个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我已经使用授权代码 + PKCE 为客户端设置了 IdentityServerV4,并将访问 token 类型设置为引用。
new Client
{
ClientId = "app",
ClientName = "My Application",
AllowedGrantTypes = GrantTypes.Code,
RequireClientSecret = false,
RedirectUris = { "http://site.example.com:3000/callback" },
AllowedCorsOrigins = { "http://site.example.com:3000" },
AllowedScopes = { "openid", "profile", "email" },
AccessTokenType = AccessTokenType.Reference,
RequireConsent = false,
RequirePkce = true
}
我现在想在客户端应用程序和服务之间设置一个反向代理网关,该网关将在转发请求之前将引用 token 交换为常规签名的 JWT。在设置网关之前,我试图通过使用从登录中获得的引用 token 调用内省(introspection)端点来手动执行交换。
我向身份服务器添加了一个我称之为“网关”的 API as described here ,给了它一个 secret ,并使用带有 API 的 ID 和 secret 的 IntrospectionClient 成功地调用了这个端点,但我得到的响应是 active: false,并且身份服务器日志显示一个错误,表明 token 缺少预期的范围“网关” ”。日志中显示的 token 信息仅显示openid范围。
new ApiResource("gateway"){
ApiSecrets = { new Secret("test".Sha256()) }
}
这会导致来自 IdentityServer 的两条日志消息:
fail: IdentityServer4.ResponseHandling.IntrospectionResponseGenerator[0]
Expected scope gateway is missing in token
info: IdentityServer4.Endpoints.IntrospectionEndpoint[0]
Success token introspection. Token active: True, for API name: gateway
所以我从中得出的结论是,API 和颁发的 token 之间缺少一些链接,但我已经尝试了范围的每一种排列,并在我能想到的客户端和 ApiResource 定义之间允许了范围,但我似乎无法获得预期的结果。我已经阅读并重新阅读了文档数次,但在这种情况下我无法完全弄清楚 API 和客户端之间的关系。支持此类设置需要什么样的配置?
最佳答案
看起来你的代理正在使用 gateway 作用域作为内省(introspection)端点,问题是你的 token 没有这个 gateway 作用域,所以你总是会得到 active: false 作为响应。
这里有两个选择:
gateway 作用域赋予您的客户端,并使其在授权请求中将网关作用域与其他作用域一起发送。new Client
{
ClientId = "app",
ClientName = "My Application",
AllowedGrantTypes = GrantTypes.Code,
RequireClientSecret = false,
RedirectUris = { "http://site.example.com:3000/callback" },
AllowedCorsOrigins = { "http://site.example.com:3000" },
AllowedScopes = { "openid", "profile", "email", "gateway" }, // add gateway here
AccessTokenType = AccessTokenType.Reference,
RequireConsent = false,
RequirePkce = true
}
IClaimService 并将网关范围添加到所有访问 token 。public class CustomClaimService : IdentityServer4.Services.DefaultClaimsService
{
public CustomClaimService(IProfileService profile, ILogger<DefaultClaimsService> logger)
: base(profile, logger)
{
}
public override Task<IEnumerable<Claim>> GetAccessTokenClaimsAsync(ClaimsPrincipal subject, Resources resources, ValidatedRequest request)
{
resources.ApiResources.Add(new ApiResource("gateway"));
return base.GetAccessTokenClaimsAsync(subject, resources, request);
}
}
在AddIdentityServer
CustomClaimService注册到
IServiceCollection
public void ConfigureServices(IServiceCollection services)
{
...
services.AddTransient<IClaimsService, CustomClaimService>();
services.AddIdentityServer();
...
}
关于oauth-2.0 - IdentityServerV4 引用 token 自省(introspection),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58289706/
25
4
0
尝试发布到 introspect 方法会引发错误的请求错误: "Bad request. Accept and/or Content-Type headers likely do not match
我想对我使用或过度使用的常用技术进行现代化改造。它静态检查方法签名并调用方法(如果存在)。我的方法比 C++17 早了一段时间 FWIW。 目前,我使用了 Boost 的 Type 特征,例如 BOO
java.beans.Introspector#getBeanInfo 将 getter 返回类型更改为 com.google.common.base.Optional 时,编译不完整的 Proper
我正在将一些“旧的”Swift 代码转换为 Swift 2.0,但我遇到了一个我无法摆脱的错误。 我的函数接收一个类型(任意)的数组,并返回一个相同类型的新数组。 此代码在 Swift 2.0 中不再
我想做的是从 SqlAlchemy 实体定义中获取所有 Column() 的内容,确定它们的类型和约束,以便能够预验证、转换数据并向用户显示自定义表单。 我如何反省它? 例子: class Perso
下面的代码是一个可以轻松重现问题的小示例。所以我有 String 类型的变量,在其上设置了默认值。我有 3 种方法: setter/getter 二传手 将字符串转换为 boolean 值的便捷方法
初级 JavaScript 问题。我有点被 Python 的 dir 内置函数宠坏了。我想发现 node.js REPL 中任何对象的属性/方法。我已经看过this question ;在空数组 []
当我使用自省(introspection)时,我的类、方法和属性名称以纯文本形式编写。就像在这个简短的演示中一样: import java.lang.reflect.Constructor; impo
我正在编写一个通用方法,该方法复制具有公共(public)字段的两种不同类型的 bean。我正在使用内省(introspection)来获取写入和读取方法,例如 propertyDescriptor1
C++ 中是否有像 python 中那样的内省(introspection)技术? 例如:我想获得有关特定对象的更多信息,而无需通过头文件或返回引用 cpp 引用。 我是在问一个正确的问题,还是走错了
我有一个函数: # utils.py def hello(name='World'): # Detect where I'm being called from. print('Hi,
我正在编写一个小的 sqlalchemy shim 以通过一些轻量级数据转换从 MySQL 数据库中导出数据——主要是更改字段名称。我当前的脚本工作正常,但需要我基本上描述我的模型两次——一次在类声明
是否有办法确定实例最初绑定(bind)到的变量? 使用函数我们可以做到这一点: def f(): pass print f.__name__ >> f g = f print g.__name
我正在为使用内省(introspection)的代码块编写单元测试;具体来说,它在我想要模拟的类上调用 getDeclaredField() 并尝试获取该字段的值。有没有办法用 Mockito 来模拟
如何在 gdbus 自省(introspection) xml 中传递多个完整类型。例子, 当我尝试这种格式时,我得到的错误是 Error org.fr
A 类型的对象以及是否有一种方法可以通过编程方式包装类对象? 给定 class A(object): def __init__(self): ## .. def f0(
我有一个需要来自测试函数的变量的 fixture 。如果函数级别的自省(introspection)有效,那么使用自省(introspection)并在函数命名空间/上下文中声明变量应该有效,就像在模
当我尝试使用内省(introspection)来查看 threading.Lock 上可用的方法时,我没有看到我期望的结果。 具体来说,我没有看到获取、释放或锁定。这是为什么? 这是我所看到的: >>
我刚刚在一个项目中发现一些测试方法没有所需的“test_”前缀来确保它们实际运行。应该可以通过一些 linting 来避免这种情况: 在代码库中查找所有 TestCase 断言调用。 在调用层次结构中
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我是一名优秀的程序员,十分优秀!