在IdentityServer4中保护客户端
我有以下情况:
我对如何在IdentityServer4中设置 API 2 感到困惑,因为它让我觉得它们都是Client(因为它消耗了它) API 1 )和ApiResource提供的资源(因为我想要保护它,以便只有登录的用户才能访问它)。
我已考虑将 API 2 设置为Client,并使用Cookie身份验证对其进行保护。我认为这与他们在sample中的MvcClient中所做的类似。但是,我不喜欢它,因为有关用户的所有信息都存储在服务器端,因此我的JavaScript应用无法知道用户的姓名,电子邮件等。
处理此方案的最佳方法是什么?
1 个答案:
答案 0 :(得分:2)
基本上,您需要使用Identity Server保护两个API。类似的东西:
API 1 Startup.cs :
services.AddAuthentication(IdentityServerAuthenticationDefaults.AuthenticationScheme)
.AddIdentityServerAuthentication(options =>
{
options.Authority = "https://localhost:5000";
options.SupportedTokens = SupportedTokens.Both;
options.RequireHttpsMetadata = false;
options.ApiName = "api1";
});
API 2也是如此,但options.ApiName应该是不同的。然后,您的javascript客户端在Identity Server端构建时,应该被允许访问这两个api(允许的范围):
new Client
{
ClientId = "your.js.client.id",
AllowedGrantTypes = GrantTypes.Implicit,
AllowAccessTokensViaBrowser = true,
RedirectUris = { "http://localhost:5003/callback.html" },
PostLogoutRedirectUris = { "http://localhost:5003/index.html" },
AllowedCorsOrigins = { "http://localhost:5003" },
AllowedScopes =
{
"api2",
"api1"
}
}
此代码来自official documentation。
然后在API 2中,当您想要调用API 1的控制器时,您需要以下内容:
var client = new HttpClient();
client.SetBearerToken(accessToken);
client.GetStringAsync("https://localhost/api1/test");
您获得access_token:
[Authorize]
public async Task<IActionResult> ControllerMethodInApi2()
{
var accessToken = await context.HttpContext.GetTokenAsync("access_token");
return View();
}
这应该适合你。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?