ProfileDataRequestContext.RequestedClaimTypes 中缺少子声明

Question

在 IdentityServer4 中，我定义了一个带有一些声明的 IdentityResource：

new IdentityResource {
  Name = "userdata",
  UserClaims = new List<string> {
    JwtClaimTypes.Subject,
    JwtClaimTypes.Role,
    JwtClaimTypes.Email,
    JwtClaimTypes.Name
  }
}

然后将其添加到客户端配置中的作用域中：

AllowedScopes = {
  IdentityServerConstants.StandardScopes.OpenId,
  "api1",
  "userdata"
}

在客户端应用程序中，我请求了该范围：

.AddOpenIdConnect("oidc", options => {
  options.Scope.Add("openid");
  options.Scope.Add("userdata");
  options.Scope.Add("offline_access");
  options.Scope.Add("api1");
}

在 IS4 中，我实现了 IProfileService 以向 id_token 添加一些声明。

public async Task GetProfileDataAsync(ProfileDataRequestContext context) {

  var sub = context.Subject.GetSubjectId();
  var user = await _userManager.FindByIdAsync(sub);
  if (user == null) {
    throw new ArgumentException("");
  }

  var principal = await _claimsFactory.CreateAsync(user);
  var userClaims = principal.Claims.ToList();

  var claims = new List<Claim> {
    userClaims.Find(x => x.Type == JwtClaimTypes.Subject),
    userClaims.Find(x => x.Type == JwtClaimTypes.Role),
    userClaims.Find(x => x.Type == JwtClaimTypes.Email),
    userClaims.Find(x => x.Type == JwtClaimTypes.Name),
    new Claim("iesseapetenantid", user.TenantId.ToString())
  };

  var requestedClaimTypes = context.RequestedClaimTypes;

  context.AddRequestedClaims(claims);
}

context.AddRequestedClaims(claims) 过滤传递的声明并仅添加客户端请求的声明。

问题在于 context.RequestedClaimTypes 中缺少 sub 声明，但其他三个声明存在：email、name 和 角色。

为什么缺少“sub”声明？

谢谢！

Answer 1

sub 声明是 spec 所需的声明，因此它是 StandardScopes.OpenId 的一部分。您无需另外设置或请求。

var sub = context.Subject.GetSubjectId();

假设sub 声明已经在上下文中。否则会抛出异常。

以上都是关于IdentityResource 和id_token。可以在不引用用户的情况下为 ApiResource 创建 token。

Answer 2

就我而言，问题出在声明映射配置中。

只需添加一行

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Remove("sub");

之前

services.AddAuthentication("Bearer")