如何将应用配置文件数据导入access token?
我使用的是混合了v4/v3客户端的IdentityServer4。
我有存储在应用程序端的自定义配置文件数据,我希望将其包括在access_token中,以便我的下游API可以将其用于承载/jwt身份验证。
我知道我可以通过IProfileService操纵声明,但这是在身份端注册的,而不是应用程序。
如何将我的自定义配置文件声明添加到请求的访问令牌中?
其他详细信息
我已经使用Extension Grants明确地通过IdS传递了我的应用程序声明,以便它包含令牌中的声明,从而进行了概念证明。It works...but让人感觉很不舒服。
回答 3
Stack Overflow用户
发布于 2018-07-21 05:16:37
请不要那样做。JWT令牌随每个请求一起发送。
如果下游API需要来自用户的一些东西,那么要么通过调用提交它,要么让下游api可以调用的端点。嵌入很少使用的大信息在传输中每个呼叫(除了在http 2.0中)都是非非易失性的。
Stack Overflow用户
发布于 2018-07-19 12:20:57
jwt令牌内容由授权服务器创建并签名后,不能再进行更改。但是您可以使用ClaimsTransformation来操纵对api项目的声明。
编辑:另一个使用JwtBearer OnTokenValidated事件的选项。
Stack Overflow用户
发布于 2018-07-21 05:14:54
从您的IProfileService实现发出的任何声明都应该以令牌结束。请注意,您的IProfileService实现应该检查它是否发出了与IdentityResources或ApiResources相关的声明。将api声明添加到id_token中是没有意义的。
当客户机从您的IDS接收到令牌时,它将在调用中将其传递给您的API。如果您的客户端使用cookie身份验证,则令牌本身以及一些用户配置文件声明将存储在身份验证cookie中。这显然取决于你使用的流,隐式,混合等。
如果您想在客户端检查从入侵检测系统返回的内容,可以添加cookie Authentication事件处理程序(例如OnValidatePrincipal)来查看Cookie中存储的内容,或者将OnUserInformationReceived事件处理程序添加到您的OIDC处理程序中并检查返回的内容。
https://stackoverflow.com/questions/51406442
复制相似问题