.Net Core 2 OpenID Connect身份验证和多个身份

Question

我仍在学习Identity Framework，并且在尝试在.Net Core 2 MVC应用程序中设置身份验证时非常迷失。感谢我提供任何建议，因为我什至不确定自己在做什么。

---

我需要集成OpenID Connect身份提供程序进行身份验证，并使用辅助数据源进行授权。除名称声明外，我不方便使用OIDC IdP的任何声明。其余的用户声明必须来自辅助数据源（该辅助数据源通过定制UserStore和User实体连接到Identity Framework ）。

我正在使用OpenId Connect提供程序来处理身份验证。这工作正常，并为我提供了第一个身份（我只能使用一个索赔）。当我需要获取用户的第二个Identity并将其添加到主体，并将其设置为default时，我的困惑就开始了Identity。该秒Identity提供了所有用户声明，包括角色。

我对身份框架的理解是，我应该拥有一个ClaimsPrincipal带有两个身份的单一身份，以便可以插入身份框架的其余部分。但是，对于两个身份，默认值ClaimsPrincipal将自动选择第一个身份（这是我不能使用的身份），因此，似乎我应该创建一个自定义ClaimsPrincipal并将其设置为PrimaryIdentitySelector第二个身份为主要身份。

public class MyClaimsPrincipal : ClaimsPrincipal
{
    private static readonly Func<IEnumerable<ClaimsIdentity>, ClaimsIdentity> IdentitySelector = SelectPrimaryIdentity;

    /// <summary>
    /// This method iterates through the collection of ClaimsIdentities and chooses an identity as the primary.
    /// </summary>
    private static ClaimsIdentity SelectPrimaryIdentity(IEnumerable<ClaimsIdentity> identities)
    {
        // Find and return the second identity
    }
}

从OIDC IdP获得经过验证的令牌后，我将获取第二个身份，创建一个新的MyClaimsPrincipal，然后将两个身份添加到新的主体中。之后，我不确定该如何处理新的校长。

我试图通过进行用户登录，在SignInManagerHTTP上下文中显式设置用户，并使用中间件进行转换ClaimsPrincipals，MyClaimsPrincipals但所有这些似乎都无济于事。我想我没说清楚。

一些具体问题：

• 这是最好的方法吗？人们普遍对所有这些事情感到困惑，这使得很难判断我是否走上了正确的道路。
• 创建自定义主体后，如何将其“设置”到HTTP上下文中以使其持久化？
• Cookie身份验证如何与OpenId Connect身份验证一起使用？似乎OIDC以某种方式将用户传递到Cookie身份验证，并且需要添加cookie身份验证才能使OIDC身份验证正常工作。

Answer 1

使用OpenID Connect方案时要了解的重要一点是，该方案永远不会独立运行。在几乎每个示例中，您都可以找到它与cookie方案的结合。原因很简单：OIDC用于通过外部身份验证提供程序对用户进行身份验证。但是该身份验证只是暂时的。为了将其本地存储在应用程序中，您需要登录用户。这通常是通过Cookie身份验证方案完成的（尽管它可以通过其他方式完成）。

使用OIDC和Cookie的应用程序的身份验证流程通常如下所示：

1. 用户访问您的应用程序。
2. 身份验证：cookie方案（默认身份验证方案）将尝试对用户进行身份验证。如果没有cookie，则处理程序将挑战身份验证。
3. 质询：OIDC方案（默认质询方案）将质询用户并重定向到外部身份验证提供程序。
4. 用户将通过外部身份验证提供程序进行身份验证，并将重定向到应用程序。
5. 质询回调：OIDC方案将从外部身份验证提供程序获得响应，完成质询并创建声明主体。
6. 登录：OIDC方案将使用其配置的登录方案（cookie方案）登录该主体。
7. cookie方案将登录用户并创建一个持久保存在用户浏览器中的cookie。
8. 在对您的应用程序的后续请求中，用户将包括有效的cookie，因此cookie方案可以成功验证用户身份，而无需再次挑战OIDC方案。

因此，假设一切正常，OIDC方案将不再参与身份验证。而是每次都会使用cookie中的身份。

您可以将其用于您的目的，以扩展OIDC方案使用其他声明创建的主体，然后再通过cookie方案对其进行登录和持久化。你可以做到这一点使用自定义登录方案的OIDC和饼干方案之间坐镇，或者你可以简单地附加到被调用的OIDC方案的认证事件后面临的挑战是完成了，但之前的登录会出现。

您可以将TicketReceived事件用于此目的：

public void ConfigureServices(IServiceCollection services)
{
    // …

    services.AddAuthentication(options =>
    {
        options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
    })
        .AddCookie()
        .AddOpenIdConnect(options =>
        {
            // …

            options.Events.OnTicketReceived = OnOpenIdConnectTicketReceived;
        });
}

public static Task OnOpenIdConnectTicketReceived(TicketReceivedContext context)
{
    if (context.Principal.Identity is ClaimsIdentity identity)
    {
        identity.AddClaim(new Claim("foo", "bar"));
    }

    return Task.CompletedTask;
}