NetCore OpenIdConnect验证为什么要设置Authority?

  在使用Identity Server作Identity Provider的时候，我们在NetCore的ConfigureServices((IServiceCollection services))方法中,常需要指定options的Authority，如下代码所示：

1. public void ConfigureServices(IServiceCollection services)
2.         {
3.             services.AddControllersWithViews();
4.          
5.             //
6.             #region MVC client
7.             //关闭了 JWT 身份信息类型映射
8.             //这样就允许 well-known 身份信息（比如，“sub” 和 “idp”）无干扰地流过。
9.             //这个身份信息类型映射的“清理”必须在调用 AddAuthentication()之前完成
10.             JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
11.             services.AddAuthentication(options =>
12.             {
13.                 options.DefaultScheme = "Cookies";
14.                 options.DefaultChallengeScheme = "oidc";
15.             })
16.                .AddCookie("Cookies")
18.               .AddOpenIdConnect("oidc", options =>
19.               {
20.                
21.                   options.Authority = "http://localhost:5001";
22.                   options.RequireHttpsMetadata = false;
23.                   options.ClientId = "code_client";
24.                   //Client secret
25.                   options.ClientSecret = "511536EF-F270-4058-80CA-1C89C192F69A".ToString();
26.                   //code方式
27.                   options.ResponseType = "code";
28.                   //Scope可以理解为申请何种操作范围
29.                   options.Scope.Add("code_scope1"); //添加授权资源
30.    
31.                   options.SaveTokens = true;
32.                   options.GetClaimsFromUserInfoEndpoint = true;
33.                
34.               });
36.             #endregion
37.             services.ConfigureNonBreakingSameSiteCookies();
38.         }

复制代码

　　其中options.Authority = "http://localhost:5001"需要设置，如果把它注释掉，则会报如下的错误，从这个异常看得出来，应该是Authority没有设置：
 
   那么为什么我们一定要设置.Authority 呢？我们一步一步来看看：
  1.在调用services.AddOpenIdConnect方法时，实质调用的是OpenIdConnectExtensions静态类的AddOpenIdConnect静态方法，如下所示：

1. public static AuthenticationBuilder AddOpenIdConnect(this AuthenticationBuilder builder, string authenticationScheme, string? displayName, Action<OpenIdConnectOptions> configureOptions)
2.         {
3.             builder.Services.TryAddEnumerable(ServiceDescriptor.Singleton<IPostConfigureOptions<OpenIdConnectOptions>, OpenIdConnectPostConfigureOptions>());
4.             return builder.AddRemoteScheme<OpenIdConnectOptions, OpenIdConnectHandler>(authenticationScheme, displayName, configureOptions);
5.         }

复制代码

　2.从上面的代码看得出，实际上调用的是AuthenticationBuilder的AddRemoteScheme扩展方法，如下所示：

1. /// <summary>
2.         /// Adds a <see cref="AuthenticationScheme"/> which can be used by <see cref="IAuthenticationService"/>.
3.         /// </summary>
4.         /// <typeparam name="TOptions">The <see cref="AuthenticationSchemeOptions"/> type to configure the handler."/>.</typeparam>
5.         /// <typeparam name="THandler">The <see cref="AuthenticationHandler{TOptions}"/> used to handle this scheme.</typeparam>
6.         /// <param name="authenticationScheme">The name of this scheme.</param>
7.         /// <param name="displayName">The display name of this scheme.</param>
8.         /// <param name="configureOptions">Used to configure the scheme options.</param>
9.         /// <returns>The builder.</returns>
10.         public virtual AuthenticationBuilder AddScheme<TOptions, [DynamicallyAccessedMembers(DynamicallyAccessedMemberTypes.PublicConstructors)]THandler>(string authenticationScheme, string? displayName, Action<TOptions>? configureOptions)
11.             where TOptions : AuthenticationSchemeOptions, new()
12.             where THandler : AuthenticationHandler<TOptions>
13.             => AddSchemeHelper<TOptions, THandler>(authenticationScheme, displayName, configureOptions);<br>       <br><br>

