Identity4Server很多SPA客户最好的方法?
问题描述 投票:1回答:1
嗨,我继承了这样的系统:
Api和许多Fronts(spas)他们共享一个共同的菜单,其链接可以导航到彼此,但他们是不同的反应应用程序,具有不同的URL。用于验证Api的Azure Active目录受Bearer令牌保护。
像这样的东西:
现在我的授权要求具有业务人员希望分配给每个用户的自定义权限,以及他们可以执行或不执行的操作以及可见性。
我想将Identity4Server与活动目录一起用作开放ID提供程序。然后使用提供者api获取自定义权限并将这些权限放入声明中。然后在Api impl策略中要求指定角色和声明来完成权限规范。
像这样的东西:
Identity4Server配置:
services.AddAuthentication()
.AddOpenIdConnect("oidc", "OpenID Connect", options =>
{
options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
options.SignOutScheme = IdentityServerConstants.SignoutScheme;
options.SaveTokens = true;
options.RequireHttpsMetadata = false;
options.Authority = "https://login.microsoftonline.com/tenant/";
options.ClientId = "ClientId";
options.ClientSecret = "ClientSecret";
options.TokenValidationParameters = new TokenValidationParameters
{
NameClaimType = "name",
RoleClaimType = "role"
};
});
火:
services
.AddAuthentication(configure =>
{
configure.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
configure.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.Audience = "api";
options.Authority = "http://localhost:5000";
options.RequireHttpsMetadata = false;
});
var clientsPolicy = new AuthorizationPolicyBuilder()
.AddAuthenticationSchemes("Bearer")
.AddRequirements(new ClaimsAuthorizationRequirement("ClientsModule", new[] { "1" }))
.RequireRole("Admin")
.Build();
services.AddAuthorization(options =>
{
options.AddPolicy("Clients", clientsPolicy);
});
对于反应应用我正在使用这个npm“oidc-client”:“1.7.0”和https://medium.com/@franciscopa91/how-to-implement-oidc-authentication-with-react-context-api-and-react-router-205e13f2d49的类似方法和客户端配置是:(提供商非常相似,唯一改变的是url localhost:3001)
export const IDENTITY_CONFIG = {
authority: "http://localhost:5000",
clientId: "fronts",
redirect_uri: "http://localhost:3000/signin-oidc",
login: "http://localhost:5000/login",
automaticSilentRenew: false,
loadUserInfo: false,
silent_redirect_uri: "http://localhost:3000/silentrenew",
post_logout_redirect_uri: "http://localhost:3000/signout-callback-oidc",
audience: "fronts",
responseType: "id_token token",
grantType: "password",
scope: "openid api",
webAuthResponseType: "id_token token"
};
如果用户登录到客户端(localhost:3000)前面然后导航到提供者(localhost:3001),则不应再次登录。为了实现这一点,我配置了具有相同客户端ID的所有前端,但我不知道这是否是正确的方法。现在我在身份服务器中的配置类是:
public static IEnumerable<Client> GetClients()
{
return new List<Client>
{
new Client
{
ClientId = "fronts",
ClientSecrets =
{
new Secret("secret".Sha256())
},
ClientName = "All fronts",
AllowedGrantTypes = GrantTypes.Implicit,
AllowAccessTokensViaBrowser = true,
RedirectUris = { "http://localhost:3000/signin-oidc", "http://localhost:3001/signin-oidc" },
PostLogoutRedirectUris = { "http://localhost:3000/signout-callback-oidc", "http://localhost:3001/signout-callback-oidc" },
AllowedCorsOrigins = { "http://localhost:3000", "http://localhost:3001" },
AllowedScopes = new List<string>
{
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
"api"
}
}
};
}
您认为这种配置是正确的方法还是有更好的方法?
1个回答
投票
你提到过
许多不同的反应应用程序,具有不同的URL
但在你的代码片段中我只看到Clients(localhost:3000)。
无论如何,协议规范告诉我们注册尽可能多的客户端。 SSO是身份提供者的主要责任。
您只需要在IdSrv中将RequireConsent = false;添加到客户端def,以避免其他意外的用户交互。
另外,现在推荐的spa-s的auth流程是“code + pkce”。你可以看看this article,以获得过渡的详细信息。
最新问题
- .NET MAUI BindableLayout 在页面加载时不渲染
- C++ std::filesystem 相当于 C stat 函数中的 st_blksize?
- 列表中的每个子项都应该有一个唯一的“key”道具。检查 `SearchBar` 的渲染方法
- 为什么 GridDB 的 JDBC 驱动程序会抛出 JDBC_OPTIONAL_FEATURE_NOT_SUPPORTED 错误?
- Python:无法连接到 oracle db ORA-12537:TNS:连接已关闭
- .NET 8 razor 页面中 Ajax post 请求方法绑定失败
- 如何创建带有全局二级索引的表dynamodb
- 支付网关如何 POST 到我的返回 URL,以便输出显示在我的浏览器中,而不是其 POST 代码中
- 在 VS Code 中打开 C# 项目的本地文件时遇到问题
- Hyperledger Fabric 2.3 错误:无法在 Endorser 的截止日期之前连接 - 名称:
- 格式化电话号码
- ISE iMPACT 获取 JTAG 链时出错
- 从 LLM 输出了解 pydantic 输出解析器
- Shopify 自定义 HTML 表单到 Google Firebase Flutter 应用程序无法正常工作
- Android 应用程序更新减少了 Google Play 上支持的设备
- 其实有一种方法可以在函数层面导入*
- 使用 OpenCV 有条件地去除背景时避免将图像变黑
- 在 Three.js 中,如何才能让人脸在一定的约束条件下尽可能的面向相机?
- 使用 SQLAlchemy 一般检查服务器数据库版本
- Laravel Sail 中的 PHP 8.4 升级导致 PHPUnit 测试期间 zend_mm_heap 损坏错误