oauth-2.0 - 身份服务器不返回刷新 token-6ren

oauth-2.0 - 身份服务器不返回刷新 token

转载作者：行者123 更新时间：2023-12-03 15:20:18

29

4

我正在尝试设置 Thinktecture 的 Identity Server 3，但在交换授权代码时(或使用 ResourceOwner 流程时，我似乎无法让它返回刷新 token ，但我将专注于授权代码因为现在对我来说更重要)。我取回访问 token 并可以使用它们进行身份验证，但它似乎甚至没有生成我期望取回的刷新 token 。我需要做什么特别的事情才能让 Identity Server 返回刷新 token ？

我已经浏览了文档，但没有看到我设置错误的任何内容，而且他们页面上唯一的内容是 refresh tokens我没有做的是在将用户发送到那里进行身份验证时明确请求“offline_access”范围，因为每当我尝试时，我都会收到“无效范围”错误。因此，我采用 Thinktecture 的“请求 offline_access 范围(通过代码或资源所有者流)”的措辞来表示 offline_access 范围是根据您使用的流自动请求的。

我一直在尽可能地遵循他们的示例应用程序(以及来自 Katana Project 的现有 Owin 中间件的源代码)，我的设置如下:

我使用他们的客户端类创建了一个客户端，手动指定以下内容:var client = new Client()
{
ClientId = "SomeId",
ClientName = "带有验证码流的客户端",
RequireConsent = false,//将此设置为 true 没有帮助
Flow = Flows.AuthorizationCode,
ClientSecrets = 新列表(){
新的 ClientSecret(" secret ")
},
RedirectUris = new List()
{
“本地主机:/特定重定向路径”
}
};

我正在调用 Authorization 端点，如下所示:var authorizationEndpoint =
AuthorizationEndpointBase +
"?client_id="+ Uri.EscapeDataString(Options.ClientId) +
"&scope=默认"+
"&response_type=代码"+
"&redirect_uri="+ Uri.EscapeDataString(redirectUri) +
"&state="+ Uri.EscapeDataString(state);
Response.Redirect(authorizationEndpoint);
其中“默认”是我创建的范围。

在我的回调中，我按如下方式调用 token 端点:IReadableStringCollection query = Request.Query;
string code = getValueFromQueryString("code", query);
var tokenRequestParameters = new List>()
{
new KeyValuePair("client_id", Options.ClientId),
new KeyValuePair("redirect_uri", GenerateRedirectUri()),
new KeyValuePair("client_secret", Options.ClientSecret),
new KeyValuePair("code", code),
new KeyValuePair("grant_type", "authorization_code"),
};
var requestContent = new FormUrlEncodedContent(tokenRequestParameters);
HttpResponseMessage response = await _httpClient.PostAsync(TokenEndpoint, requestContent, Request.CallCancelled);
response.EnsureSuccessStatusCode();
字符串 oauthTokenResponse = 等待 response.Content.ReadAsStringAsync();

当我调用 token 端点时，我在 Identity Server 上的登录显示以下内容(在验证授权代码之后):

iisexpress.exe 信息: 0 : [Thinktecture.IdentityServer.Core.Validation.TokenRequestValidator]: 7/13/2015 1:44:07 PM +00:00 -- token 请求验证成功
{
"ClientId": "SomeId",
"ClientName": "带有验证码流的客户端",
"GrantType": "authorization_code",
“授权码”:“f8f795e649044067ebd96a341c5af8c3”
}
iisexpress.exe 信息: 0 : [Thinktecture.IdentityServer.Core.ResponseHandling.TokenResponseGenerator]: 7/13/2015 1:44:07 PM +00:00 -- 创建 token 响应
iisexpress.exe 信息: 0 : [Thinktecture.IdentityServer.Core.ResponseHandling.TokenResponseGenerator]: 7/13/2015 1:44:07 PM +00:00 -- 处理授权码请求
调试:[Thinktecture.IdentityServer.Core.Services.Default.DefaultTokenService]:7/13/2015 1:44:07 PM +00:00 -- 创建访问 token
调试:[Thinktecture.IdentityServer.Core.Services.Default.DefaultTokenService]:7/13/2015 1:44:07 PM +00:00 -- 创建引用访问 token
iisexpress.exe 信息: 0 : [Thinktecture.IdentityServer.Core.Endpoints.TokenEndpointController]: 7/13/2015 1:44:07 PM +00:00 -- 结束 token 请求
iisexpress.exe 信息: 0 : [Thinktecture.IdentityServer.Core.Results.TokenResult]: 7/13/2015 1:44:07 PM +00:00 -- 返回 token 响应。

