Question

У меня есть identityserver4 v2.4, настроенный для пользователя ASP.Net Identity и Entity Framework в качестве оперативного хранилища.Когда я вызываю tokenClient.RequestRefreshTokenAsync(oldRefreshToken); следующим образом, я всегда получаю ошибку invalid_grant в tokenResult

TokenClient tokenClient = new TokenClient(tokenEndpoint, clientId, clientSecret);
string oldRefreshToken = await context.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);
TokenResponse tokenResult = await tokenClient.RequestRefreshTokenAsync(oldRefreshToken);

Журналы IDS4 показывают ArgumentException в журналах (обратите внимание, что существует много подобных проблемс именем параметра value вместо Parameter name: type, как в моем случае. Я не думаю, что они связаны, так как исправления, рекомендуемые для тех, не работали для меня).Кажется, исключения возникают в IDS4 ClaimsConverter.Я проверил свою базу данных MySQL на наличие полей нулевых значений в таблицах пользователей и заявок asp.net и подтвердил, что их нет:

[14:17:12 Debug] IdentityServer4.Validation.TokenRequestValidator
Start token request validation

[14:17:12 Debug] IdentityServer4.Validation.TokenRequestValidator
Start validation of refresh token request

[14:17:12 Debug] IdentityServer4.EntityFramework.Stores.PersistedGrantStore
pY3Q91B7RFXV2ilzuJtI+ggqkOg9xiRx4HcGZMfJf+0= found in database: True

[14:17:12 Error] IdentityServer4.Stores.DefaultRefreshTokenStore
Failed to deserialize JSON from grant store.
System.ArgumentNullException: Value cannot be null.
Parameter name: type
   at System.Security.Claims.Claim..ctor(String type, String value, String valueType, String issuer, String originalIssuer, ClaimsIdentity subject, String propertyKey, String propertyValue)
   at System.Security.Claims.Claim..ctor(String type, String value, String valueType)
   at IdentityServer4.Stores.Serialization.ClaimConverter.ReadJson(JsonReader reader, Type objectType, Object existingValue, JsonSerializer serializer) in C:\local\identity\server4\IdentityServer4\src\Storage\src\Stores\Serialization\ClaimConverter.cs:line 24
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.DeserializeConvertable(JsonConverter converter, JsonReader reader, Type objectType, Object existingValue)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.PopulateList(IList list, JsonReader reader, JsonArrayContract contract, JsonProperty containerProperty, String id)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.CreateList(JsonReader reader, Type objectType, JsonContract contract, JsonProperty member, Object existingValue, String id)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.CreateValueInternal(JsonReader reader, Type objectType, JsonContract contract, JsonProperty member, JsonContainerContract containerContract, JsonProperty containerMember, Object existingValue)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.SetPropertyValue(JsonProperty property, JsonConverter propertyConverter, JsonContainerContract containerContract, JsonProperty containerProperty, JsonReader reader, Object target)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.PopulateObject(Object newObject, JsonReader reader, JsonObjectContract contract, JsonProperty member, String id)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.CreateObject(JsonReader reader, Type objectType, JsonContract contract, JsonProperty member, JsonContainerContract containerContract, JsonProperty containerMember, Object existingValue)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.CreateValueInternal(JsonReader reader, Type objectType, JsonContract contract, JsonProperty member, JsonContainerContract containerContract, JsonProperty containerMember, Object existingValue)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.SetPropertyValue(JsonProperty property, JsonConverter propertyConverter, JsonContainerContract containerContract, JsonProperty containerProperty, JsonReader reader, Object target)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.PopulateObject(Object newObject, JsonReader reader, JsonObjectContract contract, JsonProperty member, String id)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.CreateObject(JsonReader reader, Type objectType, JsonContract contract, JsonProperty member, JsonContainerContract containerContract, JsonProperty containerMember, Object existingValue)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.CreateValueInternal(JsonReader reader, Type objectType, JsonContract contract, JsonProperty member, JsonContainerContract containerContract, JsonProperty containerMember, Object existingValue)
   at Newtonsoft.Json.Serialization.JsonSerializerInternalReader.Deserialize(JsonReader reader, Type objectType, Boolean checkAdditionalContent)
   at Newtonsoft.Json.JsonSerializer.DeserializeInternal(JsonReader reader, Type objectType)
   at Newtonsoft.Json.JsonConvert.DeserializeObject(String value, Type type, JsonSerializerSettings settings)
   at Newtonsoft.Json.JsonConvert.DeserializeObject[T](String value, JsonSerializerSettings settings)
   at IdentityServer4.Stores.DefaultGrantStore`1.GetItemAsync(String key) in C:\local\identity\server4\IdentityServer4\src\IdentityServer4\src\Stores\Default\DefaultGrantStore.cs:line 92

[14:17:12 Warning] IdentityServer4.Validation.TokenValidator
Invalid refresh token

[14:17:12 Warning] IdentityServer4.Validation.TokenRequestValidator
Refresh token validation failed. aborting.

