問題タブ [oidc-client-js]

NGINX リバース プロキシの背後に IdentityServer4 と C# .NET Core Web アプリケーションがあります。

https://id.local.domain -> http://id-local

https://web.local.domain -> http://web-local

ID4 ログイン ページで資格情報を取得して入力することはできますが、ID4 から /account/callback ページにリダイレクトされた後、次の JavaScript エラーが表示されます。

エラー: 設定とサインイン状態の権限が一致しません

これは、私の oidc 呼び出し、NGINX + ID4 のセットアップ、またはその他の問題ですか? 私は使用してみました：

入力する URL は正しいですか。/の代わりに options.IssuerUri を使用する必要がありますか?

私は奇妙な問題に直面しています。サイレント更新はできますが、IdP Cookie がスライドします。さらに問題を...

IdP セッション Cookie (IdentityServer) の有効期限が 15 分で期限切れになるように設定しており、アクセス トークンと ID トークンの有効期限も同じ時間に保ちました。

私の JavaScript クライアントでは、2 分ごとにユーザー アクティビティをチェックし、最後の 2 分間にアクティビティがあれば、トークンを更新します。

有効期限が更新されたアクセス トークンと ID トークンを取得できますが、15 分 (IdP Cookie の有効期間) 後にサイレント更新呼び出しが失敗し、IdP がログアウトします。
サイレント更新呼び出しの応答を確認しましたが、応答ヘッダーに Cookie が設定されていません (新しいスライド有効期限付き)。

サーバー側で有効にする設定はありますか? あなたの助けに感謝。

oidc-client-jsライブラリを使用して、Angular アプリからの IdentityServer4 実装に対する OIDC リダイレクト SSO スタイル認証を処理しています。アプリの IdToken/Cookie は 1 日以上有効です。アクセス トークンの有効期間が短くなり、サイレント リフレッシュが行われます。ユーザーが再度ログインしなくてもアプリが実行されたままになる場合がありますが、これは私たちが望んでいることですが、機密データのためにユーザーの身元を確認したいアプリの特定の領域がある場合があります。

アプリにパスワードを再度要求させ、ResourceOwner 許可スタイルのパスワード検証を実行するだけでこれを行うことは、ライブラリではまだサポートされていません。ログインを強制するためのプロンプト要求設定で既存の popUpRedirect を使用してもかまいません。私が行き詰まっているのは、最後のユーザーログインのタイムスタンプが発生した場所がどこにも表示されないことです (少なくとも文書化されています)。元。ユーザーが過去 5 分間にログオンした場合、機密データへのアクセスは問題ありません。

誰もが声をかける前に、私はアクセス トークンのタイムスタンプや有効期限を探しているわけではありません。私たちのアクセス トークンは、ユーザーの介入なしに静かに更新されているため、役に立ちません。IdToken のタイムスタンプを探していますか? 図書館はそれを公開していますか？それとも、このプロセスについてすべて間違っていますか? 前もって感謝します。