观众无效错误

Question

我有 3 个项目 1- Javascript SPA 2- Web API 项目，3- 带有 EF Core 的 IdentityServer

我开始调试 API 和 Identity Server 并成功获取 jwt 令牌，但是，当我尝试从具有授权属性的 API 方法中获取值时出现错误：

WWW-Authenticate →Bearer error="invalid_token", error_description="The audience is invalid"

我在身份验证选项中找不到任何有关观众的属性。这是我在 API 项目中的配置

app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
        {
            ApiSecret="secret",
            Authority = "http://localhost:5000",
            ApiName="fso.Api",
            RequireHttpsMetadata = false,
        });

还有我在 Identity 中的 Config.cs 文件

 public class Config
{        
    public static IEnumerable<ApiResource> GetApiResources()
    {
        return new List<ApiResource>
        {                
            new ApiResource()
            {
                Name = "fso.Api",                    
                DisplayName = "feasion API",
                Scopes =
                {
                    new Scope("api1"),
                    new Scope(StandardScopes.OfflineAccess)
                },
                UserClaims =
                {
                    JwtClaimTypes.Subject,
                    JwtClaimTypes.EmailVerified,
                    JwtClaimTypes.Email,
                    JwtClaimTypes.Name, 
                    JwtClaimTypes.FamilyName,
                    JwtClaimTypes.PhoneNumber,
                    JwtClaimTypes.PhoneNumberVerified,
                    JwtClaimTypes.PreferredUserName,
                    JwtClaimTypes.Profile, 
                    JwtClaimTypes.Picture, 
                    JwtClaimTypes.Locale, 
                    JwtClaimTypes.IdentityProvider,
                    JwtClaimTypes.BirthDate, 
                    JwtClaimTypes.AuthenticationTime
                }
            }
        };
    }
    public static List<IdentityResource> GetIdentityResources()
    {
        return new List<IdentityResource>
        {
            new IdentityResources.OpenId(),
            new IdentityResources.Email(),
            new IdentityResources.Profile(),
        };
    }

    // client want to access resources (aka scopes)
    public static IEnumerable<Client> GetClients()
    {
        return new List<Client>
        {
            new Client
            {
                ClientId = "fso.api",
                AllowOfflineAccess=true,
                ClientSecrets =
                {
                    new Secret("secret".Sha256())
                },
                AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,                    
                AllowedScopes =
                {                       
                   StandardScopes.OfflineAccess,                    
                   "api1"
                }
            }
        };
    }
}

Answer 1

请参阅 here 了解此声明的内容：

aud（受众）声明标识了 JWT 的目标接收者。打算处理 JWT 的每个主体都必须使用受众声明中的值来标识自己。如果存在此声明时，处理该声明的主体未使用 aud 声明中的值标识自己，则必须拒绝 JWT....

因此，您的 API 名称必须存在于 aud 声明中，以便 JWT 在由 API 中的中间件验证时有效。顺便说一句，您可以使用jwt.io 查看您的令牌，这有助于理解它。

为了让 IdentityServer 将您的 API 名称添加到 aud 声明中，您的客户端代码（尝试从 API 获取资源，因此需要访问令牌）应该从您的 API 请求范围。例如像这样（来自 MVC 客户端）：

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
{
    Authority = Configuration["IdpAuthorityAddress"],
    ClientId = "my_web_ui_id",
    Scope = { "api1" },

    //other properties removed...
});

Answer 2

为避免错误，应在 4 个位置一致地添加受众

1. 在我的（例如 MVC）客户端中作为自定义范围。
2. 在 API 应用程序中作为 ApiName
3. 在 IdentityServer 客户端配置为 AllowedScope
4. 在 API 资源配置中作为 ApiResource

查看详细信息（以前在 IdentityServer4 wiki 中可用）：

在 identityServer4 中配置新的 API 连接时，会报错：

WWW-Authenticate: Bearer error="invalid_token", 
error_description="The audience is invalid"

为避免错误，应在 4 个位置一致地添加 Audience

1. 在我的（例如 MVC）客户端中作为自定义范围：

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
{
  Authority = Configuration["IdpAuthorityAddress"],
  ClientId = "my_web_ui_id",
  Scope = { "openid", "profile", "offline_access", "MyApi" },               

//other properties removed for brevity...
});

1. 在 API 应用程序中作为 ApiName

//Microsoft.AspNetCore.Builder.IdentityServerAuthenticationOptions
var identityServerAuthenticationOptions = new IdentityServerAuthenticationOptions()
{
  Authority = Configuration["Authentication:IdentityServer:Authority"],
  RequireHttpsMetadata = false,
  EnableCaching = false,
  ApiName = "MyApi",
  ApiSecret = "MyApiSecret"
};

1. 在 IdentityServer \IdentityServerHost\Configuration\Clients.cs （或数据库中相应的客户条目）

var client = new Client
{
  ClientId = clientId,  
  //other properties removed for brevity...   
  AllowedScopes =
  {
    IdentityServerConstants.StandardScopes.OpenId,
    IdentityServerConstants.StandardScopes.Profile,
    //IdentityServerConstants.StandardScopes.Email,
    IdentityServerConstants.StandardScopes.OfflineAccess, "MyApi",
  },
};

4. 在 IdentityServer\IdentityServerHost\Configuration\Resources.cs（或数据库中对应的 ApiResource 条目）中作为 apiResource.Scopes

var apiResource = new ApiResource
{
  Name = "MyApi",
  ApiSecrets =
  { 
    new Secret("MyApiSecret".Sha256())
  },
  UserClaims =
  {
    JwtClaimTypes.Name,
    JwtClaimTypes.Profile,
  },
};

Answer 3

在您的应用配置文件中的 AD 配置部分添加“Audience”行：

"AzureAd": {
  "Instance": "https://login.microsoftonline.com/",
  "ClientId": "<-- Enter the Client Id -->",
  "Audience": "<-- Enter the Client Id -->",
  "TenantId": "<-- Enter the tenantId here -->"
}

在我的例子中，“ClientId”和“Audience”是一样的。

P.S.：如果在那之后你会看到

IDW10201：在不记名令牌中找不到范围或角色声明

在 AD 配置中添加另一行：

"AllowWebApiToBeAuthorizedByACL": true

更多here