不接收带有 OpenIddict 的刷新令牌

Question

不接收带有 OpenIddict 的刷新令牌

iqu*_*lis 3 c# token asp.net-core openiddict refresh-token

我有一个基于 .net core 2.0 的 web api 项目。

我几乎遵循了http://kevinchalet.com/2017/01/30/implementing-simple-token-authentication-in-aspnet-core-with-openiddict/上的非常好的例子。

返回身份验证的 SignIn() 结果的代码。方法看起来像这样：

if (request.IsPasswordGrantType())
{
    // (...)
    if (useraccount != null && useraccount.Failcount <= AppConstants.AuthMaxAllowedFailedLogin)
    {
        var identity = new ClaimsIdentity(OpenIdConnectServerDefaults.AuthenticationScheme, OpenIdConnectConstants.Claims.Name, OpenIdConnectConstants.Claims.Role);

        identity.AddClaim(OpenIdConnectConstants.Claims.Subject, AppConstants.AuthSubjectClaim, OpenIdConnectConstants.Destinations.AccessToken);
        identity.AddClaim(OpenIdConnectConstants.Claims.Name, useraccount.Username, OpenIdConnectConstants.Destinations.AccessToken);

        return SignIn(new ClaimsPrincipal(identity), OpenIdConnectServerDefaults.AuthenticationScheme);
    }
    // (...)
}

Run Code Online (Sandbox Code Playgroud)

我的启动代码如下所示：

services.AddDbContext<DbContext>(options =>
{
    options.UseInMemoryDatabase(nameof(DbContext));
    options.UseOpenIddict();
});

services.AddOpenIddict(options =>
{
    options.AddEntityFrameworkCoreStores<DbContext>();
    options.AddMvcBinders();
    options.EnableTokenEndpoint(DcpConstants.ApiTokenRoute);
    options.AllowPasswordFlow();
    options.AllowRefreshTokenFlow();
    options.SetAccessTokenLifetime(TimeSpan.FromHours(1));
    options.SetRefreshTokenLifetime(TimeSpan.FromDays(1));
    options.DisableHttpsRequirement();
});

services.AddAuthentication(options =>
{
    options.DefaultScheme = OAuthValidationDefaults.AuthenticationScheme;
}).AddOAuthValidation();

Run Code Online (Sandbox Code Playgroud)

现在，当我使用以下参数发送 post 请求时：

username: foo@bar.com
password: myPassword
grant_type: password
scope: openid profile offline_access

Run Code Online (Sandbox Code Playgroud)

我只收到范围、token_type、access_token、expires_in 和 id_token，没有 refresh_token。

我错过了什么？

Answer 1

Kév*_*let 5

OAuth2 规范绝对允许使用密码返回刷新令牌，因此 OpenIddict 完全支持。

对于 OpenIddict 返回的刷新令牌，您必须offline_access在调用SignIn. 例如：

if (request.IsPasswordGrantType())
{
    // (...)
    if (useraccount != null && useraccount.Failcount <= AppConstants.AuthMaxAllowedFailedLogin)
    {
        var identity = new ClaimsIdentity(OpenIdConnectServerDefaults.AuthenticationScheme, OpenIdConnectConstants.Claims.Name, OpenIdConnectConstants.Claims.Role);

        identity.AddClaim(OpenIdConnectConstants.Claims.Subject, AppConstants.AuthSubjectClaim, OpenIdConnectConstants.Destinations.AccessToken);
        identity.AddClaim(OpenIdConnectConstants.Claims.Name, useraccount.Username, OpenIdConnectConstants.Destinations.AccessToken);

        var ticket = new AuthenticationTicket(
            new ClaimsPrincipal(identity),
            new AuthenticationProperties(),
            OpenIdConnectServerDefaults.AuthenticationScheme);

        // You have to grant the 'offline_access' scope to allow
        // OpenIddict to return a refresh token to the caller.
        ticket.SetScopes(OpenIdConnectConstants.Scopes.OfflineAccess);

        return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme);
    }
    // (...)
}

Run Code Online (Sandbox Code Playgroud)

请注意，您还必须处理grant_type=refresh_token控制器中的请求。这是使用身份的示例：https : //github.com/openiddict/openiddict-samples/blob/dev/samples/RefreshFlow/AuthorizationServer/Controllers/AuthorizationController.cs#L75-L109

现在要执行此操作，您需要确保将PasswordTokenRequest 范围设置为Scope.OfflineAccess。您还需要确保在 UserPrinciple 上也设置了 OfflineScope。当您返回 SignIn(principal, OpenIddictServerAspNetCoreDefaults.AuthenticationScheme); 时通过正常的密码流程，您将返回刷新令牌。 (2认同)

归档时间：	8 年，7 月前
查看次数：	2907 次
最近记录：	8 年，7 月前