【发布时间】:2018-03-06 04:15:58
【问题描述】:
我对 MVC 中的 OpenId 和 auth 非常陌生,并创建了一个 OpenIddict 身份验证服务器和客户端 mvc 应用程序,如授权代码流示例中所示。 https://github.com/openiddict/openiddict-samples
我需要将我的应用程序用户的companyId 添加到我的声明中,并且我正在尝试找出所需的步骤。
到目前为止,我发现了以下内容:
我将声明和范围添加到 AuthorizationController.CreateTicketAsync 中的票证,方法是创建一个添加了新声明的新 ClaimsPrincipal,然后通过调用 ticket.SetScopes 添加范围。
// Add my specific claims: CompanyId and CompanyName
var claims = new List<Claim>();
claims.Add(new Claim(MyClaimsConstants.Claims.CompanyId, user.SelectedCompanyId.ToString()));
T_Company company = await _companyRepo.GetCompany(user.SelectedCompanyId);
claims.Add(new Claim(MyClaimsConstants.Claims.CompanyName, company.CompanyName));
// Create the new identity with the added claims
var newIdentity = new ClaimsIdentity(principal.Identity, claims);
principal = new ClaimsPrincipal(newIdentity);
....
if (!request.IsAuthorizationCodeGrantType())
{
// Set the list of scopes granted to the client application.
// Note: the offline_access scope must be granted
// to allow OpenIddict to return a refresh token.
ticket.SetScopes(new[]
{
OpenIdConnectConstants.Scopes.OpenId,
OpenIdConnectConstants.Scopes.Email,
OpenIdConnectConstants.Scopes.Profile,
OpenIdConnectConstants.Scopes.OfflineAccess,
OpenIddictConstants.Scopes.Roles,
MyClaimsConstants.Scopes.Company // <-
}.Intersect(request.GetScopes()));
}
我将目的地添加到我在 AuthorizationController.CreateTicketAsync 中的声明中以将其添加到 IdentityToken。
foreach (var claim in ticket.Principal.Claims)
{
// Never include the security stamp in the access and identity tokens, as it's a secret value.
if (claim.Type == _identityOptions.Value.ClaimsIdentity.SecurityStampClaimType)
{
continue;
}
var destinations = new List<string>
{
OpenIdConnectConstants.Destinations.AccessToken
};
// Only add the iterated claim to the id_token if the corresponding scope was granted to the client application.
// The other claims will only be added to the access_token, which is encrypted when using the default format.
if (((claim.Type == OpenIdConnectConstants.Claims.Name || claim.Type == OpenIdConnectConstants.Claims.Nickname) && ticket.HasScope(OpenIdConnectConstants.Scopes.Profile)) ||
(claim.Type == OpenIdConnectConstants.Claims.Email && ticket.HasScope(OpenIdConnectConstants.Scopes.Email)) ||
(claim.Type == OpenIdConnectConstants.Claims.Role && ticket.HasScope(OpenIddictConstants.Claims.Roles)) ||
((claim.Type == MyClaimsConstants.Claims.CompanyId || claim.Type == MyClaimsConstants.Claims.CompanyName) && ticket.HasScope(MyClaimsConstants.Scopes.Company))) // <-
{
destinations.Add(OpenIdConnectConstants.Destinations.IdentityToken);
}
claim.SetDestinations(destinations);
}
我在 UserInfoController 中添加范围检查并有条件地添加声明
if (User.HasClaim(OpenIdConnectConstants.Claims.Scope, MyClaimsConstants.Scopes.Company))
{
claims[MyClaimsConstants.Claims.CompanyId] = user.SelectedCompanyId;
claims[MyClaimsConstants.Claims.CompanyName] = (await _companyRepo.GetCompany(user.SelectedCompanyId))?.CompanyName;
}
我在客户端调用 AddOpenIdConnect 时将范围添加到我的选项中,以便将其添加到请求中。
options.Scope.Add(MyClaimsConstants.Scopes.Company);
这似乎按预期工作。
有人可以对这些步骤发表评论,或者指出一个显示这种特殊实现的示例吗? (这看起来很基本,但我不知道我在这个过程中是否做了一些非常糟糕的事情)。
【问题讨论】:
标签: .net asp.net-mvc asp.net-core openid openiddict