我有一个由identityserver4保护的web api。我需要使用客户端凭据授权类型从identityserver4访问此web api identityserver4如何在内部生成令牌以调用由同一identityserver4颁发者保护的web api？通过IdentityServerTools帮助程序-这里记录了这一点：

准备将IdentityServer4安装程序从开发人员移动到测试人员，我需要从AddDeveloperCredentials（）迁移AddSignerCredentials（）部分。我可以生成私有和公共RSASecurityKey，但我不清楚要传递给AddSignerCredentials（）的RSASecurityKey是什么。发现端点不知何故知道公钥，但我们希望使用私钥对令牌进行签名。两者似乎都不起作用 在我错过的文档中，有没有关于如何使用它的示例 使用openSSL在命令提示符中使用以下演

我有一个新的IdP，它实现了IdentityServer4（.NET Core）。我正在使用它为MVC5客户端应用程序提供SSO/Cookie身份验证/授权。由于客户端应用程序不是.NET Core，因此我使用IdentityServer3和Microsoft.Owin nugets进行集成。将.NET核心和.NET这样混合在一起的例子并不多，但也有一些，我已经尽了最大的努力使其发挥作用。以下是每个配置的源代码： IdentityServer4（.NET Core，主要基于此）： 我的客户（MV

在所有IS4快速启动演示中，同意Url都是/approve。是否有一种方法/位置来设置它？您可以使用IIdentityServerBuilder界面上提供的选项Api。换句话说，在向DI注册时，请使用以下命令： services.AddIdentityServer(options => { options.UserInteraction.ConsentUrl = "Your consent Url"; })

我正在使用IdentityExpress包中的服务。AddIdentityExpressAdminUiConfiguration（）。如何指定需要重新确认的登录帐户 通常，这将在服务.AddDefaultIdentity（）调用中完成，但是由于AddIdentityExpressAdminUiConfiguration（）添加了标识，因此如果我这样做，我会遇到一个异常 将以下内容添加到ConfigureServices（）不起作用： services.Configure（x=>x.Require

我在查找如何设置TokenCreationRequest.Resources时遇到问题，因为它已从TokenCreationRequest类中删除 在下面的代码中，您可以看到行tokenCreationRequest.Resources=await Resources.FindEnabledResourcesByScopeAsync（fullAccessTokenScopes）但缺少请求属性，如何继续 protected override async Task < TokenRespons

我必须在当前的IdentityServer4实现中实现一个拥有自己登录网页的客户端 我希望实现这一点的唯一方法是使用资源所有者密码流 我只想再次与这里的专家核实一下，看看是否有其他方法可以使用IdentityServer使用客户端现有的登录页面。是的，您是正确的，只是确保您了解使用资源所有者凭据流时的问题，尤其是因为在您的情况下，此流程看起来将由第三方应用程序实现。是的，您是正确的，只需确保您了解使用资源所有者凭据流程时的问题，尤其是在您的情况下，此流程似乎将由第三方应用程序实现。为什么不能使用

我正在为我的公司实施开放银行业务，并使用Identityserver4实现授权服务器。我只想知道银行或金融服务公司是否使用IdentityServer 4来实现开放式银行授权服务器。您好Chandra，我在两家金融服务公司中使用了IdentityServer 4。使用WSO2 IS或WSO2 IS作为KMHi Chandra，我在两家金融服务公司使用过Identityserver4。请使用WSO2 IS或WSO2 IS作为KM

目前我有电容器应用程序直接连接到Azure B2C。但是，我需要通过IdentityServer4连接到B2C。这是因为我想注入一些自定义声明，并在一个集中式（IdentityServer）位置进行所有身份验证 可能吗？如果是，怎么做 谁能给我指路吗 在我的应用程序中，我使用这个电容器插件进行身份验证（）你可以在中找到完整的指南，正如@Mehrdad所说，你需要添加一个外部提供者=B2C 比如： .AddOpenIdConnect("b2c", "Azure AD B2C", options =

我已经在内置的基础上创建了自己的ProfileService混凝土 在GetProfileDataAsync（）中，context.RequestedClaimTypes不包括IdentityResourceClaims表中的任何相关声明，但它具有context.RequestedResources.ParsedScopes中指定范围中的IdentityResource。我认为与这些范围相关联的声明应该包含在RequestedClaimTypes中，否则有没有办法从上下文中获取这些声明？或者我需

