WebAPI 第一次重定向为 POST，然后作为 GET 重定向到 Angular 应用程序

我有严格的基础设施，无法改变，并试图使IdentityServer4能够使用SAML2.0断言和令牌。只有 API 可以暴露在互联网上。工作流程如下所示： 1.用户点击角度应用 2. 用户被重定向到外部 SAML2.0 IDP 提供程序，并对自己进行身份验证。 3. IDP 重定向到具有 SAML 断言的 WebApi，然后重定向到 IS4 进行验证和令牌生成 4. WebAPI 将令牌发送到带有 get 请求的 Angular APP(这是问题)

当我第一次登录到 IDP 时，WebAPI 将 POST 消息发送到角度，这显然会导致错误。当我刷新浏览器时，工作流程以相同的方式进行，但不需要提供凭据，因为我已经在 IDP 中唱歌，WebAPI 发送 GET 消息，Angular 获取令牌并保存它。

我已经尝试了多种解决方案，对重定向操作，将标头添加到响应，发送带有位置和 301 状态代码的 HttpResponseMessage。有了所有这些，我在第一次收到 POST 或在发送原始 httpResponseMessage 时只得到 Json。

[HttpPost]
[AllowAnonymous]
public async Task<IActionResult> PostLogin()
{
var form = Request.Form;
var samlResponse = form["SamlResponse"];
using (HttpClient client = new HttpClient())
{
var response = await client.RequestTokenAsync(new TokenRequest
{
Address = $"{_configuration["IdentityServer"]}/connect/token",
GrantType = "SamlResponse",
ClientId = "Client",
ClientSecret = "Client",
Parameters = { { "SamlResponse", samlResponse } }
});
var r = new HttpResponseMessage(HttpStatusCode.SeeOther);
r.Headers.Location = new Uri($"{_configuration["webpage"]}/login?token={response.Json["access_token"]}");
Response.Headers.Add(HeaderNames.Location, $"{_configuration["webpage"]}/login?token={response.Json["access_token"]}");
return StatusCode(301);
}

或

var r = new HttpResponseMessage(HttpStatusCode.SeeOther);
r.Headers.Location = new Uri($"{_configuration["webpage"]}/login?token={response.Json["access_token"]}");
return StatusCode(301, r);

或

[HttpPost]
[AllowAnonymous]
public async Task<IActionResult> PostLogin()
{
var form = Request.Form;
var samlResponse = form["SamlResponse"];
using (HttpClient client = new HttpClient())
{
var response = await client.RequestTokenAsync(new TokenRequest
{
Address = $"{_configuration["IdentityServer"]}/connect/token",
GrantType = "SamlResponse",
ClientId = "Client",
ClientSecret = "Client",
Parameters = { { "SamlResponse", samlResponse } }
});
if (response.IsError)
{
return StatusCode(400, response.Error);
}
return Redirect($"{_configuration["webpage"]}/login?token={response.Json["access_token"]}");
}
}

解决方案是在 chrome 上启用 chrome://flags/#allow-insecure-localhost 标志。红色证书导致刷新初始开机自检请求。在那之后，一切都很顺利。

相关内容

最新更新

热门标签：