OIDC / Identity 4 - Получение неожиданных ошибок 401 - PullRequest
0 голосов
/ 22 апреля 2019

Вот мой основной дизайн: Angular 7 front end, использующий библиотеку OIDC Javascript для безопасности .NET Core v2 API для всех уровней работы Сервер .NET Core Identity 4 для OAuth (отдельный сервер от API)

Я получаю много неожиданных 401 ошибок. Это не должно происходить, пользователь авторизован, я вижу пользователя авторизованного в журнале. Так что я могу только думать, что это какая-то проблема с синхронизацией или проблема с настройкой. Безопасность работает большую часть времени, скажем, в 90-95% случаев она работает нормально, поэтому мои основные настройки хороши. Я не знаю, что это может быть, кроме проблемы времени.

Вот моя конфигурация OIDC:

    const config = {
    clockSkew: 60*60*24*365*100,    // Effectively disable clock skew
    authority: Endpoint.STSAuthority,
    client_id: Constants.clientKey,
    redirect_uri: `${location.protocol}//${location.host}/assets/loginRedirect.html`,
    scope: `openid profile ${Constants.apiKey} `,
    response_type: 'id_token token',
    post_logout_redirect_uri: `${location.protocol}//${location.host}/assets/logoutRedirect.html`,
    userStore: new WebStorageStateStore({ store: window.localStorage }),
    automaticSilentRenew: true,
    staleStateAge: 60 * 60,        // 60 minutes
    accessTokenExpiringNotificationTime: 60 * 2,    // 2 minutes
    silent_redirect_uri: `${location.protocol}//${location.host}/assets/silentRedirect.html`
    };

Вот мой конфиг STS:

    new Client
    {
    ClientId = $"Example-STS-{this._programSettings.Site}",
    ClientName = $"Example {this._programSettings.Site} STS",
    AllowedGrantTypes = GrantTypes.Implicit,
    AllowAccessTokensViaBrowser = true,
    RequireConsent = false,
    RedirectUris = this._securitySection.RedirectUris,
    PostLogoutRedirectUris = this._securitySection.PostLogoutRedirectUris,
    AllowedCorsOrigins = new List<string> { this._securitySection.AllowFrom },
    AllowedScopes =
    {
    IdentityServerConstants.StandardScopes.OpenId,
    IdentityServerConstants.StandardScopes.Profile,
    $"Example-API-{this._programSettings.Site}"
    },
    IdentityTokenLifetime=60*30,  // 30 minutes
    AccessTokenLifetime=60*60*2,  // 2 hours
    }

Вот дамп моего объекта OIDC во время 401 Unauthorized (личная информация была удалена):