我正在使用identityServer4创建具有以下结构的SSO： SPA反应-->IdS4 我阅读了文档，我的想法是使用授权代码流。首先，我将获得授权代码，然后，如果用户和客户端正确，下一步将调用/token端点。这个过程正确吗 我理解原理，但不理解登录过程中的代码： var isuser = new IdentityServerUser(user.Id.ToString()) { AdditionalClaims =

我正在使用identity server 4保护一个web应用。我的应用程序分为两个oidc客户端，一个是ASP.Net核心MVC客户端，另一个是javascript（angularjs）客户端，它使用oidc客户端javascript库 当用户第一次访问web应用时，我们将其重定向以登录到identity server，该服务器将登录mvc客户端。我想知道，javascript客户端然后使用oidc库中的静默登录功能登录。 可能吗？ 这是一个可以接受的解决方案吗？ 任何要点都将不胜感激。你说的

我正在将授权服务器从.NetCore 1.1升级到.NetCore 2.0 以前，我可以调用“connect/token”端点，而不使用“scope”参数，并且该令牌将包括客户端的所有有效作用域 现在，同一个请求返回一个“invalid_scope”，我必须显式定义一个作用域来生成令牌 这是有问题的，因为我们不希望生产用户在添加新的有效作用域时需要更改其代码。我没有看到任何关于为什么会发生这种变化的文档。这是一个bug，一个新的需求，还是其他什么

我不知道这是怎么用的 我看到的大多数示例都是“/注销回调oidc”。这似乎表明它在这个过程中使用了OIDC中间件。如果我想返回到特定的客户端页面，该怎么办 当我将AutomaticDirectAfterSignout的IdentityServer的AccountOptions.cs属性设置为true时，自动重定向不起作用。此外，在注销期间，我没有收到客户端的PostLogoutRedirectUri 那么，该链接应该指向OIDC中间件，还是可以用于重定向到客户端？您的客户端必须配置为请求对其中一

我想通过调用由is验证的单独api，将电子邮件服务从identity server项目中分离出来 我的问题是从identity server调用api。目前，我在IdentityServer中有另外一个调用api的“假”客户端 以下是客户端凭据流的标准选项 领取代币 返回令牌 调用api 支票代币 返回数据 但我想省略客户。因此，IdentityServer就是客户机。 我在里面创建了一个“假”客户，我认为这样做是错误的吗 MessageService.cs内部标识服务器 // Authen

我们目前正在构建多租户应用程序。我们希望有一个带有通用configDB和多租户DB的应用程序。我们根据http上下文获取租户信息，因此我们编写了自己的连接字符串提供程序 我们希望每个租户都有标识表。但我们很难正确设置Identity server 我们以前在不需要多租户且每个应用程序只有一个DB的情况下使用了此功能 .AddConfigurationStore(options => { options.DefaultS

我想设置IdentityServer4以允许在身份验证请求期间将“*”作为作用域传入，然后服务器将确定客户端可以访问哪些作用域。 是否有一个IdentityServer4类我可以覆盖/实现，它可以“解析/修改”发送进来的作用域？根据OpenID连接协议，所有的授权 请求必须包含openid范围值。如果openid的作用域 值不存在，行为完全未指定。其他 可能存在范围值 但是，使用Identityserver，您可以在请求中调用不带scope参数的令牌端点，并获取客户端允许的所有作用域client

我想做的是，当用户更改/重置密码时（使用ASP.NET核心标识），为用户结束所有会话。我正在SPA内部使用oidc客户端js库。我已经找到了如何结束用户当前会话，并使同一会话中的任何选项卡（例如，同一浏览器窗口中的其他选项卡）通过检查会话iFrame识别会话已结束，但任何其他会话（例如，在匿名窗口中）似乎仍能正常运行会话，即使该主题ID的刷新令牌/所有持久授权已被撤销 是否有某种方法可以使iFrame返回到客户端，即所有会话的会话都已结束，例如iFrame页面可能正在检查该会话的持久授权或其他内

我正在使用分机： services.AddOidcStateDataFormatterCache（） 在Asp.Net Core中，要将状态存储在使用Redis实现的分布式缓存中，请执行以下操作： services.AddStackExchangeRedisCache(options => { options.Configuration = Configuration[RedisConnection]; }); 但Redis缓存中的

是否有一种方法可以使用IdentityServer4仅对客户端执行单次注销？我可以使用endsession端点为客户端和IdentityServer执行单次注销。但是，我想做的是提供一种方法，强制所有客户端在下一个请求时重新进行身份验证（以获取新的声明），而不是强制用户重新输入凭据 用例用于用户编辑存储在声明中的配置文件信息。例如，他们的名字。当用户提交对此信息的更改时，需要让所有其他客户端知道他们当前拥有的声明不再有效。这可以通过完全注销用户来实现，但用户必须重新输入其id和密码 看看流程，我

