事实证明,我毕竟对此思考过多。
由于我正在处理API后端,因此我要做的就是验证IDP承载令牌,而不是创建它们。最后,我能够使用以下简单代码验证3个ID提供程序:
services.AddAuthentication(OKTA_SCHEME)
.AddJwtBearer(ADFS_SCHEME, options =>
{
options.Authority = adfsConfig.authority;
options.Authority = adfsConfig.authority;
})
.AddJwtBearer(GOOGLE_SCHEME, jwt => jwt.UseGoogle(
clientId: googleConfig.clientId
))
.AddJwtBearer(OKTA_SCHEME, options =>
{
options.Authority = oktaConfig.authority;
options.Audience = oktaConfig.audience;
});
请注意,这需要安装一个附加的nuget软件包以简化对Google令牌的验证,该令牌似乎不遵循以下标准:Hellang.Authentication.JwtBearer.Google。
此时,我可以使用以下属性进行授权:
[Authorize(AuthorizationSchemes = OKTA_SCHEME)]
...或根据方案制定政策。
第二部分问题是将我的各种登录信息链接到本地数据库中的用户,最终我使用了自定义IClaimsTransformation进行了该操作,该IClaimsTransformation使用填充到ClaimsPrincipal中的信息来查找数据库中的用户,并添加“雇员”角色声明,如果找到了。
public class EmployeeClaims : IClaimsTransformation
{
public Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
{
if (!principal.HasClaim(a => a.Type == "EmployeeNumber"))
{
Employee employee = lookupEmployee(principal);
if (employee != null)
{
ClaimsIdentity id = new ClaimsIdentity();
id.AddClaim(new Claim(ClaimTypes.Role, "Employee"));
id.AddClaim(new Claim("EmployeeNumber", employee.EmployeeNumber.ToString()));
principal.AddIdentity(id);
}
}
return Task.FromResult(principal);
}
private Employee lookupEmployee(ClaimsPrincipal principal) {
string issuer = principal.Claims.Single(a => a.Type == "iss").Value;
if (issuer.Contains("google.com"))
...
}
}
然后通过以下方式注册此IClaimsTransformation:
services.AddScoped<IClaimsTransformation, EmployeeClaims>();
现在,我可以另外授权员工:
[Authorize(Roles = "Employee")]