Identity Server 4, API не авторизован для вызова конечной точки самоанализа

Question

Identity Server 4, API не авторизован для вызова конечной точки самоанализа

1

Надеюсь, кто-то может указать мне в правильном направлении.

Я пытаюсь, чтобы клиент javascript связывался с api с помощью токенов ссылок. Я использую Identity Server 4.

Что происходит ОК:

При входе клиент javascript/webapplicatoin перенаправляется на сервер Identity для проверки пользователя и пароля. При успешном завершении пользователь перенаправляется обратно в javascript/web-приложение и имеет действительный IdentityToken

Что НЕ идет ОК:

Когда клиент/веб-приложение javascript делает вызов моему Api, запрос получает api. Затем api хочет проверить полученный токен идентичности с Identity Server, чтобы получить токен доступа, но не может связаться с сервером при следующей ошибке в консоли:

fail: IdentityServer4.Validation.ApiSecretValidator[0]
      API validation failed.
fail: IdentityServer4.Endpoints.IntrospectionEndpoint[0]
      API unauthorized to call introspection endpoint. aborting.

Довольно ясно, что Api не разрешено общаться с сервером te...

Я думаю, что у меня есть ошибка конфигурации где-то, но я просто не могу видеть, где. Пробовал всевозможные настройки, у меня нет идей, чтобы попытаться или изменить...

Это то, что я имею до сих пор:

Для клиента javascript:

Я использую пакет oidc-redux, который я использую:

var userManagerConfig = {
   authority: "http://localhost:50289",
   redirect_uri: "http://localhost:3000/callback",
   client_id : "js",
   response_type : "id_token",
   scope :"openid",
};

Конфигурации Identity Server 4

Определение клиента:

public static IEnumerable<Client> GetClients()
{
    return new List<Client>
    {
        new Client
        {
            ClientId = "js",
            ClientName = "my js client",
            AllowedGrantTypes = GrantTypes.Implicit,
            RequireClientSecret = false,
            RequireConsent = false,
            RedirectUris           = { "http://localhost:3000/callback" },
            PostLogoutRedirectUris = { "http://localhost:3000" },
            AllowAccessTokensViaBrowser = false,
            AllowedCorsOrigins =     { "http://localhost:3000" },
            AllowedScopes =
            {
                IdentityServerConstants.StandardScopes.OpenId,
                IdentityServerConstants.StandardScopes.Profile,
                "myApi"
            }
        }
    };
}

Определение ресурсов Api:

public static IEnumerable<ApiResource> GetApiResources()
{
    return new List<ApiResource>
    {
        new ApiResource("myApi")
        {
            ApiSecrets =
            {
                new Secret("superweaksecret")
            }
        }
    };
}

в службе настройки Я добавляю все это вместе в контейнер:

// configure identity server with in-memory stores, keys, clients and scopes
services.AddIdentityServer()
    .AddDeveloperSigningCredential()
    .AddInMemoryPersistedGrants()
    .AddProfileService<CustomClaimService>()
    .AddInMemoryIdentityResources(Config.GetIdentityResources())
    .AddInMemoryApiResources(Config.GetApiResources())
    .AddInMemoryClients(Config.GetClients())
    .AddAspNetIdentity<ApplicationUser>();

Настройка Api

Основанный на.net Core, в методе ConfigureService у меня есть следующее:

services.AddAuthentication("Bearer")
    .AddIdentityServerAuthentication(options =>
    {
       options.Authority = "http://localhost:50289";
       options.RequireHttpsMetadata = false;
       options.ApiSecret = "superweaksecret";
       options.ApiName = "myApi";
       options.EnableCaching = false;

    });

Надеюсь, кто-то увидит мою ошибку.

Если я пропустил информацию или код, необходимые для надлежащего абрисера, сообщите мне.

