OWIN-middleware für OpenID Connect - Code-flow ( Flow Typ - AuthorizationCode -) Dokumentation?

In meiner Implementierung bin ich mit dem OpenID-Connect-Server (Identity Server v3+) zu authentifizieren Asp.net MVC 5 app (mit AngularJS Frontend)

Ich bin der Planung bis zur Nutzung OID Code flow (mit Rahmen Open_ID), den client zu authentifizieren (RP). Für das OpenID-connect-middle-ware, ich bin mit OWIN (Katana-Projekt) Komponenten.

Vor der Umsetzung, ich möchte verstehen, back-channel-token-request -, refresh-token-request-Prozesses, usw. mit OWIN.. Aber ich bin nicht in der Lage zu finden, keine Dokumentation für diese Art von Implementierung (die meisten der zur Verfügung stehenden Beispiele verwenden Implizite flow).

Konnte ich finden, Proben für generischen Code-flow-Implementierung für den ID-Server v3 hier https://github.com/IdentityServer/IdentityServer3.Samples/tree/master/source

Ich bin auf der Suche für eine ähnliche Verwendung von OWIN-middleware ? Hat jemand irgendwelche Hinweise ?

InformationsquelleAutor Karthik | 2015-11-11
  1. 28

    Edit: gute Nachrichten, code flow und response_mode=query unterstützen, wurde schließlich Hinzugefügt zu Katana, die als Teil der Version 4.1 (ausgeliefert im November 2019): https://github.com/aspnet/AspNetKatana/wiki/Roadmap#410-release-november-2019.

    Den OpenID Connect-middleware nicht unterstützt, der code flow: http://katanaproject.codeplex.com/workitem/247 (ist schon behoben, im ASP.NET 5-version, obwohl).

    Eigentlich nur die implizite flow (id_token) offiziell unterstützt, und Sie müssen die response_mode=form_post Erweiterung. Versucht, mit dem Autorisierungs-code-flow wird einfach das Ergebnis in eine Ausnahme ausgelöst wird, während der Rückruf, weil es nicht in der Lage zu extrahieren, die (fehlende) id_token von der Authentifizierungs-Antwort.

    Zwar nicht direkt unterstützt, können Sie auch den hybrid-flow (code + id_token (+ token)), aber es ist bis zu Ihnen, zum umsetzen der token-Anforderung Teil. Sie können sehen, https://github.com/aspnet-contrib/AspNet.Security.OpenIdConnect.Server/blob/dev/samples/Nancy/Nancy.Client/Startup.cs#L82-L115 für ein Beispiel.

    • So viel wissen gepackt in diese Antwort. Muss es Sie getroffen haben, Zeit, zu entdecken, all diese Schmerzen Punkte. Die Erweiterung auf exception geworfen wird, während die callback für den OP: die Ausnahme wird durch ein id-token nicht zurückgegeben wird, die im Aufruf idsvr wenn Sie nur Fragen, für code flow (was natürlich gewollt ist).
    • vielen Dank für das freundliche Wort! Eigentlich habe ich trug ein paar mal um die OIDC middleware (zum Beispiel, ich führte die response_mode=query support) und ich entwickeln, das server-Pendant für OWIN/Katana und ASP.NET 5 (github.com/aspnet-contrib/AspNet.Security.OpenIdConnect.Server), was erklärt, warum fühle ich mich mit den Fragen zu OIDC 😉 ich aktualisierte meine Antwort zu integrieren, Ihre Präzision, Dank!
    • Können Sie mir bitte helfen mit dieser Frage :stackoverflow.com/questions/47096113/...
    • Werden wir sehen, updates für non-Core-apps will, laufen Microsoft.Owin.Sicherheit.OpenIdConnect code flow? Oder gibt es eine Alternative Pakete gibt, wenn Core migration ist noch Ferne Zukunft für das konkrete Projekt?
    • Katana 4.0 ist zu Schiff, aber nichts hat sich geändert hinsichtlich der code-flow-Unterstützung. Fühlen Sie sich frei, um öffnen Sie ein neues ticket auf GitHub (github.com/aspnet/AspNetKatana), aber ich bin nicht sicher, es wird unterstützt in der nahen Zukunft.
    • Code flow Hinzugefügt wurde die Unterstützung für 4.1 github.com/aspnet/AspNetKatana/pull/297

    InformationsquelleAutor Kévin Chalet
  2. 1

    Die Antwort-und Kommentar-Antworten, die von Pinpoint sind vor Ort auf. Danke!

    Aber wenn Sie bereit sind, Schritt Weg von der NuGet-Paket und führen Sie stattdessen die mit verändertem Quellcode für Microsoft.Owin.Sicherheit.OpenIdConnect können Sie get code (code) fließen mit form_post.

    Natürlich kann gesagt werden, für alle open-source-Projekt Probleme, aber das war eine schnelle Lösung für eine große Sache in meinem Fall so dass ich dachte, ich würde teilen, dass es könnte eine option sein.

    Ich heruntergeladen code von https://github.com/aspnet/AspNetKatana, fügte der csproj zu meiner Lösung und entfernt Zeilen aus https://github.com/aspnet/AspNetKatana/blob/dev/src/Microsoft.Owin.Security.OpenIdConnect/OpenidConnectAuthenticationHandler.cs in AuthenticateCoreAsync().

    Muss man dann kombinieren Sie es mit Rückkanal aufrufen und dann erstellen Sie Ihre eigene "ClaimsIdentity" (), um festzulegen, wie die Benachrichtigung.AuthenticationTicket.

    //Install-Package IdentityModel to handle the backchannel calls in a nicer fashion
AuthorizationCodeReceived = async notification =>
{
    var configuration = await notification.Options.ConfigurationManager
             .GetConfigurationAsync(notification.Request.CallCancelled);

    var tokenClient = new TokenClient(configuration.TokenEndpoint,
             notification.Options.ClientId, notification.Options.ClientSecret,
                  AuthenticationStyle.PostValues);
    var tokenResponse = await tokenClient.RequestAuthorizationCodeAsync(
        notification.ProtocolMessage.Code,
        "http://localhost:53004/signin-oidc",
        cancellationToken: notification.Request.CallCancelled);

    if (tokenResponse.IsError 
            || string.IsNullOrWhiteSpace(tokenResponse.AccessToken)
            || string.IsNullOrWhiteSpace(tokenResponse.RefreshToken))
    {
        notification.HandleResponse();
        notification.Response.Write("Error retrieving tokens.");
        return;
    }

    var userInfoClient = new UserInfoClient(configuration.UserInfoEndpoint);
    var userInfoResponse = await userInfoClient.GetAsync(tokenResponse.AccessToken);

    if (userInfoResponse.IsError)
    {
        notification.HandleResponse();
        notification.Response.Write("Error retrieving user info.");
        return;
    }
    ..
    InformationsquelleAutor Johan Kronberg
Schreibe einen Kommentar