Identity Server 4 上授权客户端的自定义端点

2024-04-29

我希望我的 Identity Server 4 服务器提供附加服务（例如，"MyAdditionalService"）对于一些注册客户。他们将通过在服务器上定义的自定义端点来使用该服务。

我正在考虑为我的该服务定义一个 API（例如，名为“myAdditionalService”），以便可以根据客户端的配置向客户端授予对此类服务的访问权限。但是，我不确定如何限制对端点（MVC - 操作方法）的访问，仅允许允许使用 API 的客户端（可能代表用户）。

我发现我可以这样做：

services.AddAuthorization(options =>
     {
       options.AddPolicy("MyAdditionalServicePolicy",
           policy => policy.RequireClaim("scope", 
           "myAdditionalService"));
      });

并使用属性[Authorize("MyAdditionalServicePolicy")]装饰用于访问此类服务的操作方法。但是，我不知道服务器是否可以同时作为API，甚至不知道是否可能。

我怎样才能实现这个？令人困惑的是，令牌服务也扮演着 API 的角色，因为它保护对操作方法或端点的访问。

Thanks.

UPDATE:

我的网络应用程序是一个 IdentityServerWithAspNetIdentity ，它已经使用了 Asp.net core Identity 的身份验证机制。举个例子，如果向某些注册客户提供的附加服务，我的 Web 应用程序是用户的 Twitter 好友列表（在名为 Twitter 的控制器上建模，名为 ImportFriends 的操作），因此 api 称为“TwitterFriends”

根据下面回复的建议，我修改了我的Configure()方法有app.UseJwtBearerAuthentication()。我已经有了app.UseIdentity() and app.UseIdentityServer()如下所示：

        app.UseIdentity();
        app.UseIdentityServer();


        app.UseJwtBearerAuthentication(new JwtBearerOptions
        {
            AuthenticationScheme = "Bearer",
            Authority = Configuration["BaseUrl"],
            Audience = "TwitterFriends",
            RequireHttpsMetadata = false                 //TODO: make true, it is false for development only
        });

        // Add external authentication middleware below. To configure them please see http://go.microsoft.com/fwlink/?LinkID=532715
        app.UseGoogleAuthentication(new GoogleOptions
        {
            AuthenticationScheme = "Google",
            SignInScheme = "Identity.External", // this is the name of the cookie middleware registered by UseIdentity()

在专用控制器上：

 [Authorize(ActiveAuthenticationSchemes = "Identity.Application,Bearer")]
//[Authorize(ActiveAuthenticationSchemes = "Identity.Application")]
//[Authorize(ActiveAuthenticationSchemes = "Bearer")]
[SecurityHeaders]
public class TwitterController : Controller
{...

但我在日志中得到了这个：

info: Microsoft.AspNetCore.Authentication.Cookies.CookieAuthenticationMiddleware
[7]
      Identity.Application was not authenticated. Failure message: Unprotect tic
ket failed
info: Microsoft.AspNetCore.Authorization.DefaultAuthorizationService[2]
      Authorization failed for user: (null).
info: Microsoft.AspNetCore.Mvc.Internal.ControllerActionInvoker[1]
      Authorization failed for the request at filter 'Microsoft.AspNetCore.Mvc.A
uthorization.AuthorizeFilter'.
info: Microsoft.AspNetCore.Mvc.ChallengeResult[1]
      Executing ChallengeResult with authentication schemes (Identity.Applicatio
n, Bearer).
info: Microsoft.AspNetCore.Authentication.Cookies.CookieAuthenticationMiddleware
[12]
      AuthenticationScheme: Identity.Application was challenged.
info: Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerMiddleware[12]
      AuthenticationScheme: Bearer was challenged.
info: Microsoft.AspNetCore.Mvc.Internal.ControllerActionInvoker[2]
      Executed action IdentityServerWithAspNetIdentity.Controllers.TwitterContro
ller.ImportFriends (IdentityServerWithAspNetIdentity) in 86.255ms
info: Microsoft.AspNetCore.Hosting.Internal.WebHost[2]
      Request finished in 105.2844ms 401

我尝试了该属性的不同组合，但似乎 Identity.Application 和 Bearer 在这种情况下无法相处：收到 401。

任何帮助表示赞赏。谢谢..

