原文:https://leastprivilege.com/2017/11/15/missing-claims-in-the-asp-net-core-2-openid-connect-handler/
发布于:2017年11月
环境:ASP.NET Core 2.0

通过OIDC provider 把Claims映射到ClaimsPrincipal这一步骤,在ASP.NET Core 2中新的OpenID Connect handler具有不同的行为。
这是特别令人困惑和难以诊断的,因为这里有几个部件聚集在一起。我们来看一下。
您可以使用我的示例OIDC客户端来观察到相同的结果。

将标准claim类型映射到Microsoft专有claim类型

一件令人烦恼的事情是微软仍然认为他们知道什么是最适合你的,将OIDC标准声明映射到其专有声明。
可以通过清除Microsoft JWT令牌处理程序上的入站声明类型映射来优雅地修复:

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

基本的OpenId Connect授权请求

接下来,让我们从客户端请求openid scope的场景开始。
首先令人困惑的是Microsoft使用openid和profile scope预先在OpenIdConnectOptions上填充了Scope集合。这意味着如果你只想请求openid,你首先需要清除Scope集合,然后手动添加openid。

services.AddAuthentication(options =>

{

    options.DefaultScheme = "Cookies";

    options.DefaultChallengeScheme = "oidc";

})

    .AddCookie("Cookies", options =>

    {

        options.AccessDeniedPath = "/account/denied";

    })

    .AddOpenIdConnect("oidc", options =>

    {

        options.Authority = "https://demo.identityserver.io";

        options.ClientId = "server.hybrid";

        options.ClientSecret = "secret";

        options.ResponseType = "code id_token";

        options.SaveTokens = true;

        options.Scope.Clear();

        options.Scope.Add("openid");

        options.TokenValidationParameters = new TokenValidationParameters

        {

            NameClaimType = "name",

            RoleClaimType = "role"

        };

    });

使用ASP.NET Core v1处理程序,将返回以下声明:nbf,exp,iss,aud,nonce,iat,c_hash,sid,sub,auth_time,idp,amr。

在V2中我们只能得到sid,sub和idp。发生了什么?

微软在其OpenID Connect handler中添加了一个名为ClaimActions的新概念。Claim actions用来实现自外部provider的claim如何映射(或不)到您的ClaimsPrincipal中的claim。查看OpenIdConnectOptions的构造函数,您可以看到,处理程序现在默认会跳过以下声明:

ClaimActions.DeleteClaim("nonce");

ClaimActions.DeleteClaim("aud");

ClaimActions.DeleteClaim("azp");

ClaimActions.DeleteClaim("acr");

ClaimActions.DeleteClaim("amr");

ClaimActions.DeleteClaim("iss");

ClaimActions.DeleteClaim("iat");

ClaimActions.DeleteClaim("nbf");

ClaimActions.DeleteClaim("exp");

ClaimActions.DeleteClaim("at_hash");

ClaimActions.DeleteClaim("c_hash");

ClaimActions.DeleteClaim("auth_time");

ClaimActions.DeleteClaim("ipaddr");

ClaimActions.DeleteClaim("platf");

ClaimActions.DeleteClaim("ver");

如果您想“取消”跳过某项声明,则需要在设置handler时删除特定声明。以下是获取amr声明的非常直观的语法:

options.ClaimActions.Remove("amr");

从OIDC provider请求更多的Claim

当你要求更多的范围时,例如个人资料或自定义范围导致更多索赔,还有另一个令人困惑的细节需要注意。
根据OIDC协议中的response_type,某些声明通过id_token进行传输,有些通过userinfo端点进行传输。我在这里写了关于此细节的文章
因此,首先您需要在处理程序中启用对userinfo端点的支持:

options.GetClaimsFromUserInfoEndpoint = true;

如果声明由userinfo返回,ClaimsActions将用于从返回的JSON文档映射claim到principal。这里使用以下默认设置:

ClaimActions.MapUniqueJsonKey("sub", "sub");

ClaimActions.MapUniqueJsonKey("name", "name");

ClaimActions.MapUniqueJsonKey("given_name", "given_name");

ClaimActions.MapUniqueJsonKey("family_name", "family_name");

ClaimActions.MapUniqueJsonKey("profile", "profile");

ClaimActions.MapUniqueJsonKey("email", "email");

如果您向您的客户发送的不属于上述列表的claim,它会被忽略,您需要进行明确的映射。例如您希望客户端通过userinfo(标准OIDC声明之一,但不幸未由Microsoft映射)获得website claim - 您需要自行添加映射:

options.ClaimActions.MapUniqueJsonKey("website", "website");

这同样适用于您通过userinfo返回的任何其他声明。

我希望这有帮助。简而言之 – 你应该明确的知道你的映射,因为我相信这些默认映射将在可能会发生变化,这将导致您的客户端应用程序出现意外行为。

Asp.net Core 2.0 OpenId Connect Handler缺失Claims?的更多相关文章

  1. [翻译]在asp.net core2.0 OpenID Connect Handler中丢失了声明(CLaims)?

