OpenId Connect和自定义标识框架

问题描述 投票:0回答:1

我正在使用Okta示例在Asp.NET 4.6.x MVC Web应用程序中实现OpenIdConnect。该应用程序使用Unity for Dependency Injection,其中一个依赖项是Identity Framework的一组自定义类。我没有使用Okta API,因为IdP实际上并不是Okta而且我假设其中有专有的东西。所以它是OpenId部分的所有.NET标准库。

点击登录后我可以浏览代码,它会将我带到IdP,我可以使用我的帐户登录,然后它会将我带回来,我可以看到他们登录的所有信息。但它并没有像Okta的GitHub那样登录我或者其他任何东西。

基本上我想知道身份定制是否会干扰登录,如果有办法进入中间并指定我需要它做什么?

        app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions {
            ClientId = clientId 
            , ClientSecret = clientSecret
            , Authority = authority
            , RedirectUri = redirectUri
            , AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Passive
            , ResponseType = OpenIdConnectResponseType.CodeIdToken
            , Scope = OpenIdConnectScope.OpenIdProfile
            , PostLogoutRedirectUri = postLogoutRedirectUri
            , TokenValidationParameters = new TokenValidationParameters { NameClaimType = "name" }
            , Notifications = new OpenIdConnectAuthenticationNotifications {
                AuthorizationCodeReceived = async n =>
                {
                    //var tokenClient = new TokenClient($"{authority}/oauth2/v1/token", clientId, clientSecret);
                    var tokenClient = new TokenClient($"{authority}/connect/token", clientId, clientSecret);
                    var tokenResponse = await tokenClient.RequestAuthorizationCodeAsync(n.Code, redirectUri);

                    if (tokenResponse.IsError)
                    {
                        throw new Exception(tokenResponse.Error);
                    }

                    //var userInfoClient = new UserInfoClient($"{authority}/oauth2/v1/userinfo");
                    var userInfoClient = new UserInfoClient($"{authority}/connect/userinfo");
                    var userInfoResponse = await userInfoClient.GetAsync(tokenResponse.AccessToken);
                    var claims = new List<System.Security.Claims.Claim>();
                    claims.AddRange(userInfoResponse.Claims);
                    claims.Add(new System.Security.Claims.Claim("id_token", tokenResponse.IdentityToken));
                    claims.Add(new System.Security.Claims.Claim("access_token", tokenResponse.AccessToken));

                    if (!string.IsNullOrEmpty(tokenResponse.RefreshToken))
                    {
                        claims.Add(new System.Security.Claims.Claim("refresh_token", tokenResponse.RefreshToken));
                    }

                    n.AuthenticationTicket.Identity.AddClaims(claims);

                    return;
                }
                , RedirectToIdentityProvider = n =>
                  {
                    // If signing out, add the id_token_hint
                    if (n.ProtocolMessage.RequestType == OpenIdConnectRequestType.Logout)
                    {
                          var idTokenClaim = n.OwinContext.Authentication.User.FindFirst("id_token");

                          if (idTokenClaim != null)
                          {
                              n.ProtocolMessage.IdTokenHint = idTokenClaim.Value;
                          }

                    }

                    return Task.CompletedTask;
                  }
                }
        });
c# asp.net-mvc openid-connect okta
1个回答
1
投票

Okta返回的令牌必须由您的应用程序管理才能执行登录操作。返回的OIDC令牌需要由您进行验证和验证,然后决定是否接受OIDC令牌。如果是这样,您可以采取措施将用户登录到您的应用程序中。由于OpenID Connect流而接收OIDC令牌本身并不会将您登录到应用程序。在进行登录或拒绝操作之前,应用程序需要根据令牌内容执行更多工作。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.