問題タブ [identityserver4]

次のことが可能かどうか、およびその方法を理解しようとしています: IdentityServer4 を使用して、.Net Core で Web Api に対して有効な個々のユーザー アカウントのログインを実装し、次の機能を提供します: - アクセス トークンの生成 - 更新トークンの生成 -ソーシャル ログインの有効化 - ロールベースの承認の有効化 - ストレージにローカル データベースを使用 (EntityFramework...)

入手可能なドキュメントを使用してこれを制御することができませんでした.誰かが以前に同様のことをしたことがあるか、どこから始めればよいか知っているかどうか疑問に思っていました.

ASP.NET Identity をデータ ストアとして使用し、ASP.NET Core で IdentityServer 4 を使用する予定です。中央認証/承認を使用するのはこれが初めてで、次の質問を解決する方法を知りたいです。

名前、役割などの要求と、これらのユーザーがハードウェア デバイスから測定値にアクセスできるようにする Web API (スコープ) を持つユーザーがいるとします。IdentityServer を使用すると、既知のユーザーを認証できますが、どのユーザーがどのデバイス データにアクセスできるかを知るアクセス制御が必要になります。

この情報はどこに保存しますか? これはスコープに固有のものであるため、IdentityServers ストアに格納するべきではないと思います。一方、スコープ独自のデータベースに保存する場合は、IdentityServers ストアで定義されたユーザーに接続する必要があります。すべてのスコープと IdentityServer に固有のユーザー ID を定義する必要がありますか?

バックエンドに Asp.net mvc コントローラーを備えた Javascript SPA であるアプリを構築しています。認証に IdentityServer を使用しようとしています。コントローラーに authorize 属性があります。私が持っている要件の 1 つは、ユーザーのセッションが一定の時間内に期限切れになる必要があることです (アクティビティがない場合、ユーザーはログインを求められる必要があります)。セキュリティ上の制限により、暗黙的なフローが機能しません。Identity4 のサンプルを入手しましたhttps://github.com/IdentityServer/IdentityServer4.Samplescookieauthentication ミドルウェアを使用してみました。ExpireTimeSpan を設定して、Cookie の有効期限が切れるかどうかを確認しました。指定されたタイムスパンの期限が切れた後でも、どういうわけか、コントローラーを呼び出すことができます。Identity Server と Asp.net mvc で asp.net セッション タイムアウトに似た処理を行うにはどうすればよいですか?

テナント ID をパラメータとして identityserver4 の暗黙的な付与エンド ポイントに渡そうとしています。クライアントは angularjs を使用して記述されています。テナント ID を angular アプリから identityserver4 エンドポイントに渡す例はありますか。

この機能は acr_values を使用して実装されていることがわかりました。詳細はこちら - https://github.com/IdentityServer/IdentityServer3/issues/348

IdentityServer4 を使用して Web API セキュリティを作成しています。コンソール マネージャーで次の構文を入力して、identityserver4 パッケージをインストールしました。Install-Package IdentityServer4 -Pre. 正常にインストールされます。今、私は自分のプロジェクトでそれを参照できません。インストール後の私の project.json コードは次のとおりです。

だから今、私は次のコードでクライアントクラスを作成しました:

だから私は多くのエラーが発生します。マウスを最初のクライアントに合わせると、表示される唯一のオプションは Add Package IdentityServer3 2.1.1 です。

では、IdentityServer3 2.1.1 の代わりに IdentityServer4 を参照するにはどうすればよいですか

ご連絡をお待ちしております。

ありがとう、ソマド

これは実際には Identity Server または oidc-client の問題ではないかもしれませんが、問題を特定するのに苦労しています。Aurelia アプリケーションで System.js を介してこれを実行しているため、これらの外部ライブラリのいずれかが問題の原因である可能性があります。

にはCheckSessionIFrame.start(session_state)、次のコードがあります。

間隔が最初に発生するときは、問題はないようです。iFrame の contentWindow が (予想どおり) 存在し、postMessage メソッドが問題なく呼び出されます。2 秒後に間隔が再び発生するときthis._frame.contentWindowは未定義です。繰り返しますが、これは oidc-client の問題ではないかもしれませんが、必要な構成値の欠落など、この iFrame が停止する原因 (おそらく内部的にスクリプトで停止している可能性がありますか?) についての役立つガイダンスを探しています。 oidc クライアント。

