c# - 身份服务器 4 - 未经授权的客户端

我正在努力使用 Net Core 3.0 和 React 进行 Identity Server 4 的基本设置(但这几乎无关紧要)。

我通过 dotnet new react -au Individual 生成了新应用程序，更新了依赖项等，创建的配置基本上是从演示服务器复制的，如下所示:

public static IEnumerable<Client> GetClients()
        {
            return new List<Client>
            {
                // JavaScript Client
                new Client
                {
                    Enabled = true,
                    ClientId = "spa",
                    ClientName = "SPA (Code + PKCE)",

                    RequireClientSecret = false,
                    RequireConsent = false,

                    RedirectUris = { "https://notused" },
                    PostLogoutRedirectUris = { "https://notused" },

                    AllowedGrantTypes = GrantTypes.Code,
                    AllowedScopes = { "openid", "profile", "email", "api" },

                    AllowOfflineAccess = true,
                    RefreshTokenUsage = TokenUsage.ReUse
                },
            };
        }

在我的启动中:

services.AddDefaultIdentity<ApplicationUser>()
                .AddEntityFrameworkStores<ApplicationDbContext>();

            services.AddIdentityServer(o =>
                {
                    o.UserInteraction.ErrorUrl = "/myErrorsHandler";
                    o.Events.RaiseErrorEvents = true;
                    o.Events.RaiseFailureEvents = true;
                    o.Events.RaiseInformationEvents = true;
                    o.Events.RaiseSuccessEvents = true;
                })
                .AddInMemoryApiResources(Config.GetApis())
                .AddInMemoryIdentityResources(Config.GetIdentityResources())
.AddApiAuthorization<ApplicationUser, ApplicationDbContext>()
                .AddInMemoryClients(Config.GetClients())   ;

然后我在 Postman 中尝试:

并且总是得到:

{"displayMode":null,"uiLocales":null,"error":"unauthorized_client","errorDescription":"Unknown client or client not enabled","requestId":"0HLPL86NBMDRG:00000001","redirectUri":null,"responseMode":null,"clientId":"spa"}

我真的不明白为什么这不起作用。
演示服务器上的相同客户端与 Postman 对话框中的相同客户端工作没有任何问题。

更新:
我找到了这个文档:https://docs.microsoft.com/en-us/aspnet/core/security/authentication/identity-api-authorization?view=aspnetcore-3.0#application-profiles
但我仍然无法让它工作。
它识别客户端，但尽管配置(SPA，IdentityServerSPA)抛出:

{"displayMode":null,"uiLocales":null,"error":"invalid_request","errorDescription":"code challenge required","requestId":"0HLPL8VD22382:00000001","redirectUri":"http://localhost:5000/authentication/login-callback?error=invalid_request&error_description=code%20challenge%20required#_=_","responseMode":"query","clientId":"spa"}

更新 2:
它与配置 JSON 中定义的客户端“工作”，但仅使用根据文档预定义的模板，但不可能(或未记录可能性)禁用 PKCE 以使其工作，例如与 postman 等

最佳答案

您没有定义 client_secret 。根据您在客户端配置中提供的代码，您没有设置客户端密码，因此如果未指定客户端密码，则您的客户端无法直接向您的授权机构 (IDserver) 证明其真实性。这就是 PKCE 派上用场的时候，至少您可以保证同一个系统正在执行这两个请求。

我看到您要求禁用 PKCE，这应该是不可能的(我不确定是否可以完成，但您绝对不应该这样做)，因为您正在为 SPA 使用代码身份验证授权。 (这是目前推荐的做事方式)

由于 SPA 是非 secret 客户端(无法保持 secret 安全)，这意味着任何其他应用程序都可以使用您的 client_id spa 向 token 端点发出请求。为了防止这种情况，我们结合了两件事:

重定向 URI:这会强制将响应代码 token 重定向到先前已知的地址，该地址应该是您的客户端(除非使用主机文件来取代您的站点)

PKCE:一种旨在保证 /authorize 和 /token 请求来自同一个客户端的机制，因此即使有人设法拦截代码，他/她也不应该能够使用它来换取 token ，因为不知道PKCE 中使用的原始 secret 。

关于c# - 身份服务器 4 - 未经授权的客户端，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/57857813/