Identity Server 4 с идентификационной базой данных EF - OpenID Connect Failing (1)
У меня есть решение Identity Server 4 с EF Identity DB. Я могу войти с моей электронной почтой и внешней учетной записью Gmail, но когда я пытаюсь войти с помощью OpenID (имя пользователя и пароль), я получаю сообщение об ошибке ниже. Возможно, проблема связана с информацией, хранящейся в таблицах Identity DB. Я новичок в Identity Server, и это моя первая попытка работы с EF Identity DB. Я могу опубликовать информацию БД, если это поможет решить проблему.
Исходный код: https://github.com/gotnetdude/GotNetDude-PublicRepository/tree/master/AuthServer
Файл журнала сервера идентификации: https://github.com/gotnetdude/GotNetDude-PublicRepository/blob/master/AuthServer_log.txt
Журнал клиента MVC: https://github.com/gotnetdude/GotNetDude-PublicRepository/blob/master/MVC Client_log.txt
Вот код запуска AuthServer, где я добавляю oidc mvc client в качестве опции вызова ("OpenID Connect"), которая не удалась. Клиент MVC работает нормально, если я вхожу с учетными данными электронной почты. Я предполагаю, что это связано с тем, как обрабатывается область на клиенте mvc. Любые предложения приветствуются.
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Identity;
using Microsoft.EntityFrameworkCore;
using Microsoft.AspNetCore.Hosting;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using AuthServer.Data;
using AuthServer.Models;
using AuthServer.Services;
using System.Reflection;
using Microsoft.IdentityModel.Tokens;
using Microsoft.Extensions.Logging;
namespace AuthServer
{
public class Startup
{
#region "Startup"
public Startup(IConfiguration configuration)
{
Configuration = configuration;
}
public IConfiguration Configuration { get; }
#endregion
#region "ConfigureServices"
// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
services.AddDbContext<ApplicationDbContext>(options =>
options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection")));
services.AddIdentity<ApplicationUser, IdentityRole>()
.AddEntityFrameworkStores<ApplicationDbContext>()
.AddDefaultTokenProviders();
// Add application services.
services.AddTransient<IEmailSender, EmailSender>();
services.AddMvc();
string connectionString = Configuration.GetConnectionString("DefaultConnection");
var migrationsAssembly = typeof(Startup).GetTypeInfo().Assembly.GetName().Name;
// configure identity server with in-memory stores, keys, clients and scopes
services.AddIdentityServer()
.AddDeveloperSigningCredential()
.AddAspNetIdentity<ApplicationUser>()
// this adds the config data from DB (clients, resources)
.AddConfigurationStore(options =>
{
options.ConfigureDbContext = builder =>
builder.UseSqlServer(connectionString,
sql => sql.MigrationsAssembly(migrationsAssembly));
})
// this adds the operational data from DB (codes, tokens, consents)
.AddOperationalStore(options =>
{
options.ConfigureDbContext = builder =>
builder.UseSqlServer(connectionString,
sql => sql.MigrationsAssembly(migrationsAssembly));
// this enables automatic token cleanup. this is optional.
