原文:https://leastprivilege.com/2017/11/15/missing-claims-in-the-asp-net-core-2-openid-connect-handler/
发布于:2017年11月
环境:ASP.NET Core 2.0
通过OIDC provider 把Claims映射到ClaimsPrincipal这一步骤,在ASP.NET Core 2中新的OpenID Connect handler具有不同的行为。
这是特别令人困惑和难以诊断的,因为这里有几个部件聚集在一起。我们来看一下。
您可以使用我的示例OIDC客户端来观察到相同的结果。
将标准claim类型映射到Microsoft专有claim类型
一件令人烦恼的事情是微软仍然认为他们知道什么是最适合你的,将OIDC标准声明映射到其专有声明。
可以通过清除Microsoft JWT令牌处理程序上的入站声明类型映射来优雅地修复:
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
基本的OpenId Connect授权请求
接下来,让我们从客户端请求openid scope的场景开始。
首先令人困惑的是Microsoft使用openid和profile scope预先在OpenIdConnectOptions上填充了Scope集合。这意味着如果你只想请求openid,你首先需要清除Scope集合,然后手动添加openid。
services.AddAuthentication(options => { options.DefaultScheme = "Cookies"; options.DefaultChallengeScheme = "oidc"; }) .AddCookie("Cookies", options => { options.AccessDeniedPath = "/account/denied"; }) .AddOpenIdConnect("oidc", options => { options.Authority = "https://demo.identityserver.io"; options.ClientId = "server.hybrid"; options.ClientSecret = "secret"; options.ResponseType = "code id_token"; options.SaveTokens = true; options.Scope.Clear(); options.Scope.Add("openid"); options.TokenValidationParameters = new TokenValidationParameters { NameClaimType = "name", RoleClaimType = "role" }; });
使用ASP.NET Core v1处理程序,将返回以下声明:nbf,exp,iss,aud,nonce,iat,c_hash,sid,sub,auth_time,idp,amr。
在V2中我们只能得到sid,sub和idp。发生了什么?
微软在其OpenID Connect handler中添加了一个名为ClaimActions的新概念。Claim actions用来实现自外部provider的claim如何映射(或不)到您的ClaimsPrincipal中的claim。查看OpenIdConnectOptions的构造函数,您可以看到,处理程序现在默认会跳过以下声明:
ClaimActions.DeleteClaim("nonce"); ClaimActions.DeleteClaim("aud"); ClaimActions.DeleteClaim("azp"); ClaimActions.DeleteClaim("acr"); ClaimActions.DeleteClaim("amr"); ClaimActions.DeleteClaim("iss"); ClaimActions.DeleteClaim("iat"); ClaimActions.DeleteClaim("nbf"); ClaimActions.DeleteClaim("exp"); ClaimActions.DeleteClaim("at_hash"); ClaimActions.DeleteClaim("c_hash"); ClaimActions.DeleteClaim("auth_time"); ClaimActions.DeleteClaim("ipaddr"); ClaimActions.DeleteClaim("platf"); ClaimActions.DeleteClaim("ver");
如果您想“取消”跳过某项声明,则需要在设置handler时删除特定声明。以下是获取amr声明的非常直观的语法:
options.ClaimActions.Remove("amr");
从OIDC provider请求更多的Claim
当你要求更多的范围时,例如个人资料或自定义范围导致更多索赔,还有另一个令人困惑的细节需要注意。
根据OIDC协议中的response_type,某些声明通过id_token进行传输,有些通过userinfo端点进行传输。我在这里写了关于此细节的文章。
因此,首先您需要在处理程序中启用对userinfo端点的支持:
options.GetClaimsFromUserInfoEndpoint = true;
如果声明由userinfo返回,ClaimsActions将用于从返回的JSON文档映射claim到principal。这里使用以下默认设置:
ClaimActions.MapUniqueJsonKey("sub", "sub"); ClaimActions.MapUniqueJsonKey("name", "name"); ClaimActions.MapUniqueJsonKey("given_name", "given_name"); ClaimActions.MapUniqueJsonKey("family_name", "family_name"); ClaimActions.MapUniqueJsonKey("profile", "profile"); ClaimActions.MapUniqueJsonKey("email", "email");
如果您向您的客户发送的不属于上述列表的claim,它会被忽略,您需要进行明确的映射。例如您希望客户端通过userinfo(标准OIDC声明之一,但不幸未由Microsoft映射)获得website claim - 您需要自行添加映射:
options.ClaimActions.MapUniqueJsonKey("website", "website");
这同样适用于您通过userinfo返回的任何其他声明。
我希望这有帮助。简而言之 – 你应该明确的知道你的映射,因为我相信这些默认映射将在可能会发生变化,这将导致您的客户端应用程序出现意外行为。