#openid-connect #openiddict
#openid-connect #openiddict
Вопрос:
Я работаю над рефакторингом в ASP.Net Приложение Core 2.1 для переключения с неявного потока с помощью SPA на поток кода авторизации с использованием клиентского приложения MVC. Поскольку мы используем библиотеку OpenIddict, я последовал документированному примеру Code Flow, который был фантастическим при запуске, но я быстро обнаружил, что срок действия моих токенов доступа истек и (как и ожидалось) сервер ресурсов начал отклонять запросы.
Мой вопрос: как лучше всего обновить токен доступа?
Я новичок в OpenID Connect в целом, но теоретически понимаю шаблоны из множества доступных ресурсов. Формулировка все еще немного непонятна для меня (грант, принципал, области и т.д.), Но, учитывая хороший пример, я уверен, что смогу добиться этого.
Заранее спасибо!
Что я пробовал:
Основываясь на том, что, казалось, подобные вопросы, я попытался реализовать токен обновления, используя обновить потока пример из того же источника выше. Хотя я полагаю, что правильно настроил сервер аутентификации, мне не удалось найти никаких примеров этого с использованием клиента C # (в приведенном выше примере используется приложение angular).
Редактировать: Когда я отправляю сообщение на конечную точку моего токена с помощью гранта refresh_token, я корректно получаю обратно новый токен доступа. Моя проблема в том, что я не уверен, как лучше всего справиться с этим оттуда. GetTokenAsync продолжает возвращать устаревший токен.
Запуск клиента:
services.AddAuthentication(options =>
{
options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
})
.AddCookie(options =>
{
options.LoginPath = new PathString("/signin");
})
.AddOpenIdConnect(options =>
{
// Note: these settings must match the application details
// inserted in the database at the server level.
options.ClientId = "Portal"; //TODO replace via configuration
options.ClientSecret = "---";
options.RequireHttpsMetadata = false;
options.GetClaimsFromUserInfoEndpoint = true;
options.SaveTokens = true;
options.ResponseType = OpenIdConnectResponseType.CodeIdToken;
options.AuthenticationMethod = OpenIdConnectRedirectBehavior.RedirectGet;
// Note: setting the Authority allows the OIDC client middleware to automatically
// retrieve the identity provider's configuration and spare you from setting
// the different endpoints URIs or the token validation parameters explicitly.
options.Authority = "https://localhost:57851"; //TODO replace via configuration
options.Scope.Add("email");
options.Scope.Add("roles");
options.Scope.Add("offline_access");
options.SecurityTokenValidator = new JwtSecurityTokenHandler
{
// Disable the built-in JWT claims mapping feature.
InboundClaimTypeMap = new Dictionary<string, string>()
};
options.TokenValidationParameters.NameClaimType = "name";
options.TokenValidationParameters.RoleClaimType = "role";
});
Автоматический запуск:
.AddServer(options =>
{
// Register the ASP.NET Core MVC services used by OpenIddict.
// Note: if you don't call this method, you won't be able to
// bind OpenIdConnectRequest or OpenIdConnectResponse parameters.
options.UseMvc();
// Enable the authorization, logout, token and userinfo endpoints.
options.EnableAuthorizationEndpoint("/connect/authorize")
.EnableLogoutEndpoint("/connect/logout")
.EnableTokenEndpoint("/connect/token")
.EnableUserinfoEndpoint("/api/userinfo");
options
.AllowAuthorizationCodeFlow()
.AllowRefreshTokenFlow();
// Mark the "email", "profile" and "roles" scopes as supported scopes.
options.RegisterScopes(
OpenIdConnectConstants.Scopes.Email,
OpenIdConnectConstants.Scopes.Profile,
OpenIddictConstants.Scopes.Roles,
OpenIddictConstants.Scopes.OfflineAccess);
// When request caching is enabled, authorization and logout requests
// are stored in the distributed cache by OpenIddict and the user agent
// is redirected to the same page with a single parameter (request_id).
// This allows flowing large OpenID Connect requests even when using
// an external authentication provider like Google, Facebook or Twitter.
options.EnableRequestCaching();
// During development, you can disable the HTTPS requirement.
if (env.IsDevelopment())
{
options.DisableHttpsRequirement();
options.AddEphemeralSigningKey(); // TODO: In production, use a X.509 certificate ?
