在 Open Id Connect 中处理失败的静默身份验证

Question

我有一个 ASP.NET 站点，它使用 Open Id Connect 向 Identity Server 进行身份验证。 当身份验证令牌即将到期时，我添加了一个静默身份验证（提示=无），它将更新令牌而不向用户显示任何登录对话框。 只要用户仍然登录到 Identity Server，这就可以正常工作。

如果用户不再登录，则返回“login_required”错误。我想通过让它静默失败并将用户重定向回身份验证开始的页面来处理此错误。 当向 AuthenticationFailed 通知返回错误时，RedirectUri 似乎不可用。报错后有什么办法可以访问RedirectUri？

我的配置看起来像这样（缩写）：

    app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions {
...
Notifications = new OpenIdConnectAuthenticationNotifications
{
    AuthenticationFailed = context =>
    {
        // if we failed to authenticate without prompt
        if (context.ProtocolMessage.Error == "login_required")
        {
            context.HandleResponse();
            //context.Response.Redirect("The url to the page where RedirectToIdentityProvider was triggered");
            return Task.FromResult(0);
        }

        context.HandleResponse();
        context.Response.Write(context.Exception.Message);
        return Task.FromResult(0);
    },
    RedirectToIdentityProvider = async context =>
    {
        ...

        if (ShouldReAuthenticate())
        {
            context.ProtocolMessage.SetParameter("prompt", "none");
        }

        ...
    }
}

});

Answer 1

我设法通过使用 ISecureDataFormat.Unprotect() 方法读取状态消息中的信息来解决这个问题。

它可能可以做得更优雅，但是像这样：

        if (!string.IsNullOrEmpty(context.ProtocolMessage.State) ||
            context.ProtocolMessage.State.StartsWith("OpenIdConnect.AuthenticationProperties="))
        {
            var authenticationPropertiesString = context.ProtocolMessage.State.Split('=')[1];

            AuthenticationProperties authenticationProperties = context.Options.StateDataFormat.Unprotect(authenticationPropertiesString);

            return authenticationProperties.RedirectUri;
        }