从SwaggerUI与.NetCore中的PKCE和Okta进行OpenIDConnect

html5 问答

在过去 4 周内在调试器中绕过控制器授权后,我最终决定在我的 Swashbuckle 支持的 .NetCore 5 API 中处理 OpenID Connect 身份验证。我希望我没有,因为到目前为止我花了将近一天的时间没有找到可行的解决方案。

这是一个简短的回顾。

  • Swagger-UI 中对 OpenID Connect 的支持是最近才出现的。我发现这些信息的唯一地方是海伦对这个问题的评论。Swagger Ui 3.38.0 仅在 Swashbuckle 6.0.7 中可用。
  • 升级到最新的 Swashbuckle 后,我开始在 Swagger UI 中看到一堆“发现的”授权选项。唉,虽然我在 Startup.cs 中明确设置了 PKCE,但基于错误,它似乎没有被使用:

.UseSwaggerUI(c => c.OAuthUsePkce());

此外,那里的 ClientSecret 没有意义,因为 PKCE 应该替换它(实际上我没有客户端机密)。我的问题是,是否有人在 Swagger UI 中使用 OpenID Connect 与 PKCE 和 Okta?

Auth ErrorError, error: invalid_client, description: 浏览器对令牌端点的请求必须使用 Proof Key for Code Exchange。

回答

我最近从隐式流程转向代码 + pkce 流程。我遇到了同样的问题。关键是配置令牌端点 url。Swagger UI 仍会向您显示客户端凭据输入框,但您可以在授权时将其留空。

var securityDefinition = new OpenApiSecurityScheme
{
    Type = SecuritySchemeType.OAuth2,
    Scheme = "Bearer",
    In = ParameterLocation.Header,
    Name = "Authorization",
    Flows = new OpenApiOAuthFlows
    {
        AuthorizationCode = new OpenApiOAuthFlow
        {
            AuthorizationUrl = new Uri(azureAdOptions.AuthorizeEndpoint),
            TokenUrl = new Uri(azureAdOptions.TokenEndpoint),
            Scopes = azureAdOptions.Applications["Api"].Scopes.ToDictionary(e => e.Value, e => e.Key)
        }
    }
};

c.AddSecurityDefinition(
    "oauth2",
    securityDefinition);

我显然仍然需要在 SwaggerUiOptions 上启用 pkce 支持

internal static void ConfigureUi(SwaggerUIOptions c, IConfiguration configuration, string apiName, string environmentName)
{
    c.OAuthUsePkce();
}

我使用 Azure AD,以下是我使用的值:

AuthorizationUrl: https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize
TokenUrl: https://login.microsoftonline.com/organizations/oauth2/v2.0/token
Scopes: custom-value

下面的提交包含了它是如何实现的所有细节。它还包含一个测试样本。
添加对 PKCE 的 SwaggerUI 支持并更新 OAuth2Integration 示例

以上是从SwaggerUI与.NetCore中的PKCE和Okta进行OpenIDConnect的全部内容。
THE END
分享
二维码
< <上一篇
下一篇>>