ASP.NET Core 3.1 OpenIDConnect message.state 为空

Question

因此，我目前正在尝试在我已启动的 OIDC 客户端应用程序中测试 response_type=token 的 oidc 隐式流。

我可以通过 /authorize 向我的 OIDC 提供商提出的请求。但是，当响应返回到客户端中的 signin-oidc redirect_uri 时，我收到以下错误：

Exception: OpenIdConnectAuthenticationHandler: message.State is null or empty.
Unknown location

Exception: An error was encountered while handling the remote login.
Microsoft.AspNetCore.Authentication.RemoteAuthenticationHandler<TOptions>.HandleRequestAsync()

这是对我的授权端点的请求的样子：

GET https://localhost:44303/oauth/oidctest/authorize?client_id=...

然后我被重定向到我的 OIDC 提供商的 /authorizelogin 端点以接受应用程序。请求如下所示：

POST https://localhost:44303/oauth/oidctest/authorizelogin HTTP/1.1

这会返回一个如下所示的 302 重定向 URL：

https://localhost:5001/signin-oidc#token_type=bearer&access_token=<access-token>&scope=openid%20profile%20address%20phone%20email&expires_in=120&state=CfDJ....JDER

如您所见，每个请求都有状态。所以我不确定发生了什么。

这是我的 OIDC 中间件设置在我的 ASP.NET Core 客户端应用程序的Startup.cs 中的样子：

.AddOpenIdConnect(options =>
            {
                options.Authority = Configuration["auth:oidc:authority"];
                options.ClientId = Configuration["auth:oidc:clientid"];
                options.ClientSecret = Configuration["auth:oidc:clientsecret"];      
                options.ResponseType = OpenIdConnectResponseType.Token;
                options.GetClaimsFromUserInfoEndpoint = true;
                options.SaveTokens = true;
                options.UseTokenLifetime = true;
                options.Scope.Add("address");
                options.Scope.Add("phone");
                options.Scope.Add("email");
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateIssuer = true,
                    ValidateAudience = true,
                    ValidateLifetime = true,
                    ValidIssuer = Configuration["auth:oidc:authority"],
                    ValidAudience = Configuration["auth:oidc:clientid"],
                    ValidateIssuerSigningKey = true,
                    ClockSkew = TimeSpan.FromSeconds(3)
                };
            });

我是否需要在中间件的某处设置此状态（尽管它看起来像是自动设置的）？

Answer 1

如您所见，每个请求都有状态。所以我不确定发生了什么。

这有点复杂：如果您仔细观察，您会发现状态（以及其余的授权响应参数）实际上是 URL 片段的一部分，浏览器永远不会将其发送到远程服务器他们与之交流。这就是为什么你会收到一个错误，说状态为空：服务器从未收到它。

在您的情况下，您所针对的授权服务器似乎不支持response_mode=form_post，并在 URL 片段中返回授权响应，这是隐式流 (response_type=token) 的本机响应模式。

还值得注意的是，OIDC 客户端中间件永远不会与 response_type=token 一起使用，因为此流程中没有身份令牌。

请考虑使用response_type=code（授权代码流）。