我不确定还有什么是相关的，所以我会根据需要提供更多信息。

最佳答案

您必须在请求中明确要求“offline_access”。用空格分隔您请求的其他范围。 (在我下面的示例中，我将“默认”替换为“MyApi”，以明确我们正在讨论由您的应用程序定义的范围。)

&scope=MyApi offline_access

但是，您还必须授予该客户端获取刷新 token 的权利，这不仅仅取决于您选择的流程:

var client = new Client()
{
    ... //All the stuff you were doing before

    ScopeRestrictions = new List<string>
    { 
        "MyApi",
        StandardScopes.OfflineAccess.Name, //"offline_access" -for refresh tokens
        //Other commonly requested scopes:
        //StandardScopes.OpenId.Name, //"openid"
        //StandardScopes.Email.Name,  //"email"

    },
}

您可能还需要将“offline_access”添加到作用域存储中。范围存储是 Identity Server 知道的范围列表。你的问题没有提到你的范围存储是如何在你的项目中设置的，所以你可能已经有了它。但是，如果上述内容不能立即为您工作，您可能需要在您正在使用的示例中四处寻找这样的代码并添加 OfflineAccess。

var scopeStore = new InMemoryScopeStore(new Scope[]{
    StandardScopes.OpenId,
    StandardScopes.Profile,
    StandardScopes.Email,
    StandardScopes.OfflineAccess,  //<--- ensure this is here to allow refresh tokens
    new Scope{
        Enabled = true,
        Name = "MyApi"
    },
}

关于oauth-2.0 - 身份服务器不返回刷新 token ，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/31385593/

