我应该将来自我的SPA的ID令牌发送到我的REST后端吗?
我有一个单页应用程序,由rest api服务器支持。 我使用Auth0进行身份验证和授权,使用隐式授权流程。 所有我阅读的示例都解释了我应该将收到的访问令牌发送到api以进行授权。 例如: https://auth0.com/blog/why-should-use-accesstoken...
Keycloak/OIDC:获取用户组属性
我从Keycloak的OIDC端点提取了一个用户的组信息,但它们不带有我定义的组属性(请参见组表单中的属性选项卡,靠近设置)。我是否可以在我的请求中添加一个claim? 我正在使用RESTeasy客户端访问Keycloak的管理员API(比使用提供的管理员客户端获得了更好的结果):@Path...
我可以使用NGINX Ingress认证与OIDC吗?
我有几个运行在Kubernetes上的Web应用程序。为了匹配请求,我使用NGINX Ingress。 目前,所有应用程序都会单独验证来自我们身份提供者的令牌(我在开发环境中使用Keycloak并计划在生产环境中使用Azure Active Directory)。 是否可能在Ingress层...
能否从Google的id_token中获取个人资料信息?
当使用谷歌的OpenIDConnect身份验证系统时,可以在scope参数中指定email或profile或两者都包括。如果您请求email范围,则“电子邮件”和“email_verified”声明将包含在成功的OAuth2身份验证会话的一部分返回的id_token中。 以下是一个例子来自谷...
授权Keycloak客户端服务账户在不使用广泛的manage-users角色的情况下创建领域用户
我有一个网络应用程序,正在利用Keycloak进行身份管理。 我正在使用资源所有者密码凭据或直接授权流进行身份验证,该流程使用REST API调用/auth/realms/{realm}/protocol/openid-connect/token而不是浏览器重定向获取用户JWT。 我想为用...
在.NET Core OpenID Connect中间件中进行重定向?
我正在处理一种场景,当我验证身份的OpenID Connect服务器返回特定的查询字符串时。当条件匹配时,我希望将用户重定向到"拒绝访问"页面。无论什么原因,下面的包含重定向的注释行永远不会被执行。有没有更好/不同的方法来适应我的需求? 下面是在Startup.cs中配置OpenID Con...
密钥字节只能用于HMAC签名。请指定一个PublicKey或PrivateKey实例。
我正在尝试读取由Google OpenID Connect的ID Token生成的JSON Web Token(JWT),以获取声明并使用jjwt库进行验证。 我已尝试了几种方法来使用下面的代码解决问题。 String publicKeyFromJsonFile = "-----BEGI...
OpenID Connect响应类型混淆问题
我最近几天一直在阅读有关OAuth2和OpenIDConnect的规范,并使用Thinktecture Identity Server实现了一个测试客户端。我还参加了几个Pluralsight课程,我认为我理解了主要内容。但是我仍然对响应类型非常困惑。 OpenIDConnect规范指定混合...
Identity Server 4:向访问令牌添加声明
我正在使用Identity Server 4和Implicit Flow,并希望向访问令牌添加一些声明,新的声明或属性为“tenantId”和“langId”。 我已将langId添加为我的一个作用域,如下所示,然后通过身份验证服务器请求该作用域,但我也得到了tenantId。这是怎么回事?...
如何在Keycloak中创建客户端以与AWS Cognito身份联合使用
我有一个用户基础,其身份验证和认证是由Keycloak管理的。我想允许这些用户使用OpenID Connect联合,通过Cognito登录并使用AWS API网关服务。 AWS有关使用OpenID Connect提供程序的文档有点缺乏。我找到了一个旧的参考,使用SAML,但我更喜欢避免这种方...