如何解决声明未添加到Identity Server 4中的令牌
我实现了Identity Service ProfileService来添加地址声明:
public async Task GetProfileDataAsync(ProfileDataRequestContext context) {
User user = await _userManager.GetUserAsync(context.Subject);
ClaimsPrincipal principal = await _claimsFactory.CreateAsync(user);
ClaimsIdentity identity = (ClaimsIdentity)principal.Identity;
identity.AddClaims(
new List<Claim> {
new Claim(JwtClaimTypes.Address,"My Address")
}
);
var claims = identity.Claims;
context.AddRequestedClaims(identity.Claims);
}
我添加了一个断点,并声明了地址声明。
但是令牌没有地址声明。
我想念什么?
我的IdentityServer4配置
services.AddIdentityServer(options =>
{
options.Events.RaiseErrorEvents = true;
options.Events.RaiseInformationEvents = true;
options.Events.RaiseFailureEvents = true;
options.Events.RaiseSuccessEvents = true;
options.EmitStaticAudienceClaim = true;
})
.AddInMemoryIdentityResources(
new List<IdentityResource> {
new IdentityResources.OpenId(),new IdentityResources.Profile(),new IdentityResources.Email(),new IdentityResources.Address()
}
)
.AddInMemoryApiResources(
new List<ApiResource> {
new ApiResource {
Name = "api",DisplayName = "API Resource",Enabled = true,Scopes = { "api" },UserClaims = { JwtClaimTypes.Address }
}
}
)
.AddInMemoryApiScopes(
new List<ApiScope> {
new ApiScope("api","API Scope")
}
)
.AddInMemoryClients(
new List<Client> {
new Client {
ClientId = "spa",ClientName = "SPA Client",AllowAccessTokensViaBrowser = true,AllowedGrantTypes = GrantTypes.Code,AllowOfflineAccess = true,RequireClientSecret = false,RequireConsent = false,RequirePkce = true,AccessTokenType = AccessTokenType.Jwt,AccessTokenLifetime = 3600,IdentityTokenLifetime = 360,RefreshTokenUsage = TokenUsage.ReUse,AlwaysSendClientClaims = true,UpdateAccessTokenClaimsOnRefresh = true,AlwaysIncludeUserClaimsInIdToken = true,AllowedScopes = {
IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile,IdentityServerConstants.StandardScopes.Email,IdentityServerConstants.StandardScopes.OfflineAccess,"api"
},AllowedCorsOrigins = { "https://localhost:5002" },PostLogoutRedirectUris = { "https://localhost:5002/signout" },RedirectUris = { "https://localhost:5002/signin","https://localhost:5002/renew" }
}
}
)
.AddAspNetIdentity<User>()
.AddProfileService<ProfileService>()
.AddDeveloperSigningCredential();
更新
我添加了以下IdentityResources:
new IdentityResources.Address(),new IdentityResource("subscription",new String[] { "subscription"})
然后我通过添加两个作用域来更新SPA客户端:
IdentityServerConstants.StandardScopes.Address,"subscription"
最后,当使用OidcClient.js时,我请求了这两个作用域。
因为ASP.Net身份添加了这2个声明,所以我将它们放在令牌上。
但是如果ASP.NET Identity不添加声明,则如果我尝试在ProfileService中进行声明,则不会将其添加到令牌中。知道为什么吗?
由于未添加声明,因此我错过了IS ProfileService的目的。
解决方法
如果您的用户拥有address
声明,那么只要您在登录时加入了address
范围,就会自动将其添加到他们的个人资料中。
编辑:如果要求的声明与api资源相关联,那么它将不会在配置文件中返回,而是在access_token
中返回。因此,如果要查看用户的地址,则必须将其包括在身份资源中。
您应该在客户端定义中将“地址”范围添加到AllowedScopes列表中:
AllowedScopes = {
IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile,IdentityServerConstants.StandardScopes.Email,IdentityServerConstants.StandardScopes.OfflineAccess,"api"
},
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。