Как использовать OpenIddict AuthServer и веб-API в одном проекте
Я создал сервер OpenIddict OAuth, используя замечательное руководство Робина ван дер Кнаапа, хотя на самом деле я реализовал его, используя Identity вместо файлов cookie.
Я также пытаюсь запустить веб-API из того же проекта, потому что конечный пользователь хочет, чтобы вызывалась только одна система.
На данный момент я провожу все тестирование конечных точек в почтальоне.
Эта конечная точка информации о пользователе в AuthorizationController отлично работает:
[Authorize(AuthenticationSchemes = OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)]
[HttpGet("~/connect/userinfo")]
public async Task<IActionResult> Userinfo()
{
var claimsPrincipal = (await HttpContext.AuthenticateAsync(OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)).Principal;
return Ok(new
{
Name = claimsPrincipal.GetClaim(OpenIddictConstants.Claims.Subject),
Occupation = "Developer",
Age = 43
});
}
Но когда я пытаюсь вызвать эту пользовательскую конечную точку контроллера веб-API (https://<domain.com>/api/Test/):
[Route("api/[controller]")]
[ApiController]
public class TestController : ControllerBase
{
[HttpGet]
[Authorize(AuthenticationSchemes = OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)]
public IActionResult Index()
{
return Ok("hello");
}
}
Я просто получаю следующую ошибку:
System.InvalidOperationException: идентификатор не может быть извлечен из этот запрос. Обычно это указывает на то, что сервер OpenIddict стеку было предложено проверить токен для конечной точки, которой он не управляет. Для проверки токенов, полученных пользовательскими конечными точками API, OpenIddict обработчик проверки (например, OpenIddictValidationAspNetCoreDefaults.AuthenticationScheme или OpenIddictValidationOwinDefaults.AuthenticationType) должен использоваться вместо. в OpenIddict.Server.OpenIddictServerHandlers.ValidateAuthenticationDemand.HandleAsync(ProcessAuthenticationContext контекст) в OpenIddict.Server.OpenIddictServerDispatcher.DispatchAsync[TContext](TContext контекст) в OpenIddict.Server.OpenIddictServerDispatcher.DispatchAsync[TContext](TContext контекст) в OpenIddict.Server.AspNetCore.OpenIddictServerAspNetCoreHandler.HandleAuthenticateAsync() в Microsoft.AspNetCore.Authentication.AuthenticationHandler`1.AuthenticateAsync() в Microsoft.AspNetCore.Authentication.AuthenticationService.AuthenticateAsync(HttpContext контекст, схема String) в Microsoft.AspNetCore.Authorization.Policy.PolicyEvaluator.AuthenticateAsync (AuthorizationPolicy политика, контекст HttpContext) в Microsoft.AspNetCore.Authorization.AuthorizationMiddleware.Invoke(HttpContext контекст) в Microsoft.AspNetCore.Authentication.AuthenticationMiddleware.Invoke(HttpContext контекст) в Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddleware.Invoke(HttpContext контекст)
Моя Program.cs выглядит так:
using Microsoft.AspNetCore.Identity;
using Microsoft.EntityFrameworkCore;
using OAuthServer;
using OAuthServer.Data;
using OpenIddict.Server.AspNetCore;
using OpenIddict.Validation.AspNetCore;
var builder = WebApplication.CreateBuilder(args);
// Add services to the container.
var connectionString = builder.Configuration.GetConnectionString("DefaultConnection");
builder.Services.AddDbContext<ApplicationDbContext>(options =>
{
options.UseSqlServer(connectionString);
// Register the entity sets needed by OpenIddict.
options.UseOpenIddict();
});
builder.Services.AddOpenIddict()
// Register the OpenIddict core components.
.AddCore(options =>
{
// Configure OpenIddict to use the EF Core stores/models.
options.UseEntityFrameworkCore()
.UseDbContext<ApplicationDbContext>();
})
// Register the OpenIddict server components.