}
options.SetAccessTokenLifetime(TimeSpan.FromMinutes(openIdConnectConfig.AccessTokenLifetimeInMinutes));
options.SetRefreshTokenLifetime(TimeSpan.FromHours(12));
})
.AddValidation();
Дескриптор:
var descriptor = new OpenIddictApplicationDescriptor{
ClientId = config.Id,
ClientSecret = config.Secret,
DisplayName = config.DisplayName,
PostLogoutRedirectUris = { new Uri($"{config.ClientOrigin}/signout-callback-oidc") },
RedirectUris = { new Uri($"{config.ClientOrigin}/signin-oidc") },
Permissions =
{
OpenIddictConstants.Permissions.Endpoints.Authorization,
OpenIddictConstants.Permissions.Endpoints.Logout,
OpenIddictConstants.Permissions.Endpoints.Token,
OpenIddictConstants.Permissions.GrantTypes.AuthorizationCode,
OpenIddictConstants.Permissions.GrantTypes.RefreshToken,
OpenIddictConstants.Permissions.Scopes.Email,
OpenIddictConstants.Permissions.Scopes.Profile,
OpenIddictConstants.Permissions.Scopes.Roles
}};
Конечная точка токена:
if (request.IsRefreshTokenGrantType()){
// Retrieve the claims principal stored in the refresh token.
var info = await HttpContext.AuthenticateAsync(OpenIdConnectServerDefaults.AuthenticationScheme);
// Retrieve the user profile corresponding to the refresh token.
// Note: if you want to automatically invalidate the refresh token
// when the user password/roles change, use the following line instead:
// var user = _signInManager.ValidateSecurityStampAsync(info.Principal);
var user = await _userManager.GetUserAsync(info.Principal);
if (user == null)
{
return BadRequest(new OpenIdConnectResponse
{
Error = OpenIdConnectConstants.Errors.InvalidGrant,
ErrorDescription = "The refresh token is no longer valid."
});
}
// Ensure the user is still allowed to sign in.
if (!await _signInManager.CanSignInAsync(user))
{
return BadRequest(new OpenIdConnectResponse
{
Error = OpenIdConnectConstants.Errors.InvalidGrant,
ErrorDescription = "The user is no longer allowed to sign in."
});
}
// Create a new authentication ticket, but reuse the properties stored
// in the refresh token, including the scopes originally granted.
var ticket = await CreateTicketAsync(request, user, info.Properties);
ticket.SetScopes(OpenIdConnectConstants.Scopes.OfflineAccess);
return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme);}
Комментарии:
1. Вы когда-нибудь находили ответ на @playtoh?
2. Короткий ответ — нет, ничего четкого. Более длинный ответ: в итоге я сделал что-то вроде следующего: когда был сделан запрос, я бы проверил «expires_at» в текущем токене, использовал свой токен обновления, чтобы получить новый токен доступа, если срок его действия истек или приближается к истечению. Затем, после получения нового токена доступа, я переписал существующий (хранилище cookie) и отправил с ним исходный запрос.
Ответ №1:
Допустимо пытаться вызвать защищенный ресурс с помощью вашего токена доступа, даже если срок его действия истек, он недействителен и т.д. Если защищенный ресурс отклоняет токен, вы можете попытаться получить новый токен доступа, отправив POST в конечную точку /token с токеном обновления. Вот некоторые JS, но концепция все еще применима.
var refreshAccessToken = function(req, res) {
var form_data = qs.stringify(
{
grant_type: 'refresh_token',
refresh_token: refresh_token
});
var headers = {
'Content-Type': 'application/x-www-form-urlencoded',
'Authorization': 'Basic ' encodeClientCredentials(client.client_id,
client.client_secret)
};
console.log('Refreshing token %s', refresh_token);
var tokRes = request('POST', authServer.tokenEndpoint, {
body: form_data,
headers: headers
});
if (tokRes.statusCode >= 200 amp;amp; tokRes.statusCode < 300) {
var body = JSON.parse(tokRes.getBody());
access_token = body.access_token;
console.log('Got access token: %s', access_token);
if (body.refresh_token) {
refresh_token = body.refresh_token;
console.log('Got refresh token: %s', refresh_token);
}
scope = body.scope;
console.log('Got scope: %s', scope);
// try again
res.redirect('/fetch_resource');
return;
} else {
console.log('No refresh token, asking the user to get a new access token');
// tell the user to get a new access token
refresh_token = null;
res.render('error', {error: 'Unable to refresh token.'});
return;
}
};
Комментарии:
1. Так что, если это поток паролей, тогда вы постоянно запрашиваете у пользователя имя пользователя и пароль или рискуете хранить учетные данные где-нибудь? автор спрашивает openiddict, который является библиотекой openid в NETCore, ваш ответ также не имеет отношения к делу.