我正在从身份服务器 3 迁移到 4。 我在本地开发环境中运行没有 HTTPS 的身份服务器 4 时遇到问题。 使用 HTTPS - 一切正常。没有它,用户不会进行身份验证,只是重定向 到登录页面。未设置饼干。
我知道身份服务器 3 曾经有 RequireSsl 选项,现在已经消失了。 我已经搜索了几个小时的文档,但一无所获。
我使用的是 IdentityServer4 4.1.1 和 AspNet Core 3.1 我的创业.cs如下所示:
public void ConfigureServices(IServiceCollection services)
{
services.AddIdentityServer()
.AddInMemoryClients(Clients.Get())
.AddInMemoryIdentityResources(Configs.Resources.GetIdentityResources())
.AddInMemoryApiResources(Configs.Resources.GetApiResources())
.AddInMemoryApiScopes(Configs.Resources.GetApiScopes())
.AddTestUsers(Users.Get())
..AddDeveloperSigningCredential();
services.AddControllersWithViews();
services.AddMvc(options => options.EnableEndpointRouting = false);
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env, ILoggerFactory loggerFactory)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseRouting();
app.UseIdentityServer();
app.UseAuthorization();
app.UseEndpoints(endpoints => endpoints.MapControllers());
app.UseStaticFiles();
app.UseMvcWithDefaultRoute();
}
我错过了什么?
我想,你在Chrome中试试。当您打开开发控制台 (F12) 时,您很可能会发现SameSite=Nonecookie 必须是安全的警告。
如果我上面的猜测是正确的,可能有两个可能的原因:您在显式设置options.Cookie.SameSite = SameSiteMode.None的地方使用自定义CookieAuthenticationOptions(查看您的启动,您没有),或者默认的不适合您的配置。
您可以像下面这样调整它:
services.AddIdentityServer(options =>
{
options.Authentication.CookieSameSiteMode = SameSiteMode.Lax;
})
将在本地主机上工作,将阻止托管在 IdSrv 根域之外的客户端的静默刷新。因此,您必须选择是更喜欢Lax进行生产,还是仅用于家庭游乐场(但总的来说,没有,不建议在任何地方使用)。