Mat*_*rix 3 .net single-sign-on owin okta samesite
我有一个 .Net Asp.Net WebApplication,我正在尝试将 Okta 用于单点登录功能。除了使用 Google Chrome 80+ 登录时,我的所有代码都在运行和运行。当我登录 Okta 并被调回我的应用程序时,我收到以下错误。以下是我迄今为止尝试过的步骤。这适用于所有其他浏览器,但很可能由于 Chrome 80 年代的 SameSite cookie 属性更改而失败。
“/”应用程序中的服务器错误。
IDX21323:RequireNonce 是“[隐藏 PII]”。OpenIdConnectProtocolValidationContext.Nonce 为空,OpenIdConnectProtocol.ValidatedIdToken.Payload.Nonce 不为空。无法验证随机数。如果您不需要检查随机数,请将 OpenIdConnectProtocolValidator.RequireNonce 设置为“false”。请注意,如果找到“nonce”,将对其进行评估。说明:在执行当前 Web 请求期间发生未处理的异常。请查看堆栈跟踪以获取有关错误及其在代码中的来源的更多信息。
异常详情:
Microsoft.IdentityModel.Protocols.OpenIdConnect.OpenIdConnectProtocolInvalidNonceException: IDX21323: RequireNonce 是 '[PII is hidden]'。OpenIdConnectProtocolValidationContext.Nonce 为空,OpenIdConnectProtocol.ValidatedIdToken.Payload.Nonce 不为空。无法验证随机数。如果您不需要检查随机数,请将 OpenIdConnectProtocolValidator.RequireNonce 设置为“false”。请注意,如果找到“nonce”,将对其进行评估。
源错误:
执行当前 Web 请求期间生成了未处理的异常。可以使用下面的异常堆栈跟踪来识别有关异常来源和位置的信息。
堆栈跟踪:
[OpenIdConnectProtocolInvalidNonceException: IDX21323: RequireNonce 是 '[PII is hidden]'。OpenIdConnectProtocolValidationContext.Nonce 为空,OpenIdConnectProtocol.ValidatedIdToken.Payload.Nonce 不为空。无法验证随机数。如果您不需要检查随机数,请将 OpenIdConnectProtocolValidator.RequireNonce 设置为“false”。请注意,如果找到“随机数”,则将对其进行评估。]
Microsoft.IdentityModel.Protocols.OpenIdConnect.OpenIdConnectProtocolValidator.ValidateNonce(OpenIdConnectProtocolValidationContext validationContext) +1374
Microsoft.IdentityModel.Protocols.OpenIdConnect.OpenIdConnectProtocolValidator.ValidateAuthenticationResponse(OpenId2ProContexttovalidation)
Microsoft.Owin.Security.OpenIdConnect.d__11.MoveNext() +3770 System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw() +27
Startup.cs 配置()代码
app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
app.UseCookieAuthentication(new CookieAuthenticationOptions()
{
CookieSameSite = SameSiteMode.None,
CookieSecure = CookieSecureOption.Always,
CookieHttpOnly = true,
CookieManager = new Code.SameSiteCookieManager(new Microsoft.Owin.Host.SystemWeb.SystemWebCookieManager())
});
app.UseOktaMvc(new OktaMvcOptions()
{
OktaDomain = ConfigurationManager.AppSettings["okta:OktaDomain"],
ClientId = ConfigurationManager.AppSettings["okta:ClientId"],
ClientSecret = ConfigurationManager.AppSettings["okta:ClientSecret"],
RedirectUri = ConfigurationManager.AppSettings["okta:RedirectUri"],
PostLogoutRedirectUri = ConfigurationManager.AppSettings["okta:PostLogoutRedirectUri"],
AuthorizationServerId = string.Empty,
Scope = new List<string> { "openid", "profile", "email" },
});
Microsoft.IdentityModel.Protocols.OpenIdConnect.OpenIdConnectProtocolValidator dd = new Microsoft.IdentityModel.Protocols.OpenIdConnect.OpenIdConnectProtocolValidator();
dd.RequireNonce = false;
//Init ADM Kit and start logging.
Code.KitHelper.Init();
检查您是否仅在 Chrome 中遇到此问题。如果是这样,这将是因为在版本 80 中启动了新的安全实现。
如果启用,没有 SameSite 限制的 cookie 也必须是安全的。如果一个没有 SameSite 限制的 cookie 没有设置 Secure 属性,它将被拒绝。此标志仅在“SameSite by default cookie”也启用时有效。– Mac、Windows、Linux、Chrome 操作系统、Android
但是,您可以在 chrome://flags 中禁用它,但它现在默认启用
#cookies-without-same-site-must-be-secure
将其设置为禁用后,您必须重新启动 chrome。这解决了我的问题并解释了为什么在生产中每件事都按预期工作,但在本地我收到了 nonce 错误。
| 归档时间: |
|
| 查看次数: |
1633 次 |
| 最近记录: |