C# 在没有自定义声明的情况下访问\u令牌,声明仍然从userinfo返回
Tl;dr:如何防止自定义声明出现在访问令牌中,并且仅在调用C# 在没有自定义声明的情况下访问\u令牌,声明仍然从userinfo返回,c#,asp.net-core,identityserver4,C#,Asp.net Core,Identityserver4,Tl;dr:如何防止自定义声明出现在访问令牌中,并且仅在调用userinfo端点时才返回 我有一个IdentityServer4(使用authorization\u codegrant type),在第三方身份验证成功后,我可以从中获得有关用户的一些附加信息。我将这些存储为声明,将用户登录到IS4服务,并将这些声明添加到用户。声明连接到一个名为“custom”的标识资源范围 现在,当我检索访问令牌时,它不包含这些自定义声明,但它包含“自定义”范围。下一步是调用userinfo端点来获取这些自定义
userinfoauthorization\u codeuserinfouserinfoIProfileServiceIssuedClaimspublic class ProfileService : IProfileService
{
public Task GetProfileDataAsync(ProfileDataRequestContext context)
{
List<Claim> claims = new List<Claim>();
foreach (IdentityResource identityResource in context.RequestedResources.IdentityResources)
{
foreach (string userClaim in identityResource.UserClaims)
{
var claim = context.Subject.Claims.FirstOrDefault(c => c.Type == userClaim);
if (claim != null)
{
claims.Add(claim);
}
}
}
if (claims.Any())
{
context.IssuedClaims.AddRange(claims);
}
return Task.CompletedTask;
}
}
public类ProfileService:IProfileService
{
公共任务GetProfileDataAsync(ProfileDataRequestContext上下文)
{
列表声明=新列表();
foreach(上下文中的IdentityResource IdentityResource.RequestedResources.IdentityResources)
{
foreach(identityResource.UserClaims中的字符串userClaim)
{
var-claim=context.Subject.Claims.FirstOrDefault(c=>c.Type==userClaim);
如果(索赔!=null)
{
索赔。添加(索赔);
}
}
}
if(claims.Any())
{
context.IssuedClaims.AddRange(索赔);
}
返回Task.CompletedTask;
}
}
userinfouserinfoIProfileService
在调用context.Subject.Claims
端点时包含自定义声明,但在从token
调用时不包含自定义声明userinfo- 数据库中的
表有一个PersistedGrants
列,该列还包含自定义标记Data
所以问题仍然是:如何防止自定义声明出现在访问令牌中,并且仅在调用
userinfoIdentityServerConstants.StandardScopes.OpenId- “定制”
新客户端
{
AllowedScopes=新列表
{
IdentityServerConstants.StandardScopes.OpenId,
“定制”
},
//等等。。。
ResponseType=OpenIdConnectResponseType.IdTokenToken;.AddOpenIdConnect(o=>
{
o、 Scope.Clear();
o、 范围。添加(“openid”);
o、 范围。添加(“自定义”);
o、 ResponseType=OpenIdConnectResponseType.IdTokenToken;
//等等。。。
IdentityServerConstants.StandardScopes.OpenId- “定制”
新客户端
{
AllowedScopes=新列表
{
IdentityServerConstants.StandardScopes.OpenId,
“定制”
},
//等等。。。
ResponseType=OpenIdConnectResponseType.IdTokenToken;.AddOpenIdConnect(o=>
{
o、 Scope.Clear();
o、 范围。添加(“openid”);
o、 范围。添加(“自定义”);
o、 ResponseType=OpenIdConnectResponseType.IdTokenToken;
//等等。。。
/userinfo您可以检查调用方是否为
/userinfo我认为您应该检查ApiResource配置。无论您在ApiResource配置的UserClaims属性中添加了什么声明,这些声明都将出现在访问令牌中
public IEnumerable<ApiResource> GetApiResources()
{
return new List<ApiResource>
{
new ApiResource("api1")
{
UserClaims = new[] { "CustomClaim1", "CustomClaim2"},
},
}
}
public IEnumerable GetApiResources()
{
返回新列表
{
新ApiResource(“api1”)
{
UserClaims=new[]{“CustomClaim1”、“CustomClaim2”},
},
}
}
因此,如果您不提及它们,它们将不会出现在访问令牌中。我认为您应该检查ApiResource配置。无论您在ApiResource配置的UserClaims属性中添加了什么声明,这些声明都将出现在访问令牌中
public IEnumerable<ApiResource> GetApiResources()
{
return new List<ApiResource>
{
new ApiResource("api1")
{
UserClaims = new[] { "CustomClaim1", "CustomClaim2"},
},
}
}
public IEnumerable GetApiResources()
{
返回新列表
{
新ApiResource(“api1”)
{
UserClaims=new[]{“CustomClaim1”、“CustomClaim2”},
},
}
}
因此,如果您不提及它们,它们将不会出现在访问令牌中。我的客户机已经将
自定义授权\u code自定义授权_codeGetProfileDataAsync public IEnumerable<ApiResource> GetApiResources()
{
return new List<ApiResource>
{
new ApiResource("api1")
{
UserClaims = new[] { "CustomClaim1", "CustomClaim2"},
},
}
}