options.EnableTokenCleanup = true;
options.TokenCleanupInterval = 15; // interval in seconds. 15 seconds useful for debugging
});
services.AddAuthentication()
.AddGoogle("Google", options =>
{
options.ClientId = "434483408261-55tc8n0cs4ff1fe21ea8df2o443v2iuc.apps.googleusercontent.com";
options.ClientSecret = "3gcoTrEDPPJ0ukn_aYYT6PWo";
})
//.AddOpenIdConnect("oidc", "OpenID Connect", options =>
//{
// //options.Authority = "https://demo.identityserver.io/";
// //options.ClientId = "implicit";
// //options.SaveTokens = true;
.AddOpenIdConnect("oidc", "OpenID Connect", options =>
{
options.Authority = "http://localhost:5000";
options.RequireHttpsMetadata = false;
options.SaveTokens = true;
options.ClientId = "mvc";
//options.Scope.Add("api1.APIScope");
//options.Scope.Add("api1.IdentityScope");
//options.Scope.Add("openid");
//options.GetClaimsFromUserInfoEndpoint = true;
//options.Scope.Add("email");
//options.Scope.Add("profile");
//options.Scope.Add("offline_access");
options.TokenValidationParameters = new TokenValidationParameters
{
NameClaimType = "name",
RoleClaimType = "role"
};
});
}
#endregion
#region "Configure"
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
loggerFactory.AddConsole(Configuration.GetSection("Logging"));
loggerFactory.AddDebug();
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
app.UseBrowserLink();
app.UseDatabaseErrorPage();
}
else
{
app.UseExceptionHandler("/Home/Error");
}
app.UseStaticFiles();
// app.UseAuthentication(); // not needed, since UseIdentityServer adds the authentication middleware
app.UseIdentityServer();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});
}
#endregion
}
}
Поработав некоторое время с методом AccountService, методом BuildLoginViewModelAsync, я понял, что для входа по электронной почте и по идентификатору пользователя используется OpenId. Я решил, что вместо того, чтобы бросать вызов другому OpenId для идентификатора пользователя, я бы обновил вход в систему контроллера учетной записи в менеджере passwordsigninasync:
//var result = await _signInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, lockoutOnFailure: false);
var result = await _signInManager.PasswordSignInAsync(model.Username, model.Password, model.RememberMe, lockoutOnFailure: false);
Я также обновил вид входа в систему:
<div class="form-group">
@*<label asp-for="Email"></label>
<input asp-for="User" class="form-control" />
<span asp-validation-for="Email" class="text-danger"></span>*@
<label asp-for="Username"></label>
<input asp-for="Username" class="form-control" />
<span asp-validation-for="Username" class="text-danger"></span>
</div>Я также обновил InputViewModel:
public class LoginViewModel
{
[Required]
//[EmailAddress]
//public string Email { get; set; }
public string Username { get; set; }
[Required]
[DataType(DataType.Password)]
public string Password { get; set; }
[Display(Name = "Remember me?")]
public bool RememberMe { get; set; }
//public object Username { get; internal set; }
public object RememberLogin { get; internal set; }
public string Email { get; internal set; }
}
Наконец, я удалил вызов OpenID Connect для класса запуска Authority.
После внесения перечисленных выше изменений я могу войти в систему с именем пользователя EF Identity DB, а не по электронной почте с использованием OpenID. Для моих целей это достаточно хорошее решение. Я ценю все ваши вклады, не стесняйтесь оставлять мне любые комментарии. Павел
1 ответ
Как я уже говорил в вашем предыдущем вопросе - начните с возврата сервиса и контроллера к настройкам по умолчанию. Затем - удалите это:
.AddOpenIdConnect("oidc", "OpenID Connect", options =>
{
options.Authority = "http://localhost:5000";
options.RequireHttpsMetadata = false;
options.SaveTokens = true;
options.ClientId = "mvc";
//options.Scope.Add("api1.APIScope");
//options.Scope.Add("api1.IdentityScope");
//options.Scope.Add("openid");
//options.GetClaimsFromUserInfoEndpoint = true;
//options.Scope.Add("email");
//options.Scope.Add("profile");
//options.Scope.Add("offline_access");
options.TokenValidationParameters = new TokenValidationParameters
{
NameClaimType = "name",
RoleClaimType = "role"
};
}
из вашей конфигурации IdentityServer и отладки AccountService.cs и AccountController.cs, Тот факт, что у вас есть в ваших базах данных конфигурации, позволяющие локальный вход для ваших клиентов, не делает это верным. В коде также есть логика для этого, прежде чем клиент доберется до конечной точки авторизации, и, возможно, там что-то не так.
Итак, 3 шага - вернуться к исходному коду, удалить код, который смущает Identity server, и - отладить.