    注:这是一篇翻译,来自这里.这篇文章讲述了在asp.net core2.0中使用openid connect handler的过程中解析不到你想要的claim时,你可以参考这篇文章. Missing ...

  2. [转]Writing Custom Middleware in ASP.NET Core 1.0

    本文转自:https://www.exceptionnotfound.net/writing-custom-middleware-in-asp-net-core-1-0/ One of the new ...

  3. [译]Writing Custom Middleware in ASP.NET Core 1.0

    原文: https://www.exceptionnotfound.net/writing-custom-middleware-in-asp-net-core-1-0/ Middleware是ASP. ...

  4. 用ASP.NET Core 1.0中实现邮件发送功能

    准备将一些项目迁移到 asp.net core 先从封装类库入手,在遇到邮件发送类时发现在 asp.net core 1.0中并示提供SMTP相关类库,于是网上一搜发现了MailKit 好东西一定要试 ...

  5. ASP.NET Core 2.0 SignalR 示例

    # 一.前言 上次讲SignalR还是在<[在ASP.NET Core下使用SignalR技术](http://dotnet.ren/2017/02/21/%E5%9C%A8ASP-NET-Co ...

  6. 在ASP.NET CORE 2.0使用SignalR技术

    一.前言 上次讲SignalR还是在<在ASP.NET Core下使用SignalR技术>文章中提到,ASP.NET Core 1.x.x 版本发布中并没有包含SignalR技术和开发计划 ...

  7. Razor Page–Asp.Net Core 2.0新功能

    Razor Page介绍 前言 上周期待已久的Asp.Net Core 2.0提前发布了,一下子Net圈热闹了起来,2.0带来了很多新的特性和新的功能,其中Razor Page引起我的关注,作为web ...

  8. asp.net core 2.0 web api基于JWT自定义策略授权

    JWT(json web token)是一种基于json的身份验证机制,流程如下: 通过登录,来获取Token,再在之后每次请求的Header中追加Authorization为Token的凭据,服务端 ...

  9. 从头编写 asp.net core 2.0 web api 基础框架 (1)

    工具: 1.Visual Studio 2017 V15.3.5+ 2.Postman (Chrome的App) 3.Chrome (最好是) 关于.net core或者.net core 2.0的相 ...

随机推荐

  1. Prometheus磁盘监控

    根据挂载目录 (node_filesystem_size_bytes {mountpoint ="/"} - node_filesystem_free_bytes {mountpo ...

  2. PHP获取远程文件的大小,通过ob_get_contents实现

    function remote_filesize($uri,$user='',$pw='') { ob_start(); $ch = curl_init($uri); curl_setopt($ch, ...

  3. [转][osg]探索未知种族之osg类生物【目录】

    作者:3wwang 原文链接:http://www.3wwang.cn/html/article_58.html 前序 探索未知种族之osg类生物---起源 ViewBase::frame函数中的Vi ...

  4. logrotate机制&原理

    logrotate机制&原理 centos系统中默认安装logrotate,logrotate主配置文件:/etc/logrotate.conf,其中定义了系统默认的logrotate规则,当 ...

  5. 【Mac】解决macos安装升级时报错安装所选更新时发生错误的问题

    1 系统更新macjave 更新一直失败: 2  解决方法为:重新启动Mac,并按住Command+R进入恢复模式,找到Terminal后输入csrutil disable,然后重启Mac,再次下载并 ...

  6. Qt编写自定义控件70-扁平化flatui

    一.前言 对于现在做前端开发人员来说,FlatUI肯定不陌生,最近几年扁平化的设计越来越流行,大概由于现在PC端和移动端的设备的分辨率越来越高,扁平化反而看起来更让人愉悦,而通过渐变色产生的质感色彩反 ...

  7. Flink统计当日的UV、PV

    Flink 统计当日的UV.PV 测试环境: flink 1.7.2 1.数据流程 a.模拟数据生成,发送到kafka(json 格式) b.flink 读取数据,count c. 输出数据到kafk ...

  8. Vue cli4.0 代理配置

    proxy: { '/service': { target: 'http://192.168.40.243:3000/', //对应自己的接口 changeOrigin: true, ws: true ...

  9. centos/Fedora/RHEL 安全设置

    centos/Fedora/RHEL •     整改方法: •     验证检查:  1.查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期:  2.查看/etc/pam.d ...

  10. Spring MVC如何获取请求中的参数

    目录 一.获取URL中路径参数 1.1 @PathVariable 注解 1.2 @PathParam 注解 二.获取请求参数: 2.1 GET请求 2.1.1 获取请求中的单个参数:@Request ...