如何验证IDM是否有用户登录的活动会话 详细信息-如果用户“A”在浏览器“X”的IDM上有活动会话，当同一用户“A”尝试使用浏览器“Y”登录时，预期行为会标识该用户有活动会话并使浏览器“X”会话无效 背景- 无特异性IDM 具有隐性授权的客户 （30秒identitytoken life，在不进入登录页面的情况下一直在默默地更新访问令牌，预计会点击IDM上的某些方法，然后我可以验证用户是否具有访问权限） 这是有道理的，为什么不在Idm中呢。但至少在未来的版本中，这绝对有可能作为增强功能提供 配

我正在使用的Identity Server 4解决方案是使用EF Identity DB。我正在使用迁移程序集来管理客户端、API和标识资源信息。 出于某种原因，我不知道持久授权信息没有保存到持久授权表中？请在下面找到开始文件和我最新测试日志文件的链接 标识服务器启动： using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Identity; using Microsoft.EntityFrameworkCore; usin

按照逐字逐句的说明，我无法执行客户端。始终返回未经授权的401 生成的令牌是： { "alg": "RS256", "kid": "57EDAEBEC68F3CAACE869E3FA226C0FF", "typ": "at+jwt" }.{ "nbf": 1593466354, "exp": 1593469954,

这是我的Identity Server项目的ConfigureServices方法 public void ConfigureServices(IServiceCollection services) { services.AddIdentityServer() .AddDeveloperSigningCredential() .AddOperationalStore(options => { opti

我知道这方面有很多问题，但我发现没有什么能解决我的问题 设置： 服务器 Config.Clients TestUsers.Users 邮递员电话： 邮递员回应： { "access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IkE1RkQ2QzlFN0I0QTYzRjJDOERBM0IyRDkxODA1MTAxIiwidHlwIjoiYXQrand0In0.eyJuYmYiOjE2MjE1NDk1OTYsImV4

我想在我的ASP.NET核心MVC web应用程序中使用IdentityServer4进行身份验证，但用户注册过程似乎有些笨拙。如果您使用的是本地用户帐户，则大多数需要用户注册的网站都不会重定向到单独的网站（如Facebook、Twitter等）进行注册 一种解决方案是将IdentityServer4托管在与我的MVC客户端相同的进程中，但不鼓励这样做 使用IdentityServer 4注册本地用户有什么好的现实例子吗？IdentityServer用于验证现有用户，而不是真正创建新用户。 在我

我正在编写一个IdentityServer4实现，并使用所描述的快速启动项目 定义ApiResource（目前使用InMemory类）时，IdentityServer会创建一个与资源同名的作用域。比如说 public static IEnumerable<ApiResource> GetApiResources() { return new List<ApiResource> { new ApiResource("api", "My API

我试图将IdentityServer4设置为使用我自己的（mongodb）数据库，而不是文档中显示的内存中的示例 为此，我配置了以下服务： builder.Services.AddTransient<IPersistedGrantStore, PersistedGrantStore>(); builder.Services.AddTransient<IResourceOwnerPasswordValidator, ResourceOwnerPasswordValidator&g

一段时间以来，我一直在忙于构建身份服务器，在尝试实现多租户时，出现了一些复杂的结构 我想知道我计划采取的方法是否存在任何安全风险。也许其他人也在挣扎，可以使用一个示例结构。本案如下： 一个标识服务器 具有独立域的多个租户 每个租户（学生和教师）可能有多个用户帐户 以不同的用户名/电子邮件地址向多个租户注册 所有租户同时需要SSO 我心目中的结构： 用户已登录到Identityserver。de id server可以为其提供身份验证的可用客户端（应用程序/租户）以集线器的形式呈现。选择一个（

我正在尝试添加一个中间件，以便在基于客户端id的Web API中实现节流。此Web API受Identity Server 4和JWT身份验证处理程序的保护 问题是，当我的中间件运行时，Context.User.Claims总是空的。 我知道只有当请求点击Authorize属性时才会调用Jwt处理程序 因此，我的问题是，我如何“强制”Jwt处理程序在管道中更快地运行，以便我的中间件在令牌被验证并且客户端id声明在上下文主体中可用后获得调用 谢谢你能给我的任何帮助 设置Web API的代码如下所示