请参阅此示例，了解如何在与 IdentityServer 相同的 Web 应用程序中托管 API。

https://github.com/brockallen/IdentityServerAndApi https://github.com/brockallen/IdentityServerAndApi

本质上，您需要添加 JWT 令牌验证处理程序：

services.AddAuthentication() .AddJwtBearer(jwt => { jwt.Authority = "base_address_of_identityserver"; jwt.Audience = "name of api"; });

在 API 本身上，您必须选择 JWT 身份验证方案：

public class TestController : ControllerBase { [Route("test")] [Authorize(AuthenticationSchemes = "Bearer")] public IActionResult Get() { var claims = User.Claims.Select(c => new { c.Type, c.Value }).ToArray(); return Ok(new { message = "Hello API", claims }); } }

如果您想强制执行额外的授权策略，您可以将其传递到 [Authorize] 属性中或强制调用它。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

IdentityServer4

Identity Server 4 上授权客户端的自定义端点的相关文章

如何在 ASP.NET Identity 中使用 ASP.NET 会员数据库？

我有几个旧版 ASP NET Web 应用程序共享 ASP NET 成员资格数据库我想迁移到利用 NET Core 和 IdentityServer4 的微服务架构并在新的微服务生态系统中拥有身份服务器以使用现有的 ASP NET 会员
IdentityServer4 如何在登录后重定向到上一个 url 页面而不在 IdP 注册所有路由

按照建议我会在 IdP 上注册授权回调 url redirect url 它可以工作但是如果使用 MVC 应用程序的客户端尝试访问未经授权的页面将会被重定向到 idsrv 登录页面该怎么办 redirect url 始终是配置的
填充的用户中没有访问令牌（Claimsprincipal）

我们使用 IdentityServer4 作为 IdentityServer 使用 IdentityServer3 作为客户端 ASP NET MVC 5 一切正常用户声明原则通过 OWIN 正确设置但我无法从用户那里获取访问令牌
WebApi Authorize 属性与 services.AddIdentity 返回 404 Not Found

我有一个简单的 WebApi 项目它使用IdentityServer4 AccessTokenValidation验证由IdentityServer4开发地址服务器 https localhost 44347 我通过将以下数据发送到身份服
如何使用 CodeFirst 方法在 IdentityServer 4 的 Client 表中添加新列？

我正在实施 IdentityServer4 我尝试向 Client 添加新字段 CustomerId 在进行迁移时它会创建名为 Client 的新表而不是在 Clients 表中添加新列 namespace xx xx Models T
使用 asp.net 身份在身份服务器 4 中实现角色

我正在开发一个 asp net MVC 应用程序使用身份服务器 4 作为令牌服务我也有一个 api 其中有一些安全资源我想为 api 实现角色授权我想确保只有具有有效角色的授权资源才能访问 api 端点否则会收到 401 未经授
如何将 IdentityServer4 Identity 映射到任何 WebApp（.Net MVC Boilerplate、.Net Core Boilerplate）

我正在创建一个 SSO 服务器将所有用户集中在 Active Directory AD 中并在那里管理它们而不是管理每个特定应用程序的数据库为了制作这个服务器我使用了 IdentityServer4 Idsr4 和LDAP AD 扩
IdentityServer 4 与本地 Active Directory

我们的客户有许多应用程序他们希望将其集成为仅登录一次单点登录但他们希望在拥有自己的服务器的前提下使用活动目录我们决定评估 IdentityServer 所以我们发现了这个http docs identityserver io en
AddApiAuthorization 的默认设置（Scaffolded Angular + IdentityServer4）

我在用着this https learn microsoft com en us aspnet core security authentication identity api authorization view aspnetcore
多租户身份服务器 4

我正在尝试实现一个 IdentityServer 来处理多租户应用程序的 SSO 我们的系统将只有一个 IdentityServer4 实例来处理多租户客户端的身份验证在客户端我正在使用acr value传递租户 ID Startup
IdentityServer4分别对每个客户端进行身份验证

我使用两个不同的客户端 IdentityServer4提供API保护和登录表单我可以配置客户端以避免单点登录吗我的意思是即使我登录了第一个客户端我也需要登录第二个客户端我的ID4配置 internal static IEnumer
在 Identityserver4 .NET Core 中启用多个 AzureAd

