时间戳

首页 > 解决方案 > 使用 nonce 为登录页面添加书签

asp.net-mvc-4 - 使用 nonce 为登录页面添加书签

问题描述

我正在尝试使用 Microsoft OWIN 中间件 OIDC 身份验证 v4.0.0 将 MVC4 Web 客户端与 IdentityServer 集成。从授权端点请求 ID 令牌时,必须提供随机数,并且提供的登录页面在查询字符串中具有随机数。如果用户将此添加书签并在第二天使用它登录(例如),客户端中的 nonce 验证将失败,因为他们将不再存储该 nonce,或者它已经过期等。

这会在客户端触发 AuthenticationFailed 通知,但有以下异常:

"IDX21323: RequireNonce is '[PII is hidden]'. OpenIdConnectProtocolValidationContext.Nonce was null, OpenIdConnectProtocol.ValidatedIdToken.Payload.Nonce was not null. The nonce cannot be validated. If you don't need to check the nonce, set OpenIdConnectProtocolValidator.RequireNonce to 'false'. Note if a 'nonce' is found it will be evaluated."

此时我可以处理响应,重定向到错误页面等等。如果他们随后再次尝试访问受保护的资源,重定向到 IdentityServer 会立即返回一个 ID 令牌,因为之前的登录成功(我猜从它的角度来看?),这一次 nonce 验证并且用户登录到客户端. 但这对用户来说是一种相当奇怪的体验——他们第一次尝试登录似乎失败了,他们得到了一个错误,但是当他们再次尝试时,他们甚至不必登录,他们就直接进入了。

另一种方法是通过重定向到家庭受保护资源来处理 AuthenticationFailed 中的此类异常,以便在后台“无缝”发生。对用户来说,他们的第一次登录尝试似乎成功了。但我不确定这是否适用于真正的随机数验证问题。我也担心在某些情况下这可能会导致重定向循环。

所以要回答我的问题......这个书签登录页面/随机数问题的常用方法是什么?我是否犯了一个根本性的错误或在某个地方发现了一个根本性的误解,导致这种情况发生?

标签: asp.net-mvc-4identityserver4identityserver3katananonce

解决方案

这是需要进入调用的代码

UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
{
   AuthenticationType = "oidc",
   Authority = appSettings["ida:Authority"],
   ClientId = appSettings["ida:ClientId"],
   ClientSecret = appSettings["ida:ClientSecret"],
   PostLogoutRedirectUri = appSettings["ida:PostLogoutRedirectUri"],
   RedirectUri = appSettings["ida:RedirectUri"],
   RequireHttpsMetadata = false,
   ResponseType = "code id_token",
   Scope = appSettings["ida:Scope"],
   Notifications = new OpenIdConnectAuthenticationNotifications
   {
       AuthenticationFailed = authFailed =>
       {
           if (authFailed.Exception.Message.Contains("IDX21323"))
           {
              authFailed.HandleResponse();
              authFailed.OwinContext.Authentication.Challenge();
           }

           return Task.FromResult(true);
                    }
         },
      SignInAsAuthenticationType = "Cookies"
    }
});

推荐阅读