OpenIddict - Как получить токен доступа для пользователя?

Я работаю над образцом приложения для OpenIddict, используя AngularJs. Мне сказали, что вы не должны использовать клиентские фреймворки, такие как Satellizer, поскольку это не рекомендуется, а вместо этого позволить серверу обрабатывать вход на стороне сервера (локально и с использованием внешних поставщиков входа) и возвращать токен доступа.

Что ж, у меня есть демонстрационное приложение angularJs, которое использует логику входа на стороне сервера и обращается к приложению angular, но моя проблема в том, как мне получить токен доступа для текущего пользователя?

вот мой файл startup.cs, так что вы можете увидеть мою конфигурацию на данный момент

public void ConfigureServices(IServiceCollection services) {
    var configuration = new ConfigurationBuilder()
        .AddJsonFile("config.json")
        .AddEnvironmentVariables()
        .Build();

    services.AddMvc();

    services.AddEntityFramework()
        .AddSqlServer()
        .AddDbContext<ApplicationDbContext>(options =>
            options.UseSqlServer(configuration["Data:DefaultConnection:ConnectionString"]));

    services.AddIdentity<ApplicationUser, IdentityRole>()
        .AddEntityFrameworkStores<ApplicationDbContext>()
        .AddDefaultTokenProviders()
        .AddOpenIddict();

    services.AddTransient<IEmailSender, AuthMessageSender>();
    services.AddTransient<ISmsSender, AuthMessageSender>();
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    env.EnvironmentName = "Development";

    var factory = app.ApplicationServices.GetRequiredService<ILoggerFactory>();
    factory.AddConsole();
    factory.AddDebug();

    app.UseDeveloperExceptionPage();

    app.UseIISPlatformHandler(options => {
        options.FlowWindowsAuthentication = false;
    });

    app.UseOverrideHeaders(options => {
        options.ForwardedOptions = ForwardedHeaders.All;
    });

    app.UseStaticFiles();

    // Add a middleware used to validate access
    // tokens and protect the API endpoints.
    app.UseOAuthValidation();

    // comment this out and you get an error saying 
    // InvalidOperationException: No authentication handler is configured to handle the scheme: Microsoft.AspNet.Identity.External
    app.UseIdentity();

    // TOO: Remove
    app.UseGoogleAuthentication(options => {
        options.ClientId = "XXX";
        options.ClientSecret = "XXX";
    });

    app.UseTwitterAuthentication(options => {
        options.ConsumerKey = "XXX";
        options.ConsumerSecret = "XXX";
    });

    // Note: OpenIddict must be added after
    // ASP.NET Identity and the external providers.
    app.UseOpenIddict(options =>
    {
        options.Options.AllowInsecureHttp = true;
        options.Options.UseJwtTokens();
    });

    app.UseMvcWithDefaultRoute();

    using (var context = app.ApplicationServices.GetRequiredService<ApplicationDbContext>()) {
        context.Database.EnsureCreated();

        // Add Mvc.Client to the known applications.
        if (!context.Applications.Any()) {
            context.Applications.Add(new Application {
                Id = "myClient",
                DisplayName = "My client application",
                RedirectUri = "http://localhost:5000/signin",
                LogoutRedirectUri = "http://localhost:5000/",
                Secret = Crypto.HashPassword("secret_secret_secret"),
                Type = OpenIddictConstants.ApplicationTypes.Confidential
            });

            context.SaveChanges();
        }
    }
}

Теперь мой AccountController в основном такой же, как и обычный Account Controller, хотя после того, как пользователи вошли в систему (используя локальный и внешний вход), я использую эту функцию и мне нужен accessToken.

private IActionResult RedirectToAngular()
{
    // I need the accessToken here

    return RedirectToAction(nameof(AccountController.Angular), new { accessToken = token });
}

Как видно из метода ExternalLoginCallback в AccountController

public async Task<IActionResult> ExternalLoginCallback(string returnUrl = null)
{
    var info = await _signInManager.GetExternalLoginInfoAsync();
    if (info == null)
    {
        return RedirectToAction(nameof(Login));
    }

    // Sign in the user with this external login provider if the user already has a login.
    var result = await _signInManager.ExternalLoginSignInAsync(info.LoginProvider, info.ProviderKey, isPersistent: false);
    if (result.Succeeded)
    {
        // SHOULDNT THE USER HAVE A LOCAL ACCESS TOKEN NOW??
        return RedirectToAngular();
    }
    if (result.RequiresTwoFactor)
    {
        return RedirectToAction(nameof(SendCode), new { ReturnUrl = returnUrl });
    }
    if (result.IsLockedOut)
    {
        return View("Lockout");
    }
    else {
        // If the user does not have an account, then ask the user to create an account.
        ViewData["ReturnUrl"] = returnUrl;
        ViewData["LoginProvider"] = info.LoginProvider;
        var email = info.ExternalPrincipal.FindFirstValue(ClaimTypes.Email);
        return View("ExternalLoginConfirmation", new ExternalLoginConfirmationViewModel { Email = email });
    }
}

.net c# asp.net openid-connect openiddict
person Gillardo    schedule 15.01.2016    source источник

Ответы (1)


arrow_upward
3
arrow_downward 

var result = await _signInManager.ExternalLoginSignInAsync(info.LoginProvider, info.ProviderKey, isPersistent: false);
if (result.Succeeded)
{
    // SHOULDNT THE USER HAVE A LOCAL ACCESS TOKEN NOW??
    return RedirectToAngular();
}

Это не так, как это должно работать. Вот что происходит в классическом потоке:

  • Клиентское приложение OAuth2/OpenID Connect (в вашем случае ваше JS-приложение Satellizer) перенаправляет пользовательский агент на конечную точку авторизации (/connect/authorize по умолчанию в OpenIddict) со всеми обязательными параметрами: client_id, redirect_uri (обязательно в OpenID Connect), response_type и nonce при использовании неявного потока (т.е. response_type=id_token token). Satellizer должен сделать это за вас, если вы правильно зарегистрировали свой сервер авторизации (1).

  • Если пользователь еще не вошел в систему, конечная точка авторизации перенаправляет пользователя на конечную точку входа (в OpenIddict это делает за вас внутренний контроллер). В этот момент вызывается ваше действие AccountController.Login, и пользователю отображается форма входа в систему.

  • Когда пользователь вошел в систему (после процесса регистрации и/или внешней ассоциации аутентификации), он/она ДОЛЖЕН быть перенаправлен обратно в конечную точку авторизации: на этом этапе вы не можете перенаправить пользовательский агент в ваше приложение Angular. . Отмените изменения, внесенные в ExternalLoginCallback, и все должно заработать.

  • Затем пользователю отображается форма согласия, указывающая, что он собирается разрешить вашему JS-приложению доступ к его личным данным от его имени. Когда пользователь отправляет форму согласия, запрос обрабатывается OpenIddict, генерируется токен доступа, и пользовательский агент перенаправляется обратно в клиентское приложение JS с добавлением токена к фрагменту URI.

[1]: согласно документации Satellizer это должно быть примерно так:

$authProvider.oauth2({
    name: 'openiddict',
    clientId: 'myClient',
    redirectUri: window.location.origin + '/done',
    authorizationEndpoint: window.location.origin + '/connect/authorize',
    responseType: 'id_token token',
    scope: ['openid'],
    requiredUrlParams: ['scope', 'nonce'],
    nonce: function() { return "TODO: implement appropriate nonce generation and validation"; },
    popupOptions: { width: 1028, height: 529 }
});
person Kévin Chalet    schedule 15.01.2016