我正在尝试在一台身份服务器中启用多个 AzureAD 的登录功能这是必要的因为多个租户需要能够通过 1 个身份服务器登录到自己的 AzureAD 这些设置将动态发生对于此示例我对 AuthenticationBuilder 进行了扩
使用具有 SAML 2 的 Identity Server 与其他身份提供商进行 SSO

我使用 Identity server 4 和 OIDC 实现了身份验证和授权以允许访问我们的应用程序的客户端获取访问我们的资源服务器 Web API 所需的令牌这是当前的架构 Identity Server 4 使用我的自定义数据库对
在 nginx 反向代理后面配置 IdentityServer4

我的 WebApi 受 nginx 反向代理后面的 IdentityServer4 保护代理通行证配置 location api proxy pass http 127 0 0 1 3110 proxy set header Host h
生成访问令牌并通过 Azure API 管理针对 IdentityServer4 进行验证

我有一个外部端点它将访问 Azure API 网关并将其路由到受 IdentityServer4 授权保护的后端 API 如果我使用来自 IdentityServer 的交互式 UI 通过 Postman 客户端访问它我就会获得访问令
具有 Identity Server4 并发登录的隐式授予 SPA

如何使用授权类型限制特定 SPA 客户端中每个客户端应用程序的 x 登录次数隐式这超出了身份服务器的范围 https github com IdentityServer IdentityServer4 issues 736 尝试过的解决
如何使用 Identity Server 4 颁发基于 Windows 身份验证的访问令牌

我的目标是保护 Web API 以便客户端只能使用 IS 基于 Windows 身份验证颁发的访问令牌来访问它我完成了这个基本示例 http docs identityserver io en release quickstarts 1
使用 IdentityServer4 生成无密码的访问令牌

我已经使用 ROPC 流创建了受 IdentityServer4 保护的 ASP NET Core WebApi 使用以下示例 https github com robisim74 AngularSPAWebAPI https github
IdentityServer4 客户端 - 刷新 CookieAuthenticationEvents 上的访问令牌

我试图在访问令牌过期时使用刷新令牌类似的问题已回答here https stackoverflow com a 41557598 3501052 And 更新令牌的示例代码 https stackoverflow com question
获得新的 access_token 后，如何更新我的 cookie？

使用刷新令牌获取新的访问令牌后我想使用该访问令牌更新我的客户端 cookie 我的客户端能够使用 ajax 登录并调用我的 REST API 但是当第一次授权过期时 API 调用自然不再起作用我有一个 NET Web 应用程序它使用自

随机推荐

C 预处理器字符串化怪异

我正在定义一个宏该宏的计算结果为常量字符串保存文件名和行号用于记录目的它工作正常但我只是不明白为什么需要 2 个额外的宏 STRINGIFY and TOSTRING 当直觉简单地表明 FILE LINE include
在 iOS 上的 PhoneGap 或 Cleaver (Cordova) 中加载远程 html

我在我的本机 iOS 6 应用程序中使用 Cordova 2 4 组件 Cleaver 和嵌入式视图到目前为止我已经成功创建了项目结构链接了 Cordova 库并设置了 Hello World 应用程序该应用程序确实可以提供设备就
使用awk对字段进行排序和排列

我现在正在尝试学习 awk 我想做一项特定的任务我的问题与之前发布的问题范围相似使用 awk 将列转置为行 https stackoverflow com questions 13634816 using awk to transpos
如何将多个 .txt 文件读入 R？ [复制]

这个问题在这里已经有答案了我正在使用 R 来可视化一些数据所有这些数据都是 txt 格式一个目录中有几百个文件我想一次性将其全部加载到一个表中有什么帮助吗 EDIT 列出文件不是问题但我在从列表到内容的过程中遇到了困难我已经尝
我可以在 MySQL 中存储图像吗？

这个问题在这里已经有答案了可能的重复 MySQL 中的图像 https stackoverflow com questions 1665730 images in mysql 在 MySQL 中存储图像 https stackoverfl
通过php在csv单元格中创建回车符

