Как добавить утверждения в мой accesstoken, сгенерированный IdentityServer4, используя ClientCredentials grantType

Question

Я разработал приложение WebAPI и защитил свои конечные точки с помощью протокола OAuth 2.0, используя IdentityServer4

Мой ApiResource выглядит следующим образом:

                     Name = "BankOfDotNetApi",
                     Scopes =
                     {
                        new Scope("BankOfDotNetApi", "API name for Customer", new List<string>{ "Claim1"}),
                        new Scope("BankOfDotNetApi.Read"),
                        new Scope("BankOfDotNetApi.Write"),
                        new Scope("offline_access"),
                    },
                    UserClaims =
                    {
                        JwtClaimTypes.Name,
                        JwtClaimTypes.Email
                    },

MyClient выглядит следующим образом:

                Client
                {
                    ClientId = "client",
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets = {new Secret("secret".Sha256())},
                    AllowedScopes = { "BankOfDotNetApi", "BankOfDotNetApi.Read" },
                }

Мое API-приложение startUp.cs выглядит следующим образом:

    public class Startup
    {
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;
        }

        public IConfiguration Configuration { get; }

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc(
                config =>
                {
                });

            services.AddControllers();
            services.AddDbContext<BankContext>(options => options.UseInMemoryDatabase("BankingDb"));

            services.AddAuthentication("Bearer")
                     .AddIdentityServerAuthentication(options =>
                     {
                         options.RequireHttpsMetadata = false;
                         options.ApiName = "BankOfDotNetApi";
                         options.Authority = "http://localhost:5000";
                     });
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }

            app.UseHttpsRedirection();

            app.UseRouting();

            app.UseAuthentication();

            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }
    }

Я не генерирую токены вручную (путем создания экземпляра JWTToken), и токены автоматически генерируются IdentityServer4

Я могу для доступа к областям в моем маркере доступа, но я не могу получить доступ к утверждениям.
Если мой код работает неправильно, пожалуйста, предложите мне, как и где добавить утверждения в мой ApiResource.
Как получить доступ к утверждениям в моем * 1017 маркер доступа *

Answer 1

Использование Интерфейс ICustomTokenRequestValidator , после генерации токена поток управления приходит в ValidateAsyn c метод.

namespace IdentityServer4.Validation
{
    //
    // Summary:
    //     Allows inserting custom validation logic into authorize and token requests
    public interface ICustomTokenRequestValidator
    {
        //
        // Summary:
        //     Custom validation logic for a token request.
        //
        // Parameters:
        //   context:
        //     The context.
        //
        // Returns:
        //     The validation result
        Task ValidateAsync(CustomTokenRequestValidationContext context);
    }
}

Используйте строку ниже, чтобы добавить пользовательскую заявку в токен.

context.Result.ValidatedRequest.ClientClaims.Add(claim);

Добавляет специальный валидатор запроса авторизации, используя AddCustomTokenRequestValidator в классе запуска.