/ / canot call userinfo z powodu błędu nieprawidłowego zakresu - asp.net, oauth, asp.net-identity-2, identityserver3

Canot call userinfo z powodu błędu nieprawidłowego zakresu - asp.net, oauth, asp.net-identity-2, identityserver3

Konfiguruję serwer tożsamości3 w firmie Microsofttożsamość przechowywana w ef 6 Mogę "zalogować się" w punkcie końcowym / token, ale kiedy próbuję uzyskać dostęp do / userinfo, otrzymuję błąd zasięgu. kiedy próbuję dodać zakresy do mojego / tokena, nie działają. próbował edytować klienta, aby dodać zakresy i nadal tkwi. klient jest przepływem właściciela zasobu. po prostu potrzebuję uzyskać userinfo, aby uzyskać nazwę i role dla użytkownika.

1) jakiego zakresu potrzebuję, aby uzyskać dostęp do informacji o użytkownikupunkt końcowy? Nie mam wystarczającego zakresu na wszystkie moje próby. 2) Edytowałem bazę danych SQL i kod, aby mój klient mógł mieć więcej zakresów, ale nie działa. jak to debugować?

również używam bolenia.tożsamość sieciowa przechowywana w sql i id serwer ef do przechowywania tokenów, klientów, zakresów i sekretów, dobrze próbuję, ale nie jestem pewien czy to prawda, tabele zostały utworzone, ale nie widzę żadnych wierszy w tabeli tokenów zdarzenie, chociaż został wydany token. Mam teraz dwie bazy danych: jedną z tokenem / klientem, a drugą z użytkownikami i rolami aspnet. czy muszę utworzyć tę jedną bazę danych?

wygląda na to, że częścią mojego problemu jest zpróbka serwera tożsamości do korzystania z struktury encji do przechowywania klientów, zakresów i powiązanych danych. wygląda na to, że niektórych pozycji brakuje w listach zakresów lub roszczeń dotyczących zasięgu i / lub klientów, więc gdy próbuję się zalogować z parametrem zakresu, otrzymuję odrzucenie, gdy nie mogę znaleźć wiersza w tabeli zakresów. pracując nad tym, jak to naprawić i mam nadzieję, że działa ...

czy zakres wymaga roszczeń dotyczących zakresu? muszę sprawdzić, czy mogę znaleźć informacje na ten temat.

Odpowiedzi:

0 dla odpowiedzi № 1

jego "otwarty" zakres, jak mówią doktorzy. https://identityserver.github.io/Documentation/docsv2/endpoints/userinfo.html

0 dla odpowiedzi nr 2

W razie wątpliwości wystarczy pobrać aktualny kod źródłowy z Github i zastosować punkty przerwania, zamiast używać pakietu Nuget.

Właśnie wychodzi z pamięci (może to nie być całkowicie dokładne).

Wierzę, że UserInfoEndpoint wywołujeUserService.GetProfileDataAsync. UserInfoEndpoint akceptuje zakresy, ale GetProfileDataAsync przyjmuje tylko żądania "RequestedClaimTypes". Tak więc gdzieś pośrodku będzie przyjmowanie zasięgów wysyłanych do punktu końcowego i otrzymywanie listy wszystkich typów roszczeń, które mieszczą się w zakresach.

Najważniejszą rzeczą, o której należy pamiętać, jest to, że zakresy przekazywane do UserInfoEndpoint muszą być zakresami Identity. Punkt końcowy nie zwróci roszczeń należących do zakresów zasobów.

Więc po prostu krótki wybieg ...

  1. Serwer otrzymuje zasięgi wysyłane do UserInfoEndpoint
  2. Z otrzymanych zakresów analizuje tylko zakresy tożsamości
  3. Znajdź typy roszczeń przypisane do zakresów tożsamości
  4. Zmniejsza listę typów roszczeń do GetProfileDataAsync jako "context.RequestedClaimTypes".
  5. W tym momencie niestandardowa logika określa sposób przekształcania żądania RequestedClaimTypes na IssuedClaims.

Zgaduję, że przechodzisz zakresy zasobów do UserInfoEndpoint.

