如何在 identityserver4 中没有用户名和密码的情况下从令牌端点获取令牌?

Posted

技术标签:

【中文标题】如何在 identityserver4 中没有用户名和密码的情况下从令牌端点获取令牌?【英文标题】:how can I get token from token endpoint without username and password in identityserver4? 【发布时间】:2021-01-04 02:41:28 【问题描述】:

我在我的 asp.net 核心 web api 中使用 IdentityServer4 进行用户身份验证和授权。我在 android 应用程序中使用这个 api。我的用户使用用户名和密码注册和登录没有问题。这是我的访问令牌我从 connect/token 端点


  "alg": "RS512",
  "typ": "at+jwt"


  "nbf": 1600324303,
  "exp": 1631860303,
  "iss": "https://myIdentityServerApi.com",
  "aud": [
    "IdentityServerApi",
    "MyAPI1"
  ],
  "client_id": "MyApp1",
  "sub": "521d198c-3657-488e-997e-3e50d756b353",
  "auth_time": 1600324302,
  "idp": "local",
  "role": "Admin",
  "name": "myusername",
  "scope": [
    "openid",
    "IdentityServerApi",
    "MyAPI1"
  ],
  "amr": [
    "pwd"
  ]

现在在我的新 android 应用程序中,我希望用户注册并使用电话号码和短信激活登录。 当用户发送激活码时,我应该向他发送访问令牌。但是如何在没有用户名和密码的情况下从令牌端点获取令牌?

在下面我想手动生成令牌。但是生成的令牌不起作用。

        [HttpPost("Activate")]
        [AllowAnonymous]
        public async Task<IActionResult> Activate([FromBody] SignUpPhoneModel model)
        
            if (string.IsNullOrWhiteSpace(model.PhoneNumber))
            
                return BadRequest("Phone Number is Empty");
            

            PhoneValidation pv = new PhoneValidation();


            IdentityUser CurrentUser = await db.Users.Where(e => e.PhoneNumber == model.PhoneNumber).FirstAsync();
            if (!await UserManager.VerifyChangePhoneNumberTokenAsync(CurrentUser, model.ActivationCode, model.PhoneNumber))
            
                return BadRequest("Activation Code is not correct");
            
            else
            
                //Here user is activated and should get token But How?
                CurrentUser.PhoneNumberConfirmed = true;
                List<string> UserRoles = (await UserManager.GetRolesAsync(CurrentUser)).ToList();
                var tokenHandler = new JwtSecurityTokenHandler();

                RSACryptoServiceProvider rsap = new RSACryptoServiceProvider(KeyContainerNameForSigning);
                SecurityKey sk = new RsaSecurityKey(rsap.Engine);
                List<Claim> UserClaims = new List<Claim>() 
                    new Claim(JwtRegisteredClaimNames.Sub, CurrentUser.Id),

                ;
                foreach (var r in UserRoles)
                
                    UserClaims.Add(new Claim(JwtClaimTypes.Role, r));
                
                var tokenDescriptor = new SecurityTokenDescriptor
                
                     Issuer= "https://myidentityserverapi.com",
                    Audience = "IdentityServerApi,MyAPI",
                     
                    Subject = new ClaimsIdentity(UserClaims),
                    Expires = DateTime.UtcNow.AddDays(365),
                    SigningCredentials = new SigningCredentials(sk, SecurityAlgorithms.RsaSha512),
                ;
                var token = tokenHandler.CreateToken(tokenDescriptor);
                TokenModel tm = new TokenModel()
                
                    access_token = tokenHandler.WriteToken(token)
                ;
                return Ok(tm);
            
        

当我在我的应用程序中从上面(actionvation 方法)收到令牌时,如下所示,但它不起作用,例如 User.Identity.IsAuthenticated 是错误的。有人知道如何在没有用户名的情况下生成类似连接/令牌端点的令牌和密码?

  "alg": "RS256",
  "typ": "JWT"



  "unique_name": "13f2e130-e2e6-48c7-b3ac-40f8dde8087b",
  "role": "Member",
  "nbf": 1600323833,
  "exp": 1718259833,
  "iat": 1600323833

我是否选择了正确的方法?或者我应该使用其他方式,例如不同的流程或授权类型?

【问题讨论】:

【参考方案1】:

我想您的用户通过 IS4 服务器激活了他们的ActivationCode。如果是这种情况,您无需手动管理/生成您的access_token

您只需遵循与 AccountController 中的 Login 方法相同的过程,包括:

    使用登录名/密码检查用户,在您的情况下验证您的ActivationCode

    一旦用户被识别,SignIn SignInManager 将成为您的用户。 (SignInManager.SignInAsync)

    引发 UserLoginSuccessEvent 事件。

    await _events.RaiseAsync(new UserLoginSuccessEvent(user.UserName, user.Id, user.UserName, clientId: context?.Client.ClientId));

    最终将用户重定向到您的网络应用。

    return Redirect(model.ReturnUrl);

重定向到您的应用程序时,IdentityServer4 将向用户发送其access_token

【讨论】:

我想在我的 web api 中使用你的答案。我应该如何处理重定向? 我有一个android应用程序,所以我应该在激活后将令牌返回给用户。我的用户通过短信接收令牌并将其发送到上述方法。然后用户被激活,然后他们应该得到令牌。但是怎么能我生成令牌?我应该从连接/令牌中获取令牌吗?但是当我没有用户名和密码时怎么办 无需生成令牌,这是您的操作,当重定向到您的redirectUrl 时,将向您的应用发送令牌。对于 android 应用,只需使用深层链接重定向到您的应用,然后从参数中检索令牌。 我不知道如何在我的具有 identityserver4 的 asp.net 核心 web api 中使用它。你有任何教程【参考方案2】:

我认为您需要做的就是当用户确认激活码时,您执行以下相同的操作:

public async Task<IActionResult> Login(LoginInputModel model, string button)  

在参考 AccountController.cs 类中找到。

【讨论】:

以上方法或激活方法是登录方法。但是生成的token不起作用。我想知道connect/token是如何生成token然后生成token的 认为很难生成自己的令牌,最好使用上述登录方法中的逻辑通过“伪造”登录来登录用户......最好始终遵循官方流程和方法而不是尝试破解您自己的解决方案。使用登录名/密码进行身份验证不是必需的,您可以调整帐户或 ExternalController 中的代码,这就是我的做法。 我有一个 asp.net core web api。如何登录。我想我应该返回令牌。如何找到令牌? 您要登录什么?您想登录用户或应用程序以访问您的 API 吗?基于此,您可以使用授权代码流或客户端凭据流。不管是什么,您都使用 AddOpenIdConnect 身份验证处理程序从 IdentityServe 获取令牌 我想登录一个用户,所以我想我应该使用授权代码流。但是我没有看到如何实现这个的好例子和教程。你知道教程或例子吗?【参考方案3】:

我终于像这样创建访问令牌:

[HttpPost("Activate")]
        [AllowAnonymous]
        public async Task<IActionResult> Activate([FromBody] SignUpPhoneModel model, [FromServices] ITokenService TS, [FromServices] IUserClaimsPrincipalFactory<JooyaIdentityUser> principalFactory, [FromServices] IdentityServerOptions options)
                   
            JooyaIdentityUser CurrentUser = await db.Users.Where(e => e.PhoneNumber == model.PhoneNumber).FirstOrDefaultAsync();
            
            if (!await UserManager.VerifyChangePhoneNumberTokenAsync(CurrentUser, model.ActivationCode, model.PhoneNumber))
            
                return BadRequest("Activation Code in not correct");
            
            CurrentUser.PhoneNumberConfirmed = true;
            await db.SaveChangesAsync();
            await UserManager.UpdateSecurityStampAsync(CurrentUser);
            var Request = new TokenCreationRequest();
            var IdentityPricipal = await principalFactory.CreateAsync(CurrentUser);
            var IdentityUser = new IdentityServerUser(CurrentUser.Id.ToString());
            IdentityUser.AdditionalClaims = IdentityPricipal.Claims.ToArray();
            IdentityUser.DisplayName = CurrentUser.UserName;
            IdentityUser.AuthenticationTime = System.DateTime.UtcNow;
            IdentityUser.IdentityProvider = IdentityServerConstants.LocalIdentityProvider;
            Request.Subject = IdentityUser.CreatePrincipal();
            Request.IncludeAllIdentityClaims = true;
            Request.ValidatedRequest = new ValidatedRequest();
            Request.ValidatedRequest.Subject = Request.Subject;

            Request.ValidatedRequest.SetClient(SeedConfig.GetClients().Where(e => e.ClientId == model.ClientId).First());
            List<ApiResource> Apis = new List<ApiResource>();
            Apis.Add(SeedConfig.GetApis().Where(e => e.Name == "IdentityServerApi").First());
            Apis.Add(SeedConfig.GetApis().Where(e => e.Name == model.ApiName).First());
            Request.Resources = new Resources(SeedConfig.GetIdentityResources(), Apis);
            Request.ValidatedRequest.Options = options;
            Request.ValidatedRequest.ClientClaims = IdentityUser.AdditionalClaims;
            var Token = await TS.CreateAccessTokenAsync(Request);
            Token.Issuer = HttpContext.Request.Scheme + "://" + HttpContext.Request.Host.Value;
            Token.Lifetime = 32000000;
            var TokenValue = await TS.CreateSecurityTokenAsync(Token);
            TokenModel tm = new TokenModel()
            
                access_token = TokenValue
            ;
            return Ok(tm);
        

【讨论】:

以上是关于如何在 identityserver4 中没有用户名和密码的情况下从令牌端点获取令牌?的主要内容,如果未能解决你的问题,请参考以下文章

使用 identityserver4 的多组织解决方案

IdentityServer4如何创建身份令牌?

如果用户从 IdentityServer4 中的另一个浏览器/设备登录,如何检测并从应用程序中注销用户?

在IdentityServer4中限制用户级别的api资源

如何使用 Asp.Net Core 2.2 / IdentityServer4 / SP.NET Core Identity 手动散列密码

如何使用 IdentityServer4 保护 API(免受意外调用)?