将Google OpenID迁移到OpenID Connect:openid_id不匹配

时间:2014-04-03 15:37:06

标签: c# openid dotnetopenauth google-oauth google-openid

我已按照Documentation中的内容开始了从Google OpenID迁移到OpenID Connect with OAuth 2.0的过程。我能够成功完成从令牌端点检索id_token中的openid_id和sub的工作流程,但是当我这样做时,openid_id与我们系统中的现有标识符不匹配。阻止我将现有用户映射到新ID并阻止用户登录我们的应用程序(或者可能被允许以其他人身份登录)。 id的格式正确,但不匹配。

我已将openid.realm参数设置为现有的openid.realm,并将重定向设置为与文档建议的相同。这在本地和我们的天蓝色托管环境中都会发生。我正在使用JWT.JsonWebToken来解码id_token,但我也验证了它是通过使用google上的网络托管解码器正确解码的:JWT Decoder,我想出了与之不匹配的相同OpenID标识符我们目前为该用户提供的一个。我还应该注意到我已经尝试添加配置文件范围,但这没有任何区别。

我们正在使用DotNetOpenAuth.OpenId作为原始系统,因此我认为问题不在于此。我已经检查了作为响应一部分的ClaimedIdentifier,它确实与我们在openId系统中保存的内容相匹配,因此我们不会错误地保存它。

以下是我们用于为auth请求生成Uri的内容。它主要是DotNetOpenAuth.GoogleOAuth2客户端的修改版本。

protected static Uri GetServiceLoginUrl(Uri returnUrl)
    {
        var state = string.IsNullOrEmpty(returnUrl.Query) ? string.Empty : returnUrl.Query.Substring(1);

        return BuildUri(AuthorizationEndpoint, new NameValueCollection
            {
                { "response_type", "code" },
                { "client_id", AppId },
                { "scope", "openid" },
                { "prompt", "select_account"},
                { "openid.realm", CloudServiceConfiguration.GetDNSName() },
                { "redirect_uri", returnUrl.GetLeftPart(UriPartial.Path) },
                { "state", state },
            });
    }

private static Uri BuildUri(string baseUri, NameValueCollection queryParameters)
        {
            var q = HttpUtility.ParseQueryString(string.Empty);
            q.Add(queryParameters);
            var builder = new UriBuilder(baseUri) { Query = q.ToString() };
            return builder.Uri;
        }

以下是我们用来为令牌端点生成请求的内容。

protected static Tuple<string, string> GetAuthTokens(Uri returnUrl, string authorizationCode)
    {
        var postData = HttpUtility.ParseQueryString(string.Empty);
        postData.Add(new NameValueCollection
            {
                { "grant_type", "authorization_code" },
                { "code", authorizationCode },
                { "client_id", AppId },
                { "client_secret", AppSecret },
                { "redirect_uri", returnUrl.GetLeftPart(UriPartial.Path) },
            });

        var webRequest = (HttpWebRequest)WebRequest.Create(TokenEndpoint);

        webRequest.Method = "POST";
        webRequest.ContentType = "application/x-www-form-urlencoded";

        using (var s = webRequest.GetRequestStream())
        using (var sw = new StreamWriter(s))
            sw.Write(postData.ToString());

        using (var webResponse = webRequest.GetResponse())
        {
            var responseStream = webResponse.GetResponseStream();
            if (responseStream == null)
                return null;

            using (var reader = new StreamReader(responseStream))
            {
                var response = reader.ReadToEnd();
                var json = JObject.Parse(response);
                var accessToken = json.Value<string>("access_token");
                var idToken = json.Value<string>("id_token");
                return new Tuple<string,string>(accessToken,idToken);
            }
        }
    }

1 个答案:

答案 0 :(得分:3)

请确保在迁移流程中使用完全相同的openid.realm值,就像在初始OpenID2流程中使用的那样:这些值中的任何不匹配(即使是丢失的尾部斜杠字符)也会导致完全不同的openid标识符值。

相关问题
最新问题