    User: {
    "_settings": {
        "_response_type": "id_token",
        "_scope": "openid",
        "_filterProtocolClaims": true,
        "_loadUserInfo": true,
        "_staleStateAge": 900,
        "_clockSkew": 3153600000,
        "_userInfoJwtIssuer": "OP",
        "_stateStore": {
            "_store": {
                "authContext": {
                    "loginKey": "68F7AD86DE3B427C98B02DF1BE7D9959",
                    "id": "5d77965b-e874-45e1-bb1f-08a6eaf2e773"
                },
                "oidc.b0add291aa304938b8246800c7729912": {
                    "id": "b0add291aa304938b8246800c7729912",
                    "created": 1555734037,
                    "nonce": "5476718e1373406bab9e452b8f9dbf31",
                    "redirect_uri": "https://www.example.com/assets/silentRedirect.html",
                    "authority": "https://prodsts.example.com:4252/",
                    "client_id": "example-STS-Prod"
                },
                "oidc.user:https://prodsts.example.com:4252/:example-STS-Prod": {
                    "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjhhZjhkODA0ZGNlNWI3NjZjODZlZTJmZjRhYzY4YWMwIiwidHlwIjoiSldUIn0.eyJuYmYiOjE1NTU3MjUwNzIsImV4cCI6MTU1NTcyNjg3MiwiaXNzIjoiaHR0cHM6Ly9wcm9kc3RzLmJvb21lcmFuZ2RtLmNvbTo0MjUyIiwiYXVkIjoiQm9vbWVyYW5nRE0tU1RTLVByb2QiLCJub25jZSI6IjdjMDE2ZWJiZWJlYzRiNjg5Y2U5NTMwOTkyYmQxMGI3IiwiaWF0IjoxNTU1NzI1MDcyLCJhdF9oYXNoIjoid3p4LTQtRlhFNnJOSkQ1ZjI3M1BTUSIsInNpZCI6ImM2ZWVjZTg4NmQ1NGFhZTY2YmYxOWYwNDk4NTljMjhiIiwic3ViIjoiNWQ3Nzk2NWItZTg3NC00NWUxLWJiMWYtMDhhNmVhZjJlNzczIiwiYXV0aF90aW1lIjoxNTU1NjkxNTQ0LCJpZHAiOiJsb2NhbCIsImFtciI6WyJwd2QiXX0.fBdgtLfWwnlLoi-T21c2VP2Wqt2fHo6l3eV_FKiXpyqrpdzAxqxOintXec-SJK1LwChMdy966xCFlVYp6jm5XwTfTPBPshNYeBPx9O0QOA0JYL33LvMGmgl4igV_wTscIPq6qnBpd75nagSvWT-IZgByxSygmh-JIuBQVqJPOpneoZCtLaeaVIyNzxLbCozc_pEc-kVqHGRbYEmDxU5mGdCdaKjAi0dCfJ3D3mDN8joQfwtK8PEuCKa5CPMgymkRAEJpfTY39DklLurUNyBKA9fJ6J95ys1dF3McgqEwdOZv37s2IialwpeYXOsFPlwpOh9_cvV5dS2wDav9H56pqA",
                    "session_state": "UCh5OQis7ikprYhHbUpjeS0GVMQ4S8XD2OrzA0Am4wU.0bd43c3337b6dc18bc7e7020f1f6ecb8",
                    "access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjhhZjhkODA0ZGNlNWI3NjZjODZlZTJmZjRhYzY4YWMwIiwidHlwIjoiSldUIn0.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.sA0ST_9pka0jqlG7P1gAguGUm2mQ--swVP7cRJ9vC6eFYhW1bkQXEkdF0NkA9Ks0olOkERlwqN6etLfO7rB01RtugDOLzcr9OJgw7ScgaGDlS7oVH0R_ElEXLoE9iPqUfH2fQpV-CtIyGBC3Ceapvv0OqZUZgGkpZR_bRTUfOKCGdfSa1syESeoW5-JhL_8-AhLBRjH8jILMk5iUAkGgPkMtvRp3qudvhpLmp1Ya_l9-QO192P3bMifrqj7ABCzjucffiuNrApalWTCv_K7HbdMXWMwuF6mGjLO75GwsGMMHl7vAl6sGu7N1HaWRRTVViQb_YiwxgqJhlJ1zRxvQnQ",
                    "token_type": "Bearer",
                    "scope": "openid profile example-API-Prod",
                    "profile": {
                        "sid": "c6eece886d54aae66bf19f049859c28b",
                        "sub": "5d77965b-e874-45e1-bb1f-08a6eaf2e773",
                        "auth_time": 1555691544,
                        "idp": "local",
                        "amr": [
                            "pwd"
                        ],
                        "AspNet.Identity.SecurityStamp": "H2GPEWKAHVYVQM6HGOWXAUHMUZPRMN5G",
                        "ExampleId": "12679",
                    },
                    "expires_at": 1555728667
                }
            },
            "_prefix": "oidc."
        },

1 Ответ

2 голосов
/ 22 апреля 2019

Я думаю, что у вас определенно будет проблема с ClockSkew:

clockSkew: 60*60*24*365*100,    // Effectively disable clock skew

Значение перекоса часов должно быть в течение нескольких минут после истечения срока действия токена, поскольку оно предназначено только для учета асинхронных часов.

Что вы ожидаете, когда у вас есть токен доступа со сроком службы два часа и часовой пояс 100 лет?Как долго пользователь должен проходить аутентификацию?

Я могу себе представить, что в какой-то момент (после истечения срока действия токена) токен будет отклонен.

Вам следует установить тактовую задержку на пять минут (по умолчанию)или меньше, и, вероятно, используйте токены обновления .

...