我使用实体框架为我的项目设置了身份服务器 4。我已经将服务配置为使用持久授权存储和签名证书。
services.AddIdentityServer()
.AddSigningCredential(Config.GetSigningCertificate())
.AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()
.AddProfileService<ProfileService>()
.AddConfigurationStore(builder =>
builder.UseSqlServer(connectionString, options =>
options.MigrationsAssembly(migrationsAssembly)))
.AddOperationalStore(builder =>
builder.UseSqlServer(connectionString, options =>
options.MigrationsAssembly(migrationsAssembly)));
以下是服务的配置。
问题是当我在负载均衡器后面运行我的服务器时,例如 2 个相同的实例处理所有请求,用户未登录的服务器无法解码 JWT 令牌,从而导致 401 未经授权的错误。
我假设令牌的签名方法或其加密是问题所在,但我找不到解决此问题的方法。
这是我的其余配置。
配置:
app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
Authority = url,
// Authority = "http://localhost:5000",
AllowedScopes = { "WebAPI" },
RequireHttpsMetadata = false,
AutomaticAuthenticate = true,
AutomaticChallenge = true,
});
客户端:
new Client
{
ClientId = "Angular2SPA",
AllowedGrantTypes = GrantTypes.ResourceOwnerPassword, // Resource Owner Password Credential grant.
AllowAccessTokensViaBrowser = true,
RequireClientSecret = false, // This client does not need a secret to request tokens from the token endpoint.
AccessTokenLifetime = 7200, // Lifetime of access token in seconds.
AllowedScopes = {
IdentityServerConstants.StandardScopes.OpenId, // For UserInfo endpoint.
IdentityServerConstants.StandardScopes.Profile,
"roles",
"WebAPI"
},
AllowOfflineAccess = true, // For refresh token.
AccessTokenType = AccessTokenType.Jwt
}
我还实现了自己的IResourceOwnerPasswordValidator和IProfileService。
知道为什么会这样吗?
我遇到了类似的问题,对身份服务器 4 进行负载平衡,并且能够使用 .AddDataProtection(( in ConfigureServices of Startup.cs .
public void ConfigureServices(IServiceCollection services)
{
// Other service configurations
services.AddDataProtection();
// Additional service configurations
}
作为旁注,如果你走这条路,考虑使用扩展名加密这些密钥(在你决定使用的任何介质中(,如 .ProtectKeysWith*(有几个选项(.有关详细信息,请参阅 https://learn.microsoft.com/en-us/aspnet/core/security/data-protection/introduction?view=aspnetcore-2.1
呵