angular - 如何使用 IdentityServer4 身份验证以静默方式重新登录用户
问题描述
我们有基于 3rd 方 ABP 框架及其多层架构的解决方案:
我们使用 Angular 作为 web face,使用 IdentityServer4 进行用户身份验证。因此,我们正在运行 2 台主机 - HTTP API 主机和 IdentityServer 主机以及 Web 界面 - 它以标准方式工作:登录框,用户输入凭据 - 瞧。
不过,我们有一个自定义设置,允许在不同租户下使用相同的登录名。租户列表显示为 UI 上的下拉列表,我们希望使用所选租户重新登录用户,而不是当前登录的用户。它需要看起来像一个简单的页面重新加载。问题是我不清楚如何实现这一点。我尝试使用来自应用程序层的以下调用,但它不起作用(错误是“没有为方案'Identity.Application'注册身份验证处理程序......”,但我不知道如何设置应用层上的身份验证配置,以便能够与我们的 IdentityServer 一起使用):
[HttpGet]
public async Task<TenantDto> SwitchTenantForCurrentUser(Guid? tenantId)
{
var abxUser = await _abxUserRepository.FirstOrDefaultAsync(x => x.Login == CurrentUser.UserName && x.Tenant.AbpId == tenantId);
if (abxUser == null)
return null;
using var _ = _abpCurrentTenant.Change(tenantId);
var currentTenant = await _abxTenantRepository.FirstOrDefaultAsync(x => x.AbpId == _abpCurrentTenant.Id.Value);
var identityUser = await _identityUserRepository.FindByNormalizedUserNameAsync(abxUser.Login.ToUpper());
if (await _signInManager.CanSignInAsync(identityUser))
{
await _signInManager.SignOutAsync();
await _signInManager.SignInAsync(identityUser, true);
}
return ObjectMapper.Map<Tenant, TenantDto>(currentTenant); // Not decided yet what to return, it depends on proper implementation
}
来自 Http API 主机的身份验证配置部分:
private void ConfigureAuthentication(ServiceConfigurationContext context, IConfiguration configuration)
{
context.Services.AddAuthentication("Bearer")
.AddIdentityServerAuthentication(options =>
{
options.Authority = configuration["AuthServer:Authority"];
options.RequireHttpsMetadata = true;
options.ApiName = "CentralTools";
options.JwtBackChannelHandler = new HttpClientHandler
{
//TODO: use valid certificate in future and change the logic
ServerCertificateCustomValidationCallback = HttpClientHandler.DangerousAcceptAnyServerCertificateValidator
};
});
context.Services.AddAbpIdentity().AddDefaultTokenProviders();
解决方案
任务完成。脚步:
后端:在 IdentityServer 项目中实现和注册自定义授权类型验证器:
SwitchToTenantGrantValidator : IdentityServer4.Validation.IExtensionGrantValidator
简而言之,ValidateAsync 接受经过身份验证的用户的数据(他的访问令牌、租户 ID 等)并决定是否必须让用户进入。该方法将目标租户的数据写入上下文结果对象;
前端:使用给定的自定义授权类型调用 IdentityServer,提供 (1) 所需的数据。我们使用了 Angular,所以我不得不扩展OAuthService来支持自定义授权类型请求;
将所有内容整理好(如果 (2) 成功)以在 UI 中显示正确的数据:清理旧状态等。
推荐阅读
- mysql - 尽管 uuid() 在内部调用过一次,但 Liquibase 生成不同的 UUID
- python - 以较低的帧速率解析视频
- php - PHP为什么我不能从输入中获取值?
- highcharts - xAxis 类型:“类别”而不堆叠重复名称?
- javascript - 随机数数组优化
- ios - 带有节 + UISegmentControl 的 UiTableView 的数据
- python - 根据条件修改数据框中的 2 列
- json - 如何使用 jq 将 JSON 文档复制到另一个文档中
- javascript - 构建失败:`npm rebuild node-sass --force`
- python - 带有不确定性包的计算时间出乎意料的长