我有一个BlazorWebAssembly和Asp.NETCore项目，由个人用户帐户托管（身份验证）。 但我有两个问题。首先，我需要自定义注册和登录视图（与identity server 4相关），但找不到视图。在\u LoginPartial.cshtml视图中的服务器项目（blazor服务器）中，我们可以看到许多页面：asp area=“Identity”asp page=“/Account/Manage/Index”和asp area=“Identity”asp page=“/Accou

在ASP.NET Core 2.2教程中介绍了scaffold Identity Server 4内存项目模板之后，ApiResources配置位于appsettings.json "ApiResources": [ { "Name": "movie.api", "DisplayName": "Movie API Services", "S

我做错了，返回404“错误请求太长消息”。 我的场景如下：我有一个IdentityServer4充当IdentityProvider，还有一个WebApp使用令牌进行访问。 在IS4中，我为索赔集合中的用户设置了大约200个角色（Request.User.Claims）。 当我打开另一个WebApp时，会弹出错误 有人能告诉我如何正确地将用户角色发送到WebApp中使用吗。所以我可以使用User.IsInRole（{some role}）。 我只看到一些示例发送了一些角色，但没有我需要的那么多

安装Windows身份验证的文档如下所示： 但是我不知道如何配置Callback（）方法，该方法在RedirectUri=Url.Action（“Callback”），行中引用，或者我是否应该使用它 我尝试手动重定向回https:///auth-callback我的angular应用程序的路径，但我得到错误： Error: No state in response at UserManager.processSigninResponse (oidc-client.js:8308) 有人

我已经按照文档中的示例编写了一个小型IdentityServer演示服务器。我有以下TestUser： new TestUser { SubjectId = "1", Username = "Username", Password = "password", Claims = new List<Claim>() { new Claim(System.Security.Claims.ClaimTypes.Name, "Userna

我并没有看到很多文档，但我已经实现了外部身份验证和外部提供者。但我缺少的是： 如何配置客户端应用程序以指向联合网关 如何将identity server配置为联合网关 身份验证管理器是否以某种方式决定使用哪个提供程序 我自己的研究得出了以下结论： 让我知道，谢谢。好的，通过我自己的发现和搜索答案，我发现federation gateway是一种系统架构，用于隐藏和屏蔽与外部提供商的连接。identity server 4也是如此。Identity server可以充当这些外部提供程序的客

我在我的一个水疗项目中使用我的客户。 我有一个写在中的身份服务器 如果我手动更改服务器的日期时间，则无法在登录用户中验证服务器的响应，因为日期时间不相同 而且，如果我手动更改客户端的日期时间，并使用自动日期时间选项保留服务器，则来自服务器的响应同样无效 我认为任何处理日期时间的JavaScript解决方案都不可靠，所有日期时间都必须在服务器中验证 如何验证服务器中的令牌而不是客户端中的令牌 我的假设正确吗？ 如果不正确，是否有任何解决方案可以使用服务器时间而不是浏览器时间 这是我的客户端配置 c

我有一个API，它使用IdentityServer4进行令牌验证。 我想用内存中的TestServer对这个API进行单元测试。我想在内存测试服务器中托管IdentityServer 我已设法从IdentityServer创建了一个令牌 这是我已经走了多远，但我得到一个错误“无法从中获取配置”http://localhost:54100/.well-已知/openid配置” Api使用具有不同策略的[Authorize]-属性。这就是我想要测试的 这能做到吗？我做错了什么？ 我曾尝试查看Iden

在IdentityServer4中的登录操作期间，我多次调用Web API。这同样适用于密码重置操作，这是我添加到IdentityServer4项目中的自定义代码 因此，当用户尚未通过OIDC进行身份验证时，我应该如何保护我的ASP.NET核心Web API，这意味着在该阶段也不存在任何访问令牌。我只希望允许IdentityServer4调用这些Web API方法，而不是运行不受保护的Web API 有什么建议吗？你可以用这个 生成自己的令牌以调用API。为什么要IdentityServer

我正在使用IdentityServer 4。如图所示，我已经配置了Google身份验证中间件。但是，在Google注册的重定向uri是/signin Google。此外，我知道在我通过Google身份验证并调用了在Google注册的重定向uri后（/signin Google）会调用端点 我的问题是/signin google和调用/ExternalLoginCallback之间会发生什么？一旦浏览器被重定向到/signin Google，但在应用程序/中间件最终到达/ExternalLogin