0 dla odpowiedzi № 3

w końcu naprawiłem mój problem: Potrzebowałem więcej zakresów w bazie danych SQL, próbka serwera id dla v3 używająca struktury encji nie zawierała niektórych elementów tego samego zakresu, których oczekuje próba serwera tożsamości, spowodowało to, że wywołanie tokenu logowania zakończyło się niepowodzeniem z niepoprawnym zasięgiem. Zmodyfikowałem kod c # dla zakresów i klientów, aby uzyskać to, czego potrzebowałem, porzuciłem i ponownie utworzyłem tabele sql, a następnie zaczęło działać. Dodałem także nowe roszczenia zakresu i zakresu, aby dodać niestandardowe oświadczenia, których potrzebuje nasza aplikacja.

Podłączyłem źródło, aby umożliwić mi debugowanie tegoNaprawdę pomogłem, ponieważ mogłem podążać za logiką i zobaczyć, gdzie to nie działa. to była ogromna pomoc. Zobaczę później, czy mogę wysłać do źródła, czego brakowało próbki, to był prawdziwy problem. może to również być dobre, gdybyśmy mieli jakiś przewodnik, jak uzyskać standardowe informacje o użytkownikach / profilach. Mam to, ale to także trochę debugowania źródłowego, aby zobaczyć, w jaki sposób serwer id dzwoni do sklepów, aby uzyskać informacje, dzięki czemu mogłem zrozumieć, jak dotknąć i przekazać dane do przekazania rozmówcy.

Najważniejsze jest to, że próbki mają różne zestawy zakresów i twierdzeń w co najmniej jednym miejscu i to był kluczowy problem.

reszta uczy się, jak używać zakresów i roszczeń zakresu, aby dodać do punktu końcowego informacji o użytkowniku dla potrzeb aplikacji.

Powiązane pytania

serwer tożsamości wso2 oauth userinfo zwraca tylko pod - wso2, wso2is
IdentityServer3 z pominięciem ekranu zgody - jednokrotne logowanie, thinktecture-ident-server, identityserver3
Jak pobrać adres e-mail kontaktu? - php, oauth-2.0
Kontrolowanie sposobu, w jaki IdentityServer3 zwraca token dostawcy uprawnień - openid-connect, identityserver3, thinktecture-ident-server
Nieprawidłowe poświadczenia dla OAUTH z Youtube API - oauth, youtube-api, oauth-2.0, google-api, google-oauth
Oauth 2.0 Authentication niestandardowa strona logowania w Spring Boot - oauth-2.0
OpenID Connect - jak odzyskać członkostwo w grupie (np. IsMemberOf) z punktem końcowym userinfo? - oauth-2.0, openid, tożsamość, openam
Jak korzystać z Thinktecture IdentityServer 3 przy konfiguracji certyfikatu - iis, certyfikat, thinktecture-ident-server, identityserver3, thinktecture
W jaki sposób działają uprawnienia serwera tożsamości? - identityserver4, identitymanager
Czy IdentityServer3 może zezwalać na zintegrowane uwierzytelnianie systemu Windows z możliwością logowania jako inny użytkownik - serwer tożsamości3
Jak używać identityserver3 w asp.net core 2.0 webapi do sprawdzania tokena z serwera Identityserver3 - identityserver3, asp.net-core-webapi
Czy serwer tożsamości może być klientem, który dzwoni do zabezpieczonego api - identityserver3
Dodaj nowy zakres "e-mailowy" do Google Apps Marketplace SDK - google-apps-marketplace
Jaki jest zakres korzystania z usług katalogowych Google API - google-api, google-api-php-client, google-admin-sdk
Identyfikator wtyczki ASP.NET Identity (IdentityManager) dla IdentityServer3 nie działa po wdrożeniu na platformie Azure (WebApp) - c #, asp.net, azure, asp.net-identity, identityserver3
IdentityServer3 DiscoveryDocument nie można załadować - automapper, identityserver3
Thinktecture Identity Server: Zabezpieczanie Web API (najlepsze podejście do autoryzacji) - asp.net-web-api2, identityserver3, thinktecture-ident-server, authorize-attribute
IndentityServer3 przykładowy błąd HTTP 403.14 - Zabroniony podczas uruchamiania Host.Web - asp.net-identity, identityserver3
Który framework po stronie klienta (angularjs + oauth2) używany z identityserver3 - angularjs, oauth-2.0, identityserver3
Android: loguj się do Gmaila za pomocą OAuth, aby pobrać szczegóły konta - android, oauth, google-api