single-sign-on - 会话验证端点在 AM5 中有效,但在 AM6 中无效
问题描述
在过去的几天里,我一直在努力让 AM6(Forgerock 访问管理)使用与 AM5 相同的配置。在用户执行 OpenID Connect 授权代码流之后,我正在尝试验证会话。
我的设置:
我已经部署了一个 AM 实例
从常见任务配置 OpenID Connect。
从 Applications -> OAuth 2.0 添加了一个 OAuth2 客户端。设置所有配置:重定向 uri、范围生命周期等并将“令牌端点身份验证方法”设置为
client_secret_post
(可选)添加对 OAuth 2.0 客户端的默示同意,然后设置服务 -> Oauth2 提供者 -> 同意 ->
Allow clients to skip consent = true
我的令牌用法:
将用户重定向到登录屏幕(并接收代码)后,我
/oauth2/access_token
使用 form_params 向令牌端点 ( ) 进行 POST( [client_id] => my_client [client_secret] => my_client_pass [code] => a5867a21-4d5a-4285-ba07-dcbe46d53bc6 [redirect_uri] => http://localhost:3000/auth/callback [grant_type] => authorization_code )
redirect_uri 端点接收
access_token
和id_token
( [access_token] => e78569fb-e162-4e4f-ab5e-79ebeaf2ba94 [scope] => openid offline_access profile email [id_token] => eyJ0eXAiOiJKV1QiLCJraWQiOiJiL....... [token_type] => Bearer [expires_in] => 35999 )
(这里的问题)然后我检查用户的会话,给定的 id_token,是否仍然有效(他已经注销或没有)我向会话端点
/json/sessions
(( 'headers' => [ 'Accept-API-Version' => 'resource=1.2' ], 'query' => [ '_action' => 'validate', 'tokenId' => eyJ0eXAiOiJKV1QiLCJraWQiOiJiL082T....... ], )
当我尝试对抗 AM5 时,我得到
{"valid":true,"uid":"my-user-here","realm":"/"}
当针对 AM6.0.0.4 进行尝试时,我总是得到:
{"valid":false}
我是否遗漏了阻止生成的 openid id_token 在会话端点中可用的东西?
解决方案
如果有人偶然发现同样的问题,我发现我错过了 AM6 中添加的一个重要设置:Authorized OIDC SSO Clients。
这会强制您的会话 id 与 OpenID Connect 中的 id_token 相同。
另一种解决方案是研究使用/oauth2/connect/checkSession
端点来验证令牌
推荐阅读
- ruby-on-rails - TypeError:没有将哈希隐式转换为字符串
- r - 有没有办法同时使用mice 包和gWQS 包?
- android - 如何使用每种颜色的百分比和自定义渐变角度创建可绘制的多色渐变
- jsf - JSF - selectOneMenu 中的 f:converter 和转换器标签之间的区别
- ibm-cloud - 如何在使用 ibmcloud 命令行创建 Watson 服务时指定区域
- laravel - foreach 不能在服务器上工作,但在 localhost 工作
- django - 使用 django 过滤器搜索所有内容
- html - 如何防止提交按钮在 ASP.NET MVC 中出现?
- ibm-mobilefirst - MFP 8 - 停止推送通知
- c# - 加入 3 张或更多桌子