注:这是一篇翻译,来自这里。这篇文章讲述了在asp.net core2.0中使用openid connect handler的过程中解析不到你想要的claim时,你可以参考这篇文章。
Missing Claims in the ASP.NET Core 2 OpenID Connect Handler?
当从OIDC provider(identity provider,idp)中将claims映射到ASP.NET Core 2中的ClaimsPrincipal时,新的OpenID Connect Handler表现出了一些不同的行为。
这种情况看起来特别令人困惑和难以诊断,因为这里有几个变化的部分。让我们看看。
你也可以从这里下载demo来研究以下。
Mapping of standard claim types to Microsoft proprietary ones从标准claim类型映射成Microsoft专有的
首先让人感到恶心的是,Microsoft仍然认(意)为(淫)将OIDC标准的Claim类型映射成他们专有的类型(这种做法)对于你来说是最好的一种方式。
令人欣慰的是,通过在Microsoft JWT令牌处理程序(token handler)中清除流入(inbound )Claim类型映射,可以很好地解决这个问题:
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
A basic OpenID Connect authentication request一个基本的OpenID Connect authentication handler请求
接下来,让我们从一个简单的场景开始,客户端只请求openid范围(scope)。
第一件令人困惑的事情是Microsoft会在OpenIdConnectOptions类的构造方法中预先加载openid和profile这两个请求范围。这意味着如果你只是想请求一个openid的范围,那么你必须调用一个清除的方法,然后在手动的把openid这个请求范围添加进去:
services.AddAuthentication(options => { options.DefaultScheme = "Cookies"; options.DefaultChallengeScheme = "oidc"; }) .AddCookie("Cookies", options => { options.AccessDeniedPath = "/account/denied"; }) .AddOpenIdConnect("oidc", options => { options.Authority = "https://demo.identityserver.io"; options.ClientId = "server.hybrid"; options.ClientSecret = "secret"; options.ResponseType = "code id_token"; options.SaveTokens = true; options.Scope.Clear();//①先要删除 options.Scope.Add("openid");//②在添加,这样你才能只请求到openid这个scope options.TokenValidationParameters = new TokenValidationParameters { NameClaimType = "name", RoleClaimType = "role" }; });
在asp.net core 1.x的版本中,上述代码会返回如下claim:nbf, exp, iss, aud, nonce, iat, c_hash, sid, sub, auth_time, idp, amr.
在asp.net core2.x的版本中,却只会返回sid, sub和idp。发生了神马??????
Microsoft在这其中添加了一个新的概念:ClaimActions。这个类具体要做的事情是指定一个规则,来处理外部流入的claims如何去映射成为你自己的ClaimsPrincipal中的claim。查看以下OpenIdConnectOptions的构造方法,你会发现现在这个openid connect handler在默认情况下跳过了很多的映射:
ClaimActions.DeleteClaim("nonce"); ClaimActions.DeleteClaim("aud"); ClaimActions.DeleteClaim("azp"); ClaimActions.DeleteClaim("acr"); ClaimActions.DeleteClaim("amr"); ClaimActions.DeleteClaim("iss"); ClaimActions.DeleteClaim("iat"); ClaimActions.DeleteClaim("nbf"); ClaimActions.DeleteClaim("exp"); ClaimActions.DeleteClaim("at_hash"); ClaimActions.DeleteClaim("c_hash"); ClaimActions.DeleteClaim("auth_time"); ClaimActions.DeleteClaim("ipaddr"); ClaimActions.DeleteClaim("platf"); ClaimActions.DeleteClaim("ver");
如果你不想要错过某一个claim,那你需要通过claimaction来做一些设定。如下这个方法“很直观”的将一个“amr ”的claim找了回来:
options.ClaimActions.Remove("amr");//不想吐槽,不过这是什么狗屁名字了?希望不要产生误解,这个方法是要找回你想要的claim
如果你想要查看所有原始的这些claim(在ClaimsPrincipal中保存的token上),那你得将claimaction从里到外处理一遍(添加一堆的Remove方法)。
Requesting more claims from the OIDC provider从idp中获取更多的claim
当你想要请求更多的scope,比如profile,或者一些自定义的scope,总之就是想要多一些请求范围,那么你会发些另外一些令人困惑的事情。。。
依赖于OIDC这个协议中的response_type,一些claims是通过id token拿到的,而另一些则是通过userinfo端点拿到的。这些详细信息记录在这里。
所以,首先你需要在handler中添加对userinfo端点的支持:
options.GetClaimsFromUserInfoEndpoint = true;
如果claims从userinfo端点返回,那这个时候ClaimsAction又要上场了。它还是从返回的JSON document(userinfo返回的)中将claim映射到ClaimsPrincipal中。下面的代码展示了一些默认的设置:
ClaimActions.MapUniqueJsonKey("sub", "sub"); ClaimActions.MapUniqueJsonKey("name", "name"); ClaimActions.MapUniqueJsonKey("given_name", "given_name"); ClaimActions.MapUniqueJsonKey("family_name", "family_name"); ClaimActions.MapUniqueJsonKey("profile", "profile"); ClaimActions.MapUniqueJsonKey("email", "email");
换句话说,如果一些发送到你客户端的claims中有一些特别的,没有存在于上面这些代码所展示的映射清单中出现,那么,那些(没有映射的)就直接被忽略了,没了,炒丢了。你得自己再显式的映射一遍:
options.ClaimActions.MapUniqueJsonKey("website", "website");//再换句话说,OIDC中出现的标准claim,但却并没有在Microsoft中进行映射,需要你自己映射。
同样的情形也适用于你通过userinfo返回的任何其他claim。
希望这些讲述是有帮助的。给我的感觉就是,OAuth2.0和OpenID Connect还在发展过程中,有一些东西将来可能是有变化的,现在对映射进行显式处理,如果Mocrofost在这里把一些东西写死了,将来万一有一些变化的东西出来,那就不好弄了。