.AddServer(options =>
{
options
.AllowClientCredentialsFlow()
.AllowAuthorizationCodeFlow().RequireProofKeyForCodeExchange()
.AllowRefreshTokenFlow();
options
.SetTokenEndpointUris("/connect/token")
.SetAuthorizationEndpointUris("/connect/authorize")
.SetTokenEndpointUris("/connect/token")
.SetUserinfoEndpointUris("/connect/userinfo");
// Encryption and signing of tokens TODO: Replace with x.509 cert
options
.AddEncryptionCertificate(CertificateHelper.LoadCertificateFromKeyVault(builder.Configuration["KeyVault:Name"], builder.Configuration["OAuth:EncryptionCertName"]))
.AddSigningCertificate(CertificateHelper.LoadCertificateFromKeyVault(builder.Configuration["KeyVault:Name"], builder.Configuration["OAuth:EncryptionCertName"]))
/*.AddEphemeralEncryptionKey()
.AddEphemeralSigningKey()*/
.DisableAccessTokenEncryption();
// Register scopes (permissions)
options.RegisterScopes("api");
// Register the ASP.NET Core host and configure the ASP.NET Core-specific options.
options
.UseAspNetCore()
.EnableTokenEndpointPassthrough()
.EnableAuthorizationEndpointPassthrough()
.EnableUserinfoEndpointPassthrough();
})
.AddValidation();
builder.Services.AddAuthentication(options => options.DefaultScheme = OpenIddictValidationAspNetCoreDefaults.AuthenticationScheme);
builder.Services.AddHostedService<TestData>();
builder.Services.AddDatabaseDeveloperPageExceptionFilter();
builder.Services.AddDefaultIdentity<IdentityUser>(options => options.SignIn.RequireConfirmedAccount = true)
.AddEntityFrameworkStores<ApplicationDbContext>();
builder.Services.AddControllersWithViews();
builder.Services.AddRazorPages();
builder.Services.AddControllers();
var app = builder.Build();
// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
app.UseMigrationsEndPoint();
}
else
{
app.UseExceptionHandler("/Home/Error");
// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapRazorPages();
endpoints.MapControllers();
});
app.MapControllerRoute(
name: "default",
pattern: "{controller=Home}/{action=Index}/{id?}");
app.MapRazorPages();
app.Run();
Как заставить [Authorize(AuthenticationSchemes = OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)] работать на пользовательских конечных точках API?
Обновлено
У меня есть ощущение, что немного веб-API является красной селедкой, и проблема является чем-то более фундаментальным. Я попытался добавить действие MVC в тот же AuthorizationController:
[Authorize(AuthenticationSchemes = OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)]
[HttpGet("~/connect/hello")]
public async Task<IActionResult> Hello()
{
return Ok("hi");
}
Но это дает ту же ошибку.
Я думаю, что мне, вероятно, следует просто использовать [Авторизовать] без указания схемы (что я и пытался сделать изначально), но это всегда дает несанкционированный доступ.....
Я подозреваю, что в этой статье есть что-то, что мне нужно, но это для старой версии OpenIddict (я использую 3.1.1), и я не могу понять текущее поведение.
Ответы 1
Оказывается, я просто использовал неправильную схему для атрибута авторизации. Мне нужно было изменить:
[Authorize(AuthenticationSchemes = OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)]
к:
[Authorize(AuthenticationSchemes = OpenIddictValidationAspNetCoreDefaults.AuthenticationScheme)]
И если вы хотите избежать добавления схемы в атрибут, вам нужно добавить это в конфигурацию вашего сервиса:
builder.Services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = OpenIddictValidationAspNetCoreDefaults.AuthenticationScheme;
});
ПРИМЕЧАНИЕ. Кажется, это противоречит информации о Сервер OpenIddict ASP.NET Core нельзя использовать в качестве обработчика схемы по умолчанию, но мне это помогло.
Хотя это не будет хорошо сочетаться с входом в систему Identity (если только я не возьму вызов для входа), поэтому я пропустил это.