如何使IdentityServer将用户身份添加到访问令牌？

简而言之：我的客户端从IdentityServer示例服务器中检索访问令牌，然后将其传递给我的WebApi。 在我的控制器中，this.HttpContext.User.GetUserId（）返回null（尽管用户有其他声明）。 我怀疑访问令牌中没有nameidentity声明。 我如何使IdentityServer包含它？

我到目前为止所尝试的是：

从混合转换为隐式流（随机尝试）

在我添加的IdSvrHost作用域定义中

Claims = {new ScopeClaim（ClaimTypes.NameIdentifier，alwaysInclude：true）}

在我添加的IdSvrHost客户端定义中

新索赔（ClaimTypes.NameIdentifier，“42”）}

（也是随机尝试）

我也在范围定义中尝试了其他范围，但都没有出现。 看起来，名称身份通常包含在身份令牌中，但对于我所知道的大多数公共API而言，您不会向服务器提供身份令牌。

更多细节：IdSrvHost和Api在不同的主机上。 控制器有[授权]。 事实上，我可以看到其他声明。 Api配置有

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

app.UseIdentityServerAuthentication(options => {
    options.Authority = "http://localhost:22530/";

    // TODO: how to use multiple optional scopes?
    options.ScopeName = "borrow.slave";
    options.AdditionalScopes = new[] { "borrow.receiver", "borrow.manager" };

    options.AutomaticAuthenticate = true;
    options.AutomaticChallenge = true;
});

范围：

public static Scope Slave { get; } = new Scope {
    Name = "borrow.slave",
    DisplayName = "List assigned tasks",
    Type = ScopeType.Resource,

    Claims = {
        new ScopeClaim(ClaimTypes.NameIdentifier, alwaysInclude: true),
    },
};

和客户：

new Client {
    ClientId = "borrow_node",
    ClientName = "Borrow Node",

    Flow = Flows.Implicit,

    RedirectUris = new List<string>
    {
        "borrow_node:redirect-target",
    },

    Claims = { new Claim(ClaimTypes.NameIdentifier, "42") },

    AllowedScopes = {
        StandardScopes.OpenId.Name,
        //StandardScopes.OfflineAccess.Name,
        BorrowScopes.Slave.Name,
    },
}

验证URI：

request.CreateAuthorizeUrl(
            clientId: "borrow_node",
            responseType: "token",
            scope: "borrow.slave",
            redirectUri: "borrow_node:redirect-target",
            state: state,
            nonce: nonce);

我也试过了

request.CreateAuthorizeUrl(
            clientId: "borrow_node",
            responseType: "id_token token",
            scope: "openid borrow.slave",
            redirectUri: "borrow_node:redirect-target",
            state: state,
            nonce: nonce);

---

Hooray，我找到了一个答案，当我偶然发现这个页面时：https://github.com/IdentityServer/IdentityServer3.Samples/issues/173

显然，用户身份在访问令牌中的“子”声明中传递。 因为我盲目地复制了API示例，所以包含它的配置

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

这基本上阻止了我的API将“sub”索赔映射到名称标识。 删除此行后，经过身份验证的控制器的HttpContext.User.GetUserId（）将正确返回用户标识。

链接地址: http://www.djcxy.com/p/91287.html

上一篇: How to make IdentityServer to add user identity to the access token?

下一篇: Database Mirroring shows error message in SQL Server