将 IdentityServer3 与单页应用程序一起使用 (UseIdentityServerBearerTokenAuthentication)

Question

背景

我正在使用这些技术来保护 WebApi 应用程序：

• ThinkTecture.IdentityServer3
• OWIN（天蓝色）
• 单页应用 - javascript 客户端
• 请参阅简单 OAuth2 演练示例 (github)

在上面的示例中，.NET 控制台应用程序客户端从 IdentityServer 请求令牌并使用它来访问 WebApi 应用程序。这在示例中运行良好。

我想将 .NET 控制台应用程序客户端更改为 javascript 单页应用程序客户端。我尝试添加一个代理登录控制器，它代表 javsacript 客户端向 IdentityServer 发出请求，并将令牌在 cookie 中返回给客户端。

代码

[HttpPost]
[Route("login")]
public HttpResponseMessage Login(LoginRequest request) // Proxy to IdentityServer3
{

    var tokenClient = new TokenClient(
            "https://localhost:44333/connect/token",
            "javascript client",
            "client secret");

    var tokenResponse = _tokenClient.RequestResourceOwnerPasswordAsync(request.username, request.password, "api1").Result;

    var cookie = new CookieHeaderValue("access_token", tokenResponse.AccessToken);
    cookie.Expires = DateTimeOffset.Now.AddDays(1);
    cookie.Domain = "localhost";
    cookie.Path = "/";            
    var response = new HttpResponseMessage();
    response.Headers.AddCookies(new CookieHeaderValue[] { cookie });
    return response;
}

我在 javascript 客户端中成功获取了访问令牌，但是 API 无法识别它。

问题

我应该如何将 IdentityServer 生成的令牌传递给 javascript 应用程序，以及如何使用它来访问 WebApi？

Answer 1

假设您的令牌端点是“https://localhost:44333/connect/token”（正如您所提到的）。使用带有如下正文的 POST 请求访问该端点将返回一个令牌：

grant_type=password&client_id=youtclientid&client_secret=yourclientsecret&username=yourUserName&password=YourPassword&scope=list_of_requested_scopes

您使用 JS 变量来存储令牌，然后为了使用该令牌访问受保护的 API，您必须将其作为请求标头的一部分发送，类似于以下内容：在您的请求标头中，你将拥有：

Authorization: Bearer eyJ0eXAiOiJKV...

其中“eyJ0eXAiOiJKV...”是您在第一步中收到的令牌。

Answer 2

使用 oidc-client.js 或在这些行上创建类似的东西，因为这个 js 库的大小很大。

查看此链接。 https://github.com/IdentityModel/oidc-client-js/tree/master/sample

还有视频 https://vimeo.com/131636653

我们正在使用 IdentityServer 基础架构进行初始登录，然后使用令牌 ID/访问权限进行所有进一步的通信。