29

4

0

文章推荐： pdf - 如何从命令行以CSV格式从PDF提取表数据？

文章推荐： scala - 3 笔交易

文章推荐： oracle - LockModeType Jpa 的区别

OAuth:OAuth 实现用例
我有一个 webapp，它使用 php 服务器和数据库服务器执行大量 ajax 请求。我还创建了一个 iPhone 应用程序和一个 Android 应用程序，直到现在它们一直作为离线应用程序工作。现
oauth - OAuth 线程安全吗？
OAuth 的访问 token /刷新 token 流对我来说似乎非常不安全。帮助我更好地理解它。假设我正在与利用 OAuth 的 API 集成(如 this one )。我有我的访问 token
oauth - OAuth 和 OAuth 2.0 有什么区别？
这个问题在这里已经有了答案: 9年前关闭。 Possible Duplicate: How is oauth 2 different from oauth 1 我知道这两个不向后兼容。但是，既然已经实
oauth - 在开发和生产环境中使用 OAuth
我已经看到关于此的其他问题( here 、 here 和 here )，但我对任何解决方案都不满意，所以我再次询问。我正在启动一个 Web 应用程序，它将利用来自多个提供商(Google、Facebo
oauth - OAuth 授权码应何时到期？
我知道(在 OAuth 中使用授权代码“授权代码”时)，访问 token 的生命周期应该很短，但刷新 token 的生命周期可能很长。所以我决定为我的项目: 访问 token 生命周期:1 天刷新
oauth - OAuth 可以与手机应用程序一起使用吗？
在没有浏览器的情况下，我们可以在手机上的应用程序中使用 OAuth 吗？如果没有浏览器，用户是否仍然可以批准 token 请求(以便消费者可以继续从服务提供者那里获取 protected 资源)？
oauth - OAuth 2 与 OAuth 1 有何不同？
用非常简单的术语来说，有人可以解释一下 OAuth 2 和 OAuth 1 之间的区别吗？ OAuth 1 现在已经过时了吗？我们应该实现 OAuth 2 吗？我没有看到很多 OAuth 2 的实现；
oauth - 桥接表单例份验证和 OAUTH
修改表单例份验证登录过程并不难，因此除了正常的表单例份验证之外，WebClient 对象对由使用 Thinktecture IdentityModel 设置的 Web Api DAL 提供的 api/
oauth - OAuth 是否总是假定用户界面？
我想连接到 LinkedIn 并通过他们的 API 提取一些信息。 LinkedIn API 使用 OAuth 2.0。我读过的所有关于 OAuth 的文档(无论是在 LinkedIn 的上下文中还
oauth - OAuth 的接受程度如何？
OAuth 与其他身份验证标准的支持范围有多广？这可能是社区维基的东西，但我还是要问。我需要投资一些与服务器身份验证相关的东西，而且那里似乎有一些不错的东西。最佳答案 OAuth 主要用作授权机
oauth - 雅虎和微软是否支持 Oauth 2.0？以及关于 oAuth 2.0 的几个问题
我有几个问题... 雅虎和微软 api 是否支持 oAuth 2.0？如果是，那么主要是什么应该采取的安全措施转移时受到照顾 oAuth 1.0 到 oAuth 2.0。 Google API
oauth-2.0 - google oAuth - 从 google oAuth 登录后如何删除 cookie
我已经用谷歌 oAuth 开发了一个应用程序，这工作正常。我可以登录并访问我的网站。我的问题是，当我从我的应用程序中注销(注销)时，我删除了所有 session ，但未删除经过身份验证的 cook
oauth - 我认为 OAuth 1.0 已经被 OAuth 2.0 弃用是对的吗？
我在 Internet 上寻找一些关于此的信息，最后在 RFC 上找到了 Oauth 1.0 协议(protocol):https://www.rfc-editor.org/rfc/rfc5849 您
oauth - 带有内部返回 URL 的 Google OpenID+Oauth 混合模式登录 - OAuth 不起作用
我正在尝试制作 Google OpenID/OAuth hybrid签到工作。问题是它是一个可安装的网络(所以没有固定域)，我也试图让它在我的开发机器上工作 - 所以返回 URL 类似于 http:/
oauth - DotNetOpenAuth 2、OAuth.net 和 Microsoft.OWIN.Security.oAuth
我想构建一个独立与任何身份提供者(如 ADFS、OpenAM、oracle 身份)一起工作的应用程序。我的目的是验证来自任何一个 IDP 的登录用户，这些 IDP 配置为实现我的 SSO。我不确定
spring -/oauth/authorize 和/oauth/token 在 Spring OAuth 中如何交互？
我正在深入研究 Spring OAuth，发现一些相互矛盾的信息。具体来说，this tutorial声明 /oauth/token 端点在将刷新 token 授予客户端应用程序之前处理用户名和密码
oauth - 来自命令行的三足 OAuth token
如何通过自定义命令行工具支持三足式 OAuth 工作流？我想允许我的 CLI 工具的用户上网、登录并在本地缓存 token ，类似于 heroku login。正在做。最佳答案你必须扔掉同意屏幕
oauth - 什么是 oauth 域
什么是 oauth 域？是否有任何免费的 oauth 服务？我可以将它用于 StackApps registration 吗？？我在谷歌上搜索了很多，但找不到答案。最佳答案这是redirect_
oauth - Yahoo OAuth 实现无法离线工作
我需要将我的 Delicious 书签下载到非 Web 应用程序，而无需持续的用户交互。我正在使用 Delicious 的 V2 API(使用 oAuth)，但问题是他们的访问 token 似乎在一小
oauth - nginx 负载均衡器和 OAuth
我正在尝试为两台服务器设置一个 nginx 负载均衡器/代理，并在两台服务器上运行 OAuth 身份验证的应用程序。当 nginx 在端口 80 上运行时，一切都运行良好，但是当我将它放在任何其他端

首页

博学

6Ren·AI

商城

oauth-2.0 - 身份服务器不返回刷新 token