を使用してアプリケーションを作成しようとしています

1. ドットネット コア 1.0
2. MySQL をデータ ストアとして
3. 認証と認可
4. エンティティ フレームワーク
5. Ubuntu 16 マシン

エンティティ フレームワークを使用して MySQL データベースからデータをフェッチするサンプル API の作成に成功しました。次に、電子メールをユーザー名とパスワードとして使用する認証を紹介したいと思います。

さまざまなブログからいくつかの方法を試しましたが、これを達成できませんでした。

私が達成しようとしているのは、ユーザーがユーザー名とパスワードを送信してAPIにログインするAPIのカスタム認証です。ログイン Api は、アクセス トークンと更新トークンを返します。このアクセス トークンを使用して、ユーザーは他の API を呼び出すことができます。

後で、Google と Facebook の認証も追加したいと考えています。

これを行う方法はありますか？

多くの ajax 呼び出しを含む MVC コア アプリケーションを使用する場合に、アクセス トークンとリフレッシュ トークンを最適に実装する方法について読んでいます (そしてビデオを見ています)。私はそれが正しかったと思いますが、これを行うより良い方法があるかどうか知りたかっただけです. この情報を探している人の参考になるように、この投稿を編集します。

私のセットアップ: 多くの JavaScript を使用した MVC Core アプリケーションがあります。JavaScript は、ajax 呼び出しを使用して json を取得したり、アクションを呼び出したりしています。

ユーザーが Cookie 認証を使用して API にアクセスできないようにするため、app.Map を使用してアプリケーションを 2 つの部分に分割しています。ユーザーが ID トークンを使用してビューにアクセスできるものと、アクセス トークンを必要とするものです。また、アクセス トークンを更新する必要がある時間を保持するために Cookie を追加しています。

Startup.cs (重要ではない部分を削除しました)

コントローラー アクションへのすべての ajax 呼び出しは、次の URL /api/[Controller]/[Action] を使用して行われます。

ID トークンを使用して API にアクセスできるようにしたくないので、Authorize(ActiveAuthenticationSchemes = "Bearer") 属性もコントローラー アクションに追加します。したがって、JavaScript によって呼び出されるコントローラー アクションは次のようになります。

JavaScript が API リソースにアクセスする必要がある場合、コントローラーは最初にアクセス トークンを取得し、カスタム JavaScript init メソッドを使用してそれを JavaScript に挿入します。

この C# メソッドは、アクセス Cookie の更新と取得を担当します。

すべての $.ajax で、次のパラメーターを追加しました。

それでおしまい。デフォルトのアクセス トークンの有効期限は 1 時間です。私はいつもその半分の時間後にそれをリフレッシュします。

今私の質問に：

1. 何らかの方法でコードを改善できますか?
2. このようにして、セキュリティ関連のリスクが見られますか?
3. OnTicketReceived でアクセス トークンを取得できますか?

IdentityServer4 を使用して Identity Server を実装し、AWS にデプロイしました。ELB で https を有効にするまではうまく機能します。クライアントが認証を試みると、次のエラーが発生します。

私が読んだところによると、クライアントは証明書に満足していません。これは、ID サーバーのホスト名と証明書内の名前に関連している可能性があります。件名が「*.mycompany.com」の有効なワイルドカード証明書があります。権限を持つクライアントを「https://int.mycompany.com」として構成したため、一致しているように見えます。

また、これらの負荷分散構成で、一部のヘッダーをミドルウェアに転送する必要があることを読みましたが、それがどのように機能するかは正確にはわかりません。

IdentityServer4認証 Cookie の有効期間を設定しようとしています。これは私のクライアント構成です:

mvcクライアントでの私のConfigure方法は

IdentityServer4 サンプルからの以下のサンプルを使用して、IdentityServer4 を学習しています。 IdentityServer4.Samples/Quickstarts/5_HybridFlowAuthenticationWithApiAccess
Cookie の有効期限、アクセス トークンの有効期限、ID トークンの有効期限、認証コードの有効期限は既に設定しています。ただし、Cookie の有効期間はブラウザでセッションとして表示されます。
下の画像をご覧ください

やるべき設定がありませんか？

どんな助けでも大歓迎です。