我们有几个API，希望通过客户端凭据流授予对客户端的访问权限。流程会是这样的 客户端根据某个作用域从is4获取令牌 客户端使用令牌访问第一个API 客户端需要使用相同的令牌访问第二个API API端点上的令牌授权似乎只有在APIResource与身份验证参数中的APIName匹配时才起作用 如何设置APIResource/作用域以适应此场景 好的，我有机会对你的案子进行一番研究，并找到了一个解决办法 因此，正如您所知，客户机凭据流是基于（clientid和客户机机密除外）apiresources

我是识别服务器4的新手。我们有一个现有的Web应用程序，现在我们正计划编写一个API。我们希望使用IdentityServer4进行身份验证。我让服务器运行，但我希望用户被引导到我们的Web登录页登录，而不是IdentityServer登录。我可以通过设置UserInteractionOptions.LoginUrl来实现这一点。登录后，我将用户重定向到传入的返回Url，但identity server将重定向回我们的web应用程序，并继续循环。我如何告诉IdentityServer用户已经过身

这是我的环境： 以子域（例如t01.app.com）作为租户识别策略的多租户 使用IdentityServer4发出令牌。每个承租人都有自己的发行人。例如，t01.app.com是t01的发行人 使用Ocelot作为网关 我希望实现这样的目标，Ocelot能够以子域作为通配符重定向 浏览器A调用t01.ocelot.com->ocelot重定向到t01.app.com 浏览器B调用t02.ocelot.com->ocelot重定向到t02.app.com 有人能帮我吗？或者建议其他支持此功能

我正在努力完成IdentityServer4快速启动，但在让隐式快速启动正常工作时遇到了问题。我从零开始，按照说明进行操作，没有任何问题—clientcredentials、resourceownerpassword等，直到我尝试让MVC客户端使用隐式流访问带有Authorize属性的控制器方法。我的所有代码似乎都与GitHub示例中的代码相匹配，并进行了相应的端口更改，但当MVC客户端访问控制器时，它会收到一个401错误，这是适当的…但它不会显示使用提供的powerscript文件安装到Ide

我们使用Identity Server4来保护我们的API。我们希望使用刷新令牌来获得对API的长期访问权限。根据文档（“”），我们已将AllowOfflineAccess设置为true，但仍然不起作用。AccessTokenLifeTime过期（3600秒）后，令牌不工作。以下是客户： return new List<Client> { new Client { ClientId = "client",

带有客户端ui应用程序的My js report server正在使用提交的用户名，方法是在identityserver中添加一个声明，例如声明（“用户名”、“用户名值”）。 4第1.1版。但最近客户端已将identityserver 4版本升级为2.2.0和netcoreapp2.1 现在，客户端ui应用程序出现“未经授权”错误。在本地运行应用程序时，我在jsreport server控制台中看到一个错误： 错误：授权服务器的响应中没有“用户名”字段，令牌被假定为无效 我试图在样本中找到解决方

我是IdentityServer4（2.5）和证书设置的新手，请耐心等待。我想我已经尽了全力。我正在一个概念验证应用程序中与ASP.NETCore2.2.0一起使用它。我有OpenIdConnect和一个权威应用程序，以及一个使用cookies和X509Certificate2的客户端。在我的本地机器上工作得很好；但是，当我部署到IIS时，会出现以下错误： System.InvalidOperationException: IDX20803: Unable to obtain configura

我们希望从UserInfoEndPoint为用户声明中的大量数据提供服务，但不希望将这些声明嵌入AccessToken中 public async Task GetProfileDataAsync(ProfileDataRequestContext context) { if (context.Caller != IdentityServerConstants.ProfileDataCallers.ClaimsProviderAccessToken) { var sub

我们正在尝试将Identity Server 4 IDSV4与Mvc客户端和WebApi2客户端集成 我们发现，访问令牌仍然有效，即使用户已从客户端和IDSV4注销，也可以使用它来使用WebApi2提供的服务 我不知道如何在用户注销后立即强制它失效 以下是重现这种行为的步骤： 打开Mvc客户端并登录到IDSV4 使用await HttpContext.GetTokenAsyncOpenIdConnectParameterNames.AccessToken获取访问令牌 复制AccessToken并

我收到“颁发者名称与授权不匹配”错误，因为我的is4服务前面有一个ssl终止负载平衡器（即，颁发者是，授权是） 在这种情况下我该怎么办？dns名称相同，是https中的s导致验证失败 您的发卡机构url是https，而机构url是http。两个URL应该完全相同 否则，您可以尝试将validateisuername属性设置为false。此属性决定颁发者名称是否必须与颁发机构相同。默认情况下，这是真的- var discoRequest = new DiscoveryDoc