当在搜索字段中输
字符串文字中 Informix JDBC、MONEY 和小数点分隔符的问题

我在使用 MONEY 数据类型的 JDBC 应用程序时遇到问题当我插入 MONEY 列时 insert into money test amt values 123 45 我得到了例外 Character to numeric conve
为什么不可能窃取访问令牌？

我正在学习 OAuth 我脑子里有一个问题我找不到答案我理解请求令牌是否授权应用程序使用 API 但是一旦用户获得了访问令牌如果有人窃取了他的访问令牌会发生什么情况想象一下我们有类似的东西http www example com
如何在不运行测试的情况下获取所有标签和黄瓜场景

我想以某种方式获取我在项目中使用的所有标签的列表并获取我在项目中没有运行测试的黄瓜场景的所有名称有人可以帮助我我该怎么做吗根据 mpkorstanje的建议您可以为此创建一个自定义插件 public class DryRunPlug
如何测试MySQL事务？

我有一个关于测试事务中的查询的问题我使用 MySQL 事务已经有一段时间了每次我这样做时我都会使用类似的东西 doCommit true error mysql query BEGIN repeat this part with th
Object方法中的“this”关键字指向Window

var name The Window var object name My Object getNameFunc function return function return this name console log object g
如何使用 Reactor 3.x 将 List 转换为 Flux

我有一个异步调用节俭接口 public CompletableFuture
有没有办法将引用的 MonoBehaviours 序列化为 JSON？

假设我有一个名为ObjectA其中包含两个对象 ObjectsB and ObjectC System Serializable public ClassA public ClassB classB public ClassC classC
在 LLDB 中查看数组：相当于 Xcode 4.1 中 GDB 的“@”运算符

我想查看指针指向的元素数组在 GDB 中这可以通过使用运算符将指向的内存视为给定长度的人工数组来完成 pointer length where length是我要查看的元素数量上述语法在 Xcode 4 1 提供的 LLDB 中不起
贪心算法的实现

您知道谁知道您希望n 个人中的谁来参加聚会假设知道是对称的如果我认识你你就认识我你进一步要求你希望每个人在聚会上至少有 5 个新朋友而且为了让没有人感到太孤立每个人应该在聚会上已经认识至少 5 个人您的原始名单可能不满
415 尝试在 Jax-RS 球衣中发送 FormData() 时的状态

我正在尝试使用 jquery ajax 发送附加到 FormData 的文件在参考了一些 mozilla 和 IBM 的文档后我得出了以下结论阿贾克斯代码 var sessionId cookie referenceId var my
在 forEach 循环中访问 this 会导致未定义

我正在类的方法之一中使用 forEach 迭代数组我需要访问 forEach 内的类的实例但是this未定义 var aGlobalVar function use strict aGlobalVar thing function th
编写轮询 Windows 服务

I usually write Windows services in C but I m giving it a go in F For a polling serivce like this one I ordinarily use a
Visual Studio Code (vscode) 中文件扩展名的自动缩进规则？

有没有办法告诉 Visual Studio Code 对给定的文件扩展名应用特定的自动缩进规则我们当前的settings json 文件是 editor tabSize 4 editor insertSpaces true files a
Kotlin + Dagger2：如果没有 @Inject 构造函数或 @Provides- 或 @Produces- 注解的方法，则无法提供

我收到以下错误错误 8 1 错误如果没有 Inject 构造函数或 Provides 或 Produces 注解的方法则无法提供 java lang String 我一直试图制作一个提供两个合格字符串的模块这是匕首的简化设置 Sin
从 st_mtime、st_ctime、st_atime 打印时的日期相同

因此我应该打印目录的访问修改和创建的日期但它们似乎都是相同的日期这是我的代码 struct tm date struct stat fileStat if options 0 1 options 1 0 options 2 0 op
一个项目中的IdentityServer4和Web Api身份验证失败

我一直在寻找我在这里遇到的问题我试图从 SO 中的问题中找到答案但可以找出问题所在所以我非常绝望的自动提款机所以在我的解决方案中我们有 3 个项目 API 生产API资源身份服务器4 身份服务器4 用于访问 IdentitySer

一个项目中的IdentityServer4和Web Api身份验证失败

一个项目中的IdentityServer4和Web Api身份验证失败 的相关文章

随机推荐

热门标签

一个项目中的IdentityServer4和Web Api身份验证失败的相关文章