小贝子编程

如何在JWT中包含身份角色索赔



我已经按照Microsoft的模板和说明在我的Asp.Net核心Web API应用程序中实现了身份验证和授权(https://learn.microsoft.com/en-us/aspnet/core/security/authentication/identity-api-authorization?view=aspnetcore-3.0(.

在身份验证JWT令牌中,我希望包含一个具有用户身份角色的声明,这样我就可以轻松地在SPA客户端应用程序中隐藏不必要的模块,并在API控制器上进行快速授权。但是,默认JWT不包括对角色的声明。

在我当前使用的中间件中,我可以配置JWT令牌以包括角色声明吗 注意,我还没有为当前令牌创建任何定义,中间件会自动为我创建令牌。

编辑 我已经更改了配置,因此该角色是对用户的声明。此外,我的配置已经更改,因此范围包括此索赔。生成的令牌仍然不包括角色。

我的主应用程序同时承载Web API和身份验证服务器。包装:

<PackageReference Include="Microsoft.AspNetCore.ApiAuthorization.IdentityServer" Version="3.0.0" />
<PackageReference Include="Microsoft.AspNetCore.Identity.EntityFrameworkCore" Version="3.0.0" />
<PackageReference Include="Microsoft.AspNetCore.Identity.UI" Version="3.0.0" />

启动:

...
services.AddDefaultIdentity<AppUser>()
.AddRoles<IdentityRole>()
.AddEntityFrameworkStores<DbContext>();
services.AddAuthentication()
.AddIdentityServerJwt();
services.AddIdentityServer()
.AddApiAuthorization<PimUser, PimDbContext>(options =>
{
options.IdentityResources.Add(new IdentityResource(
name: "roles",
displayName: "Roles",
claimTypes: new List<string>{"role"}) { Required = true});
options.Clients.AddSPA("authAngular", spa =>
spa.WithScopes("AppAPI", "openid", "profile", "roles")
.WithClientId("pimAngular")
.WithRedirectUri("https://localhost:5001/authentication/login-callback")
.WithLogoutRedirectUri("https://localhost:5001/authentication/logout-callback"));
});
...
app.UseAuthentication(); 
app.UseAuthorization(); 
app.UseIdentityServer();
...

用户被添加到角色中,同时添加一个声明:

await userManager.AddToRolesAsync(user, role);
await userManager.AddClaimAsync(user, new Claim("role", role));

openid的配置确实包括了新的作用域:

"scopes_supported": [
"openid",
"profile",
"roles",
"AppAPI",
...
],
"claims_supported": [
...
"role"
]

当我查询authClient的配置时,我也得到了正确的范围:

{
"authority": "https://localhost:5001",
"client_id": "authAngular",
"redirect_uri": "https://localhost:5001/authentication/login-callback",
"post_logout_redirect_uri": "https://localhost:5001/authentication/logout-callback",
"response_type": "code",
"scope": "AppAPI openid profile roles"
}

生成的令牌仍然不包括角色声明。我错过了什么?

编辑后的配置确实有效,但只有在创建新数据库并删除所有以前的迁移之后。肯定有一些损坏的数据/方案把我搞砸了。

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium