如何通过自省验证 IdentityServer4 访问令牌

Question

我正在通过 IdentityServer4 发布的 AccessToken 实现受保护的 api。现在我的问题是，当我从客户端使用标头中的 Bearer 令牌调用 API 时，是否有可能通过调用内省 endopint 来恢复该值并对其进行验证？没有像这样的密钥进行自我验证：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            // base-address of your identityserver
            options.Authority = "https://demo.identityserver.io";

            // if you are using API resources, you can specify the name here
            options.Audience = "resource1";

            // IdentityServer emits a typ header by default, recommended extra check
            options.TokenValidationParameters.ValidTypes = new[] { "at+jwt" };
        });

是否有任何库可以通过依赖注入在授权中间件中完成所有操作，还是我必须手动完成所有操作？我试图环顾四周，但似乎唯一的库引用了引用令牌，而不是作为 Bearer 传递的访问令牌。 谢谢

Answer 1

您可以挂钩OnMessageReceived 事件并自己验证令牌：

services.AddAuthentication(...)
    .AddJwtBearer(
        options => {
            options.Events.OnMessageReceived = async context => {
                var accessToken = context.Token;

                // inject a custom token validator
                var tokenValidator =
                    context.HttpContext.RequestServices.GetRequiredService<ITokenValidator>();
                var ok = await tokenValidator.ValidateTokenAsync(accessToken);
                if (!ok) {
                    context.Fail("Invalid token");
                }
            };
        }
    );