Область 'offline_access' не разрешена при использовании OpenIdDict

Question

Область 'offline_access' не разрешена при использовании OpenIdDict

Используя Asp.Net Core 5.0 с Identity и OpenIdDict, у меня есть следующее:

  services.AddOpenIddict()
  
    .AddCore(x => {
      x.UseEntityFrameworkCore().UseDbContext<Context>().ReplaceDefaultEntities<Application, Authorization, Scope, Token, Int32>();
    })

    .AddServer(x => {

      x.SetAuthorizationEndpointUris("/connect/authorize")
       .SetLogoutEndpointUris("/connect/logout")
       .SetTokenEndpointUris("/connect/token")
       .SetUserinfoEndpointUris("/connect/userinfo");

      x.RegisterScopes(OpenIddictConstants.Scopes.Profile, OpenIddictConstants.Scopes.Email, OpenIddictConstants.Scopes.OfflineAccess);

      x.AllowAuthorizationCodeFlow();

      x.AddDevelopmentEncryptionCertificate().AddDevelopmentSigningCertificate();

      x.UseAspNetCore()
       .EnableAuthorizationEndpointPassthrough()
       .EnableLogoutEndpointPassthrough()
       .EnableTokenEndpointPassthrough()
       .EnableUserinfoEndpointPassthrough()
       .EnableStatusCodePagesIntegration();

    })

    .AddValidation(x => {
      x.UseLocalServer();
      x.UseAspNetCore();
    });

И у меня есть следующий клиент:

  OpenIddictApplicationDescriptor spa = new OpenIddictApplicationDescriptor {
    ClientId = "spa",
    ClientSecret = "secret",
    ConsentType = OpenIddictConstants.ConsentTypes.Implicit,
    PostLogoutRedirectUris = {
      new Uri("https://localhost:5002/oidc-signout")
    },
    RedirectUris = {
      new Uri("https://localhost:5002/oidc-signin"),
      new Uri("https://localhost:5002/oidc-silent-refresh")
    },
    Permissions = {
      OpenIddictConstants.Permissions.Endpoints.Authorization,
      OpenIddictConstants.Permissions.Endpoints.Logout,
      OpenIddictConstants.Permissions.Endpoints.Token,
      OpenIddictConstants.Permissions.GrantTypes.AuthorizationCode,
      OpenIddictConstants.Permissions.GrantTypes.RefreshToken,
      OpenIddictConstants.Permissions.ResponseTypes.Code,
      OpenIddictConstants.Permissions.Scopes.Email,
      OpenIddictConstants.Permissions.Scopes.Profile,
      OpenIddictConstants.Permissions.Prefixes.Scope + "api"
    },
    Requirements = {
      OpenIddictConstants.Requirements.Features.ProofKeyForCodeExchange
    }
  };

В клиентском приложении Angular Spa я использую конфигурацию:

const settings: UserManagerSettings = {
  automaticSilentRenew: true,
  authority: "https://localhost:5000",
  client_id: 'spa',
  client_secret: 'secret',
  filterProtocolClaims: true,
  loadUserInfo: true,
  post_logout_redirect_uri: "https://localhost:5002/oidc-signout",
  redirect_uri: "https://localhost:5002/oidc-signin",
  response_mode: 'query',
  response_type: 'code',
  scope: 'openid profile email offline_access api',
  silent_redirect_uri: 'https://localhost:5002/oidc-silent-refresh'
};

Когда я нажимаю на SPA для входа в систему, я перенаправляюсь и получаю сообщение об ошибке:

The 'offline_access' scope is not allowed.

Если я использую его без offline_access, тогда все работает нормально, например:

scope: 'openid profile email api'

Что мне не хватает?

2

asp.net-core asp.net-core-5.0 openiddict

Источник

user577805 06 ноя '20 в 15:53

1 ответ

Решение

Другие вопросы по тегам asp.net-core asp.net-core-5.0 openiddict

user14155552 06 ноя '20 в 20:15 2020-11-06 20:15 · Accepted Answer · 2020-11-06 20:15

Перед использованием области offline_access необходимо включить поток токенов обновления.

В вашем Startup.cs вы должны изменить эту строку:
x.AllowAuthorizationCodeFlow();
примерно так:
x.AllowAuthorizationCodeFlow().AllowRefreshTokenFlow();

Также с вашей проблемой связана проблема с GitHub.

6

Источник

user14155552 06 ноя '20 в 20:15