IdentityServer4 + JWT：为“sub”声明定义用户属性

Question

我将 IdentityServer4 与 JWT 和 ASP.NET Core 2 一起用于身份验证。由于大查询的性能问题，我还使用IdentityUser<long>（long 主键而不是string）作为用户模型。这意味着我在编码的访问令牌内获得了一个有序的用户 ID，默认情况下该用户 ID 将提供给公共。使用 GUID 作为默认类型是有原因的，因此我只想向公众提供 GUID，而不是有序整数。为此，我有一个额外的 GUID 类型的 ExternalID 列，将在创建用户时生成一次。

现在我需要替换 sub 声明，其中默认情况下整数 Id 与我的 ExternalId (GUID) 一起使用。

我尝试使用ProfileService 和以下GetProfileDataAsync 方法

public async Task GetProfileDataAsync(ProfileDataRequestContext context)
{
    var sub = context.Subject.GetSubjectId();
    var user = await _userManager.FindByIdAsync(sub);
    var principal = await _claimsFactory.CreateAsync(user);

    var claims = principal.Claims.Where(
        claim => 
        claim.Type != "sub" && 
        context.RequestedClaimTypes.Contains(claim.Type))
        .ToList();

    claims.Add(new Claim("sub", user.ExternalId.ToString()));

    context.IssuedClaims = claims;
}

Startup.cs

services.AddIdentityServer()
   // ...
   .AddProfileService<ProfileService>();

但这没有任何效果。 IssuedClaims 似乎被忽略了。令牌仍然包含 Id sub 声明而不是 ExternalId。

我错过了什么？这是正确的方法吗？

Answer 1

尽管我在上面发表了评论，但我还是能够完成这项工作，并且没有看到任何副作用。至少我还看不到。您将需要在两个位置替换子声明。

首先像这样扩展 Microsoft.AspNetCore.Identity.UserClaimsPrincipleFactory。这将在收到 Id 令牌之前修改声明。

public sealed class MyUserClaimsPrincipalFactory : UserClaimsPrincipalFactory<ApplicationUser, ApplicationRole>
{
    public MyUserClaimsPrincipalFactory(UserManager userManager, RoleManager<ApplicationRole> roleManager, IOptions<IdentityOptions> optionsAccessor)
            : base(userManager, roleManager, optionsAccessor)
    {}   

    protected override async Task<ClaimsIdentity> GenerateClaimsAsync(ApplicationUser user)
    { 
        var identity = await base.GenerateClaimsAsync(user);
        var sub = identity.FindFirst("sub");
        if (sub == null)
            return identity; 

        identity.RemoveClaim(sub);
        identity.AddClaim(new Claim("sub", user.GlobalUid.ToString()));

        return identity;
    }
}

第二个扩展 IdentityServer4.Services.DefaultClaimsService 像这样。这将解决我在上面的 cmets 中提到的问题。

public class MyClaimsService : DefaultClaimsService
{
    private readonly UserManager _userManager;

    public MyClaimsService(IProfileService profile, ILogger<DefaultClaimsService> logger, UserManager userManager) : base(profile, logger)
    {
        _userManager = userManager;
    }

    protected override IEnumerable<Claim> GetStandardSubjectClaims(ClaimsPrincipal subject)
    {
        var sub = subject.GetSubjectId();
        var user = _userManager.FindByIdAsync(sub).GetAwaiter().GetResult();
        var claims = new List<Claim>
        {
            new Claim(JwtClaimTypes.Subject, user?.GlobalUid.ToString() ?? sub),
            new Claim(JwtClaimTypes.AuthenticationTime, subject.GetAuthenticationTimeEpoch().ToString(), ClaimValueTypes.Integer),
            new Claim(JwtClaimTypes.IdentityProvider, subject.GetIdentityProvider())
        };

        claims.AddRange(subject.GetAuthenticationMethods());

        return claims;
    }
}

在添加 Microsoft.AspNetCore.Identity 时通过身份生成器将 UserClaimsPrincipleFactory 添加到服务集合中

 services.AddIdentity<ApplicationUser, ApplicationRole>(options =>
     {
         options.User.RequireUniqueEmail = true;
         options.SignIn.RequireConfirmedEmail = true;
     })
     .AddClaimsPrincipalFactory<MyUserClaimsPrincipalFactory>() 

然后像这样将 ClaimsService 添加为瞬态

services.AddTransient<IClaimsService, MyClaimsService>();    

现在您的所有声明都应作为您为所有令牌提供的属性返回。如果您对此有任何问题，请告诉我，因为它对我来说仍处于测试阶段。