我正在尝试动态生成一个 csv 文件其中包含一些包含多行的单元格例如地址字段需要分组为单个地址单元格而不是地址城市州等一切进展顺利但在过去的两天里我尝试在代码中插入 r r n n chr 10 chr 13 以及回车
C# IAttachmentExecute

我正在尝试使用I附件执行 http msdn microsoft com en us library bb776297 28VS 85 29 aspx我的 C 应用程序中的接口使用 NET4和VS2010 MSDN 说它在Shdocvw
如何在 VSCode 的 zen 模式下启用行号？

有没有办法在 VSCode 的 zen 模式下启用行号 In your settings json插入行 zenMode hideLineNumbers false
SQL Server 存储过程中的可选参数

我正在写一些存储过程 https en wikipedia org wiki Stored procedure在 SQL Server 2008 中这里可能存在可选输入参数的概念吗我想我总是可以传入 NULL 作为我不想使用的参数检查
C#：保留类中构造函数的引用参数

基本上我希望能够引用类实例内的变量但我希望引用成为类变量因此我不需要将其作为参数在类内部发送 code int num 0 myClass num print num output is 0 but i d like it to be
Bootstrap 轮播下一个和上一个功能不起作用

使用最新版本并具有基本的轮播我已经让它可以使用所有默认设置但是当尝试添加或停止某些功能时事情会中断或根本不起作用我希望能够手动循环浏览图像不希望它自动循环我只想使用下一个和上一个按钮来循环我在这里读过一些帖子但解决方案不起作
将闪亮应用程序部署到 Shinyapps.io 时出错

我有一个闪亮的应用程序它在server R file library shiny Creating the app library ggplot2 library plyr library reshape2 library scales
Python 3 urllib 与请求性能

我正在使用 python 3 5 并且正在检查 urllib 模块与 requests 模块的性能我用 python 编写了两个客户端第一个使用 urllib 模块第二个使用 request 模块它们都生成二进制数据我将其发送到基
在循环中初始化变量[重复]

这个问题在这里已经有答案了我试图弄清楚初始化某些变量时的最佳实践是什么我的代码现在看起来像这样 int nHexCount 0 int prevState sc state bool bOnlySpaces true bool bIsV
编译器处理包含保护头的开销有多大？

为了加速大型源文件的编译修剪翻译单元中使用的标头数量是否更有意义或者编译代码的成本是否远远超过处理包含保护的时间标头如果后者是真的那么工程工作最好花在创建更多轻量级的标头上而不是更少那么现代编译器需要多长时间才能处理有效包含
比较 nginx+Apache+mod_wsgi 与 nginx+uWSGI？

在生产中使用 nginx Apache mod wsgi 与 nginx uWSGI vurtualenv 有何优缺点我在自 2007 年以来开发的 mod wsgi 中看到了第一个变体的优点并且具有更稳定的版本和易于管理第二种变体的
Magento 以编程方式删除产品图像

这肯定是一个非常简单的编程任务我绝对无法在网上找到任何有关它的信息基本上我正在尝试删除产品图像我想删除产品媒体库中的所有图像我可以在不为如此简单的任务编写一百万行代码的情况下完成此操作吗请注意我已经尝试过 attributes
ActiveModel::ForbiddenAttributesError + cancan + Rails 4 + 具有作用域控制器的模型

我正在使用 cancan 1 6 10 和 Rails 4 0 0 我有一个名为 App 未限定范围的模型和一个控制器 Admin AppsController 其限定范围即 app controllers admin apps con
如何为json可序列化对象设置默认值？

我想设置一个默认值AvailableService 对于原语来说它足够简单我将如何使用自定义对象来做到这一点 class Submenu extends Equatable JsonKey defaultValue final Strin
Identity Server 4 上授权客户端的自定义端点

我希望我的 Identity Server 4 服务器提供附加服务例如 MyAdditionalService 对于一些注册客户他们将通过在服务器上定义的自定义端点来使用该服务我正在考虑为我的该服务定义一个 API 例如名为 myA

Identity Server 4 上授权客户端的自定义端点

Identity Server 4 上授权客户端的自定义端点 的相关文章

随机推荐

热门标签

Identity Server 4 上授权客户端的自定义端点的相关文章