具有 Identity Server4 并发登录的隐式授予 SPA

如何使用授权类型限制特定 SPA 客户端中每个客户端应用程序的 x 登录次数 - 隐式

这超出了身份服务器的范围 https://github.com/IdentityServer/IdentityServer4/issues/736

尝试过的解决方案 -

1. 访问令牌保留到数据库，但是这种方法客户端不断更新访问令牌而无需编写代码，因为客户端浏览器请求带有有效令牌，尽管其已过期，静默身份验证正在通过发出新的引用令牌来更新令牌（这可以见表 persistGrants token_type 'reference_token')

2. Cookie 事件 - 在 validateAsync 上 - 虽然这仅适用于服务器 Web，但运气不太好，我们不能将此逻辑放在 SPA 客户端的 oidc 库上。

3. 通过重写 SignInAsync 自定义 SignInManager - 但在调试模式下执行未达到此点，因为 IDM 不断识别用户具有有效令牌（尽管已过期）并不断重新颁发令牌（请注意，此处没有刷新令牌可供管理）通过存储和修改来实现！！！）

即使访问令牌已过期，IDM 如何在不带用户登录屏幕的情况下重新颁发令牌的任何线索？？（静默身份验证 https://auth0.com/docs/api-auth/tutorials/silent-authentication. ??

实施配置文件服务覆盖activesync

  public override async Task IsActiveAsync(IsActiveContext context)
    {
        var sub = context.Subject.GetSubjectId();
        var user = await userManager.FindByIdAsync(sub);

        //Check existing sessions
        if (context.Caller.Equals("AccessTokenValidation", StringComparison.OrdinalIgnoreCase))
        {
            if (user != null)
                context.IsActive = !appuser.VerifyRenewToken(sub, context.Client.ClientId);
            else
                context.IsActive = false;
        }
        else
            context.IsActive = user != null;
    }

startup

services.AddTransient<IProfileService, ProfileService>();

将身份服务器服务添加到配置服务下的集合中时

 .AddProfileService<ProfileService>();

Update

Session.Abandon(); //is only in aspnet prior versions not in core
Session.Clear();//clears the session doesn't mean that session expired this should be controlled by addSession life time when including service.

我碰巧找到了一种更好的方法，即使用 aspnetuser securitystamp，每次用户登录时都会更新安全标记，以便任何先前的活动会话/cookie 都将失效。

_userManager.UpdateSecurityStampAsync(_userManager.FindByEmailAsync(model.Email).Result).Result

更新（最终）：

登录时：-

var result = await _signInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberLogin, false);
                if (result.Succeeded)
                {
            //Update security stamp to invalidate existing sessions           
                    var user = _userManager.FindByEmailAsync(model.Email).Result;
                    var test= _userManager.UpdateSecurityStampAsync(user).Result;
                    //Refresh the cookie to update securitystamp on authenticationmanager responsegrant to the current request
                    await _signInManager.RefreshSignInAsync(user);
          }

配置文件服务实施：-

public class ProfileService : ProfileService<ApplicationUser>

{
public override async Task IsActiveAsync(IsActiveContext context)
        {
            if (context == null) throw new ArgumentNullException(nameof(context));
            if (context.Subject == null) throw new ArgumentNullException(nameof(context.Subject));

            context.IsActive = false;

            var subject = context.Subject;
            var user = await userManager.FindByIdAsync(context.Subject.GetSubjectId());

            if (user != null)
            {
                var security_stamp_changed = false;

                if (userManager.SupportsUserSecurityStamp)
                {
                    var security_stamp = (
                        from claim in subject.Claims
                        where claim.Type =="AspNet.Identity.SecurityStamp"
                        select claim.Value
                        ).SingleOrDefault();

                    if (security_stamp != null)
                    {
                        var latest_security_stamp = await userManager.GetSecurityStampAsync(user);
                        security_stamp_changed = security_stamp != latest_security_stamp;
                    }
                }

                context.IsActive =
                    !security_stamp_changed &&
                    !await userManager.IsLockedOutAsync(user);
            }
        }
    }   

*

挂钩服务集合：-

*

services.AddIdentityServer()
    .AddAspNetIdentity<ApplicationUser>()                
         .AddProfileService<ProfileService>();

即每次登录时，用户的安全标记都会更新并推送到 cookie，当令牌过期时，授权端点将验证安全更改，如果有任何更改，则重定向用户登录。这样我们就可以确保只有一个活动会话