【发布时间】:2016-06-02 11:38:47
【问题描述】:
过去一年我们一直在成功运行 IdentityServer3 v1.x,但现在已经从 v1.6.3 升级到 v2.5。
我们有一个实现 IUserService 的自定义 UserService,因此已针对新的上下文参数进行了修改,我们能够登录,但 GetProfileDataAsync 存在问题
为 v1.6.3 构建的 UserService 工作正常,我们可以在 requestedClaimTypes 中看到 12 种请求的声明类型
public Task<IEnumerable<Claim>> GetProfileDataAsync(ClaimsPrincipal subject,
IEnumerable<string> requestedClaimTypes = null)
{
var userClaims = claimsService.GetByUserIdAsync(int.Parse(subject.GetSubjectId()));
var claims =
userClaims.Where(x => requestedClaimTypes != null && requestedClaimTypes.Contains(x.Type));
return Task.FromResult(claims);
}
但自从升级到 v2.5 后,唯一请求的声明类型是 context.RequestedClaimTypes 中的 sub,而不是我们过去获得的 12。获得全部 12 个的唯一方法是将 AlwaysIncludeInIdToken 更改为 true
我们为 v2.5 更新的 UserService 是
public async Task GetProfileDataAsync(ProfileDataRequestContext context)
{
if (context == null) throw new ArgumentNullException("context");
var subject = context.Subject;
var requestedClaimTypes = context.RequestedClaimTypes;
var userClaims = await _claimsService.GetByUserIdAsync(int.Parse(subject.GetSubjectId()));
if (userClaims != null)
{
var claims = userClaims.Where(x => requestedClaimTypes != null && requestedClaimTypes.Contains(x.Type));
context.IssuedClaims = claims;
}
}
我们使用 SQL 来存储我们的客户端和范围,但我们没有更改任何数据,除了使用 IdentityServer3.EntityFramework 提供程序
我们的日志显示正在请求 4 个范围,它们与以前一样具有相关的范围声明
Info: Authorize request validation success {
"ClientId": "MyApp",
"ClientName": "MyApp",
"RedirectUri": "https://xxx:44300/",
"AllowedRedirectUris": [
"https://xxx:44300/"
],
"SubjectId": "9",
"ResponseType": "code id_token",
"ResponseMode": "form_post",
"Flow": "Hybrid",
"RequestedScopes": "openid profile roles user",
"State": "OpenIdConnect.AuthenticationProperties=xxxx",
"Nonce": "xxx",
"SessionId": "xxx",
"Raw": {
"client_id": "MyApp",
"redirect_uri": "https://xxx:44300/",
"response_mode": "form_post",
"response_type": "code id_token",
"scope": "openid profile roles user",
"state": "OpenIdConnect.AuthenticationProperties=xxx",
"nonce": "xxx"
}
}
我们需要做什么才能让它像以前一样请求所有声明类型??
【问题讨论】:
-
它的工作原理和以前一样,所以我怀疑你在范围声明的数据迁移方面遇到了问题。
-
@BrockAllen 我们没有更改 ScopeClaims 表中的任何内容。唯一一个 AlwaysIncludeIdToken = true 是 sub,根据 Scopes 表,它具有 openid 范围的 scope_id
标签: identityserver3