Моя конфигурация клиента в IDS4 выглядит следующим образом

new Client
{
    ClientId = "AspNetClient",
    ClientName = "ASP.Net Client",

    RedirectUris           = { "http://localhost:5003/signin-oidc" },
    PostLogoutRedirectUris = { "http://localhost:5003/signout-callback-oidc" },

    AllowedGrantTypes = GrantTypes.Hybrid,
    RequireClientSecret = true,
    ClientSecrets =
    {
        new Secret("AspNetClientSecret".Sha256())
    },                    

    RequireConsent = false,
    AlwaysSendClientClaims = true,
    AlwaysIncludeUserClaimsInIdToken = true,
    AllowedScopes =
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        IdentityServerConstants.StandardScopes.Email,
        IdentityServerConstants.StandardScopes.OfflineAccess,
        "AccessTokenAuthorizedApi"
    },

    AllowOfflineAccess = true,                    
    AccessTokenLifetime = (int) TimeSpan.FromSeconds(10).TotalSeconds,
    RefreshTokenUsage = TokenUsage.ReUse,
    RefreshTokenExpiration = TokenExpiration.Absolute,
    AbsoluteRefreshTokenLifetime = (int) TimeSpan.FromDays(30).TotalSeconds,
    UpdateAccessTokenClaimsOnRefresh = true
}

Что я делаю не так?

ОБНОВЛЕНИЕ 2019-05-15:

Итак, я немного покопался и получил фактическую запись в таблице PersistedGrants, используяключ, найденный в журнале, который pY3Q91B7RFXV2ilzuJtI+ggqkOg9xiRx4HcGZMfJf+0=.Я вижу 4 пустых утверждения в тексте JSON из поля Data, которое должно вызывать проблему.Но почему IDS4 добавляет пустые заявки, подобные этой?

{
   "CreationTime":"2019-05-15T08:47:03Z",
   "Lifetime":2592000,
   "AccessToken":{
      "Audiences":[
         "http://localhost:5000/resources",
         "AccessTokenAuthorizedApi"
      ],
      "Issuer":"http://localhost:5000",
      "CreationTime":"2019-05-15T08:47:03Z",
      "Lifetime":10,
      "Type":"access_token",
      "ClientId":"AspNetClient",
      "AccessTokenType":0,
      "Claims":[
         {
            "Type":"client_id",
            "Value":"AspNetClient",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"scope",
            "Value":"openid",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"scope",
            "Value":"profile",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"scope",
            "Value":"email",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"scope",
            "Value":"AccessTokenAuthorizedApi",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"scope",
            "Value":"offline_access",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"sub",
            "Value":"0170490c-24c9-4be4-ae2a-5d4b1c55346e",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"auth_time",
            "Value":"1557910023",
            "ValueType":"http://www.w3.org/2001/XMLSchema#integer"
         },
         {
            "Type":"idp",
            "Value":"local",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"amr",
            "Value":"pwd",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"AspNet.Identity.SecurityStamp",
            "Value":"IF6RRMICBOOITA56FEJLPTFBXCIUKW3Z",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"role",
            "Value":"Driver",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"role",
            "Value":"Helper",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"preferred_username",
            "Value":"hybrid1",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {
            "Type":"name",
            "Value":"hybrid1",
            "ValueType":"http://www.w3.org/2001/XMLSchema#string"
         },
         {

         },
         {

         },
         {

         },
         {

         }
      ],
      "Version":4
   },
   "Version":4
}

Harindaka · Answer 1 · 15 мая 2019

Хорошо, похоже, IDS4 не сериализует производные объекты утверждений, как я ожидал. Я использовал собственный класс TenantClaim, который наследует Claim, и добавил 4 таких объекта в мою собственную реализацию IProfileService в проекте IdentityServer, например:

public async Task GetProfileDataAsync(ProfileDataRequestContext context)
{
    // Other Code

    var tenantRoleClaim = new TenantRoleClaim(tenantRole.TenantId, tenantRole.Role);
    claims.Add(tenantRoleClaim);

    context.IssuedClaims = claims;
}

Как только я изменил его, чтобы использовать простые старые объекты типа Claim, код заработал.

public async Task GetProfileDataAsync(ProfileDataRequestContext context)
{
    // Other Code

    var tenantRoleClaim = new TenantRoleClaim(tenantRole.TenantId, tenantRole.Role);
    claims.Add(new Claim(tenantRoleClaim.Type, tenantRoleClaim.Value));

    context.IssuedClaims = claims;
}

IdentityServer4 System.ArgumentNullException: значение не может быть нулевым. Имя параметра: введите при попытке обновить токен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

IdentityServer4 System.ArgumentNullException: значение не может быть нулевым. Имя параметра: введите при попытке обновить токен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы