如何在 Identity Server 4 保护的 webapi 中访问自定义声明？

Question

我有一个 asp.net core mvc web 应用程序和一个使用 IdentityServer4 保护的 asp.net core api 项目。 当用户登录（到 mvc 应用程序）时，我添加了一个声明（“mycompany”），我希望它可以在 api 项目中访问。

我可以访问mvc项目中的附加声明没问题，但我无法访问api项目中的新声明。

如何使声明（“mycompany”）显示在 api 项目中？

MVC 应用启动.cs

services.AddAuthentication(options =>
                {
                    options.DefaultScheme = "Cookies";
                    options.DefaultChallengeScheme = "oidc";
                })
                .AddCookie("Cookies").AddOpenIdConnect("oidc", options =>
                {
                    options.Authority = Configuration.GetSection("IdpConfig").GetValue<string>("IdpUri");
                    options.RequireHttpsMetadata = false;

                    options.ClientId = "MyProject.Web";
                    options.ClientSecret = "SomeSecret";
                    options.ResponseType = "code id_token";
                    options.SaveTokens = true;

                    options.Events = new OpenIdConnectEvents
                    {
                        OnTicketReceived = async (context) =>
                        {
                            try
                            {
                                var claimsIdentity = context.Principal.Identity as ClaimsIdentity;

                                claimsIdentity.AddClaim(new Claim("mycompany", "some company"));

                                await Task.FromResult(0);
                            }
                            catch (Exception ex)
                            {
                                // Log This
                            }
                        },
                        OnUserInformationReceived = (context) => Task.FromResult(0),
                        OnTokenValidated = (context) =>
                        {
                            return Task.FromResult(0);
                        },
                        OnRedirectToIdentityProvider = (context) => Task.CompletedTask
                    };
                });

在 MVC 应用程序中这有效（返回“某些公司”），但在 api 中声明不存在

public static string GetCompany(this ClaimsPrincipal principal)
{
    var company = principal.Claims.FirstOrDefault(c => c.Type == "mycompany");
    return company?.Value;
}

Answer 1

他们声称您在 MVC 应用程序中添加的内容已添加到本地身份，您需要将新的声明添加到您发送到 API 的访问令牌中。您可以将该声明添加到 IdentitySever 中的 APIScope/APIResources。您无法更改 MVC 应用程序中的访问权限，因为令牌的签名将不再正确。

Answer 2

我认为它的工作方式

在身份服务器上，您可以为用户（AspNetUserClaims 表）添加新的声明，并为其命名公司和值 TEST COMPANY。 在 IdentityClaims 表中添加声明公司并将该记录引用到配置文件范围的 IdentityResourceId（IdentityResources 表），因此当您的客户端应用程序请求配置文件范围时，IS 将使用公司声明及其值填充 AccessToken。

配置 MVC 客户端以映射自定义声明并能够询问所需的范围

options.ClaimActions.MapUniqueJsonKey("MyCompany", "company");

//two trips to load claims into the cookie
//but the id token is smaller
options.GetClaimsFromUserInfoEndpoint = true;

//configure scope
options.Scope.Clear();
options.Scope.Add("openid");
options.Scope.Add("profile");

如果您获得访问令牌并在 JWT.IO 上检查它，则应包含自定义声明公司及其值。

var accessToken = await HttpContext.GetTokenAsync("access_token");

在您的 MVC 客户端中，您可以获得这样的公司名称：

var companyName = User.Claims.Where(x => x.Type == "MyCompany").FirstOrDefault()?.Value;

Answer 3

要在您的 API 项目中访问自定义声明，您需要将这些声明包含在您的 JWT 访问令牌中。对于IdentityServer4，需要实现IProfileService接口。

例如

public class UserProfileService : IProfileService
{
    public Task GetProfileDataAsync(ProfileDataRequestContext context)
    {
        // Ensure adding claims to access token only
        if (context.Caller.Equals("ClaimsProviderAccessToken", StringComparison.OrdinalIgnoreCase))
        {
            var claims = new List<Claim>();

            claims.Add(new Claim("<CUSTOM_CLAIM_TYPE>", "value", ClaimValueTypes.String));
            
            context.RequestedClaimTypes = new[] { "<CUSTOM_CLAIM_TYPE>" };

            context.AddRequestedClaims(claims);
        }

        return Task.CompletedTask;
    }

    public Task IsActiveAsync(IsActiveContext context)
    {
        context.IsActive = true;

        return Task.CompletedTask;
    }
}

您还可以使用IUserClaimsPrincipalFactory 向身份添加自定义声明，然后在GetProfileDataAsync() 方法中通过RequestedClaimTypes 过滤它们。

然后在Startup类的ConfigureServices()方法中，将UserProfileService注册到IIdentityServerBuilder：

services.AddIdentityServer(...)
    .AddProfileService<UserProfileService>();

现在，您的访问令牌具有自定义声明，您可以在 API 项目中访问这些声明，例如，通过控制器的 User 属性。

正如 cmets 中已经提到的，建议尽可能保持访问令牌的轻量级，并仅在需要时根据访问令牌中的用户 ID 获取自定义声明。 p>