авторизация auth0 в основном приложении asp.net (MVC) - PullRequest
Новая
       24

авторизация auth0 в основном приложении asp.net (MVC)

0 голосов
/ 03 мая 2019

Я пытаюсь заставить Auth0 работать в моем приложении MVC.Хотя аутентификация работает, я не могу заставить ее работать.

Я следовал этому руководству: https://auth0.com/docs/quickstart/webapp/aspnet-core

мой код: 

public static IServiceCollection AddAuth0(this IServiceCollection services, IConfiguration configuration)
{
    var auth0Options = configuration.GetSection(nameof(Auth0Config))
        .Get<Auth0Config>();

    services.Configure<CookiePolicyOptions>(options =>
    {
        options.CheckConsentNeeded = context => true;
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });

    services.AddAuthentication(options =>
    {
        options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        options.DefaultChallengeScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;

        //                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        //                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    }) //do i need this for access_token?
       //                .AddJwtBearer(options =>
       //                {
       //                    options.Authority = auth0Options.Domain;
       //                    options.Audience = auth0Options.ApiIdentifier;
       //
       //                    options.SaveToken = true;
       //                    options.RequireHttpsMetadata = false;
       //                })
        .AddCookie()
        .AddOpenIdConnect(Auth0Constants.Auth0Scheme, options =>
        {
            options.Authority = $"https://{auth0Options.Domain}";

            options.ClientId = auth0Options.ClientId;
            options.ClientSecret = auth0Options.ClientSecret;

            options.ResponseType = Auth0Constants.ResponseTypeCode;

            options.SaveToken = true;

            options.Scope.Clear();
            options.Scope.Add(Auth0Constants.Auth0Scope.openid.ToString());
            options.Scope.Add(Auth0Constants.Auth0Scope.email.ToString());
            options.Scope.Add(Auth0Constants.Auth0Scope.profile.ToString());
            options.Scope.Add("read:cars");

            options.CallbackPath = new PathString("/callback");

            options.ClaimsIssuer = Auth0Constants.Auth0Scheme;

            options.Events = new OpenIdConnectEvents
            {
                OnRedirectToIdentityProviderForSignOut = context => OnRedirectToIdentityProviderForSignOut(context, auth0Options),
                OnRedirectToIdentityProvider = context => OnRedirectToIdentityProvider(context, auth0Options)
            };
        });

    services.AddAuthorization(options =>
    {
        options.AddPolicy("read:cars", policy => policy.Requirements.Add(new HasScopeRequirement("read:cars", auth0Options.Domain)));
    });

    services.AddSingleton<IAuthorizationHandler, HasScopeHandler>();

    return services;
}

private static Task OnRedirectToIdentityProvider(RedirectContext context, Auth0Config config)
{
    context.ProtocolMessage.SetParameter("audience", config.ApiIdentifier);

    return Task.CompletedTask;
}

private static Task OnRedirectToIdentityProviderForSignOut(RedirectContext context, Auth0Config auth0Options)
{
    var logoutUri = $"https://{auth0Options.Domain}/v2/logout?client_id={auth0Options.ClientId}";

    var postLogoutUri = context.Properties.RedirectUri;
    if (!string.IsNullOrEmpty(postLogoutUri))
    {
        if (postLogoutUri.StartsWith("/"))
        {
            var request = context.Request;
            postLogoutUri = request.Scheme + "://" + request.Host + request.PathBase + postLogoutUri;
        }

        logoutUri += $"&returnTo={Uri.EscapeDataString(postLogoutUri)}";
    }

    context.Response.Redirect(logoutUri);
    context.HandleResponse();

    return Task.CompletedTask;
}

Когдая смотрю на сеанс Чарльза, я вижу правильные области действия и разрешения, возвращающиеся в токене: 

"scope": "openid profile email read:cars",
"permissions": [
  "read:cars"
]

Но, например, я не могу получить access_token, как говорят, что я могу:

var accessToken = await HttpContext.GetTokenAsync("access_token");

возвращает ноль;Это также не указано в претензиях.

На одном из моих контроллеров у меня есть: [Authorize("read:cars")] И я получаю отказ в доступе, могу ли я удалить это разрешение и использовать только Авторизацию, тогда я в порядке.

Чтобы проверить, присутствует ли область действия: 

public class HasScopeRequirement : IAuthorizationRequirement
{
    public string Issuer { get; }
    public string Scope { get; }

    public HasScopeRequirement(string scope, string issuer)
    {
        Scope = scope;
        Issuer = issuer;
    }
}

public class HasScopeHandler : AuthorizationHandler<HasScopeRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, HasScopeRequirement requirement)
    {
        // If user does not have the scope claim, get out of here
        if (!context.User.HasClaim(c => c.Type == "scope" && c.Issuer == requirement.Issuer))
            return Task.CompletedTask;

        // Split the scopes string into an array
        var scopes = context.User.FindFirst(c => c.Type == "scope" && c.Issuer == requirement.Issuer).Value.Split(' ');

        // Succeed if the scope array contains the required scope
        if (scopes.Any(s => s == requirement.Scope))
            context.Succeed(requirement);

        return Task.CompletedTask;
    }
}

Но я думаю, что это не моя проблема, я думаю, что это лежит в моем access_token, который я даже не могу прочитать.Поэтому я думаю, что что-то упустил.Это из-за DefaultAuthenticationScheme / ChallengeScheme или ...?

1 Ответ

1 голос
/ 07 мая 2019

Спасибо Кирку!

исправлено немного иначе, чем моя первоначальная идея; сейчас я использую роли.

в auth0 У меня есть пользователи и назначаю им нужные роли;

Auth0-user-role

и как правило: 

function (user, context, callback) {
  context.idToken['http://schemas.microsoft.com/ws/2008/06/identity/claims/roles'] = context.authorization.roles;

  callback(null, user, context);
}

Я использую http://schemas.microsoft.com/ws/2008/06/identity/claims/roles в качестве заявки по умолчанию, потому что ядро ​​.net соответствует этому по умолчанию.

в моей настройке я добавил: 

options.TokenValidationParameters= new TokenValidationParameters
{
    RoleClaimType = "http://schemas.microsoft.com/ws/2008/06/identity/claims/roles"
};

Теперь я могу использовать атрибут Authorize на моих контроллерах

просто чтобы было ясно; У меня есть только одно веб-приложение. Если бы я использовал другой API, мне пришлось бы использовать access_token вне курса.

...