С уважением, Roel

Roel 08 фев. 2018, в 21:34

Источник

0

Я не понимаю вопроса. Из вашего описания (и кода) ваш API должен действовать как защищенный ресурс, а не как клиент. В этом случае не требуется извлекать токены. Это должно требовать их. Поправь меня, если я что-то не так понял.
m3n7alsnak3 08 фев. 2018, в 21:02
0

Установка состоит из трех частей: клиента JavaScript, Identity Server и Api. Клиент javascript и сервер Identity обмениваются данными как следует. Это означает, что из моего веб-приложения я направляюсь на Identity Server для входа в систему, и после успешного входа в систему у меня есть IdentityToken. Затем клиент javascript / webapp запрашивает конечную точку API. И тогда возникает ошибка, это происходит, когда API пытается проверить / получить необходимую информацию для аутентификации клиента на Identity Server. Сам Api не имеет права общаться с Identity Server
Roel 08 фев. 2018, в 21:09
0

Хорошо, так когда вы получаете эту ошибку?
m3n7alsnak3 08 фев. 2018, в 21:10
0

Я также обновил оригинальный вопрос, пытаясь быть немного более ясным ...
Roel 08 фев. 2018, в 21:23
0

Вы намеренно хотите сделать это так? Потому что я вижу, что вы запрашиваете только ID_token от IDS (response_type: "id_token",). Почему бы вам не запросить access_token тоже (response_type: "id_token token")? Тогда вам просто нужно отправить access_token, при вызове API, и все будет в порядке. Или если у вас есть что-то еще в виду ..?
m3n7alsnak3 08 фев. 2018, в 21:31
0

Да, это намеренно только для id_token. Я пытаюсь сделать гибридный поток openIdConnect, см .: IdentityServer4 docs Цитируется там: «» токен идентификации передается через канал браузера, поэтому клиент может проверить его перед выполнением какой-либо дополнительной работы. И если проверка прошла успешно, клиент открывает обратный канал для службы токенов, чтобы получить токен доступа. "" "" Кстати, спасибо, что помогли мне
Roel 08 фев. 2018, в 21:44
0

Добро пожаловать. Теперь вопрос - HybridFlow не предназначен для использования с браузерными приложениями. Проверьте ответ Brockallen - github.com/IdentityModel/oidc-client-js/issues/427 . Я думаю, что вы где-то ошиблись. В вашем случае вам не нужно использовать неявный поток и получить оба токена. Гибридный поток предназначен для приложений на стороне сервера (MVC, WebForms и т. Д.)
m3n7alsnak3 08 фев. 2018, в 21:54
0

Это облом. Я до сих пор не понимаю это полностью. Где именно это ограничение? Я могу получить idToken в моем веб-приложении. И, как я понимаю, моему клиенту Api нужно только получить accessToken с помощью этого idToken из identityServer. Цитируется из документов IS4: "" клиент открывает обратный канал для службы токенов для получения токена доступа "" API errMsg, который я получаю ", не авторизован для вызова конечной точки самоанализа" Позволяет мне думать, что идеал Api хочет получить токен доступа от конечной точки самоанализа, но не допускается. Можете ли вы объяснить ваш awnser немного больше?
Roel 08 фев. 2018, в 22:26
0

Но вы понимаете, что этот клиент является клиентом на стороне сервера (тот, который упоминается в статье, которую вы отправили)? Вы читали это - docs.identityserver.io/en/release/endpoints/introspection.html ? Я нигде не вижу в вашем коде, что вы пытаетесь добраться до конечной точки самоанализа. Это не выходит из коробки
m3n7alsnak3 08 фев. 2018, в 22:29
0

Для IS4 клиент может быть терминологическим сервисом веб-приложения. Раздел AddAuthentication ("Bearer") .AddIdentityServerAuthentication в моем исходном вопросе показывает, как мой API настроен для использования Identity Server4 (установленный пакет nuget: IdentityServer4.AccessTokenValidation)). Насколько я вижу, это несколько выходит из коробки, потому что API, после этого небольшого кусочка кода, пытается подключиться к точке интроспекции, когда получает запрос от веб-приложения. (и терпит неудачу с указанной ошибкой)
Roel 08 фев. 2018, в 23:51
0

Хорошо, я сдаюсь - вы отправляете мне ссылку, которую вы даже не читаете до конца.
m3n7alsnak3 08 фев. 2018, в 23:54
0

Еще раз спасибо за вашу помощь, во-первых, я собираюсь немного поспать, а завтра открою другой вопрос, решая проблему с другой стороны.
Roel 08 фев. 2018, в 23:55
0

что мне не хватает в ссылке, которую я разместил?
Roel 08 фев. 2018, в 23:56
0

Для меня вы испортили идею. Поспи немного и читай внимательно. Но в двух словах - ваше javascript-приложение - это client , ваш API - это resource . Затем прочитайте параграф access_token . Clients request access tokens and forward them to the API. То, чего вы хотите достичь - отправка id_token и затем в API-запросе токен доступа на его основе - это достижимо, но вам нужно написать кое-что нестандартное.
m3n7alsnak3 09 фев. 2018, в 00:04
0

ссылочные токены При использовании ссылочных токенов - IdentityServer будет хранить содержимое токена в хранилище данных и будет выдавать только уникальный идентификатор для этого токена обратно клиенту. API, получающий эту ссылку, должен затем открыть связь по обратному каналу с IdentityServer для проверки токена. Хорошо, я проверю завтра :)
Roel 09 фев. 2018, в 00:12
0

Сейчас вы говорите об эталонном токене, но вы никогда не указывали в своей конфигурации клиента, что вы собираетесь его использовать. Тип токена доступа по умолчанию - JwT
m3n7alsnak3 09 фев. 2018, в 00:18
0

:) А как же второе предложение моего оригинального вопроса ....
Roel 09 фев. 2018, в 00:26
0

Второе предложение вашего вопроса, это не ваша конфигурация клиента. Теперь серьезно - настройте ваш клиент для использования эталонного токена, а затем попробуйте
m3n7alsnak3 09 фев. 2018, в 00:34
0

Хорошо, спасибо, мне не хватало "AccessTokenType = AccessTokenType.Reference" в моем клиентском конфиге .... он там сейчас. Быстро это проверил, но ошибка та же. Что я замечаю, так это то, что accessToken, получаемый веб-клиентом, намного короче, поэтому он, вероятно, является эталонным типом токена. Ошибка все еще есть .... :( Завтра дважды проверю запрос клиента к api
Roel 09 фев. 2018, в 01:00

Показать ещё 17 комментариев

Теги:

javascript

jwt

api

identityserver4

oidc

1 ответ

Ещё вопросы

Я не понимаю вопроса. Из вашего описания (и кода) ваш API должен действовать как защищенный ресурс, а не как клиент. В этом случае не требуется извлекать токены. Это должно требовать их. Поправь меня, если я что-то не так понял.
Установка состоит из трех частей: клиента JavaScript, Identity Server и Api. Клиент javascript и сервер Identity обмениваются данными как следует. Это означает, что из моего веб-приложения я направляюсь на Identity Server для входа в систему, и после успешного входа в систему у меня есть IdentityToken. Затем клиент javascript / webapp запрашивает конечную точку API. И тогда возникает ошибка, это происходит, когда API пытается проверить / получить необходимую информацию для аутентификации клиента на Identity Server. Сам Api не имеет права общаться с Identity Server
Хорошо, так когда вы получаете эту ошибку?
Я также обновил оригинальный вопрос, пытаясь быть немного более ясным ...
Вы намеренно хотите сделать это так? Потому что я вижу, что вы запрашиваете только ID_token от IDS (response_type: "id_token",). Почему бы вам не запросить access_token тоже (response_type: "id_token token")? Тогда вам просто нужно отправить access_token, при вызове API, и все будет в порядке. Или если у вас есть что-то еще в виду ..?
Да, это намеренно только для id_token. Я пытаюсь сделать гибридный поток openIdConnect, см .: IdentityServer4 docs Цитируется там: «» токен идентификации передается через канал браузера, поэтому клиент может проверить его перед выполнением какой-либо дополнительной работы. И если проверка прошла успешно, клиент открывает обратный канал для службы токенов, чтобы получить токен доступа. "" "" Кстати, спасибо, что помогли мне
Добро пожаловать. Теперь вопрос - HybridFlow не предназначен для использования с браузерными приложениями. Проверьте ответ Brockallen - github.com/IdentityModel/oidc-client-js/issues/427 . Я думаю, что вы где-то ошиблись. В вашем случае вам не нужно использовать неявный поток и получить оба токена. Гибридный поток предназначен для приложений на стороне сервера (MVC, WebForms и т. Д.)
Это облом. Я до сих пор не понимаю это полностью. Где именно это ограничение? Я могу получить idToken в моем веб-приложении. И, как я понимаю, моему клиенту Api нужно только получить accessToken с помощью этого idToken из identityServer. Цитируется из документов IS4: "" клиент открывает обратный канал для службы токенов для получения токена доступа "" API errMsg, который я получаю ", не авторизован для вызова конечной точки самоанализа" Позволяет мне думать, что идеал Api хочет получить токен доступа от конечной точки самоанализа, но не допускается. Можете ли вы объяснить ваш awnser немного больше?
Но вы понимаете, что этот клиент является клиентом на стороне сервера (тот, который упоминается в статье, которую вы отправили)? Вы читали это - docs.identityserver.io/en/release/endpoints/introspection.html ? Я нигде не вижу в вашем коде, что вы пытаетесь добраться до конечной точки самоанализа. Это не выходит из коробки
Для IS4 клиент может быть терминологическим сервисом веб-приложения. Раздел AddAuthentication ("Bearer") .AddIdentityServerAuthentication в моем исходном вопросе показывает, как мой API настроен для использования Identity Server4 (установленный пакет nuget: IdentityServer4.AccessTokenValidation)). Насколько я вижу, это несколько выходит из коробки, потому что API, после этого небольшого кусочка кода, пытается подключиться к точке интроспекции, когда получает запрос от веб-приложения. (и терпит неудачу с указанной ошибкой)
Хорошо, я сдаюсь - вы отправляете мне ссылку, которую вы даже не читаете до конца.
Еще раз спасибо за вашу помощь, во-первых, я собираюсь немного поспать, а завтра открою другой вопрос, решая проблему с другой стороны.
что мне не хватает в ссылке, которую я разместил?
Для меня вы испортили идею. Поспи немного и читай внимательно. Но в двух словах - ваше javascript-приложение - это client , ваш API - это resource . Затем прочитайте параграф access_token . Clients request access tokens and forward them to the API. То, чего вы хотите достичь - отправка id_token и затем в API-запросе токен доступа на его основе - это достижимо, но вам нужно написать кое-что нестандартное.
ссылочные токены При использовании ссылочных токенов - IdentityServer будет хранить содержимое токена в хранилище данных и будет выдавать только уникальный идентификатор для этого токена обратно клиенту. API, получающий эту ссылку, должен затем открыть связь по обратному каналу с IdentityServer для проверки токена. Хорошо, я проверю завтра :)
Сейчас вы говорите об эталонном токене, но вы никогда не указывали в своей конфигурации клиента, что вы собираетесь его использовать. Тип токена доступа по умолчанию - JwT
:) А как же второе предложение моего оригинального вопроса ....
Второе предложение вашего вопроса, это не ваша конфигурация клиента. Теперь серьезно - настройте ваш клиент для использования эталонного токена, а затем попробуйте
Хорошо, спасибо, мне не хватало "AccessTokenType = AccessTokenType.Reference" в моем клиентском конфиге .... он там сейчас. Быстро это проверил, но ошибка та же. Что я замечаю, так это то, что accessToken, получаемый веб-клиентом, намного короче, поэтому он, вероятно, является эталонным типом токена. Ошибка все еще есть .... :( Завтра дважды проверю запрос клиента к api

Scott Brady · Accepted Answer · 2018-02-09T06-52-00.000Z

IdentityServer ожидает, что разделяемые секреты будут хешированы.

new ApiResource("myApi") {
    ApiSecrets = {
            new Secret("superweaksecret".Sha512())
    }
}

Спасибо, это была та часть, которую мне не хватало в итоге ....