复制代码

1. private AuthenticationBuilder AddSchemeHelper<TOptions, [DynamicallyAccessedMembers(DynamicallyAccessedMemberTypes.PublicConstructors)]THandler>(string authenticationScheme, string? displayName, Action<TOptions>? configureOptions)
2.             where TOptions : AuthenticationSchemeOptions, new()
3.             where THandler : class, IAuthenticationHandler
4.         {
5.             Services.Configure<AuthenticationOptions>(o =>
6.             {
7.                 //注册Scheme对应的HandlerType
8.                 o.AddScheme(authenticationScheme, scheme => {
9.                     scheme.HandlerType = typeof(THandler);
10.                     scheme.DisplayName = displayName;
11.                 });
12.             });
13.             if (configureOptions != null)
14.             {
15.                 Services.Configure(authenticationScheme, configureOptions);
16.             }
17.             //Options验证
18.             Services.AddOptions<TOptions>(authenticationScheme).Validate(o => {
19.                 o.Validate(authenticationScheme);
20.                 return true;
21.             });
22.             Services.AddTransient<THandler>();
23.             return this;
24.         }

复制代码

　　
  看得出来，实际上调用的是AddSchemeHelper方法，在这个方法里，有一个很重要的Options验证：

1. Services.AddOptions<TOptions>(authenticationScheme).Validate(o => {
2.                 o.Validate(authenticationScheme);
3.                 return true;
4.             });<br><br>在这里需要对AuthenticationSchemeOptions进行验证<br><br>

复制代码

   3.上一步的Options验证中实际上调用的是OpenIdConnectOptions类的Validate方法，如下所示：

1. /// <summary>
2.         /// Check that the options are valid.  Should throw an exception if things are not ok.
3.         /// </summary>
4.         public override void Validate()
5.         {
6.             base.Validate();
8.             if (MaxAge.HasValue && MaxAge.Value < TimeSpan.Zero)
9.             {
10.                 throw new ArgumentOutOfRangeException(nameof(MaxAge), MaxAge.Value, "The value must not be a negative TimeSpan.");
11.             }
13.             if (string.IsNullOrEmpty(ClientId))
14.             {
15.                 throw new ArgumentException("Options.ClientId must be provided", nameof(ClientId));
16.             }
18.             if (!CallbackPath.HasValue)
19.             {
20.                 throw new ArgumentException("Options.CallbackPath must be provided.", nameof(CallbackPath));
21.             }
23.             //如果Authority没有设置,则报下面这个异常
24.             if (ConfigurationManager == null)
25.             {
26.                 throw new InvalidOperationException($"Provide {nameof(Authority)}, {nameof(MetadataAddress)}, "
27.                 + $"{nameof(Configuration)}, or {nameof(ConfigurationManager)} to {nameof(OpenIdConnectOptions)}");
28.             }
29.         }

复制代码

　　从这里看得出来，如果ConfigurationManager为空，则就会报前面中的异常了，所以异常就是这么来的。
 
4.那么为什么ConfigurationManager为空呢？我们回顾OpenIdConnectExtensions的AddOpenIdConnect方法：

1.    public static AuthenticationBuilder AddOpenIdConnect(this AuthenticationBuilder builder, string authenticationScheme, string? displayName, Action<OpenIdConnectOptions> configureOptions)
2.         {
3.             builder.Services.TryAddEnumerable(ServiceDescriptor.Singleton<IPostConfigureOptions<OpenIdConnectOptions>, OpenIdConnectPostConfigureOptions>());
4.             return builder.AddRemoteScheme<OpenIdConnectOptions, OpenIdConnectHandler>(authenticationScheme, displayName, configureOptions);
5.         }　　

复制代码

看得出AuthenticationBuilder的Services添加了一个名为OpenIdConnectPostConfigureOptions的单例服务： builder.Services.TryAddEnumerable(ServiceDescriptor.Singleton());
继续看下OpenIdConnectPostConfigureOptions的源码：

1.       /// <summary>
2.         /// Invoked to post configure a TOptions instance.
3.         /// </summary>
4.         /// <param name="name">The name of the options instance being configured.</param>
5.         /// <param name="options">The options instance to configure.</param>
6.         public void PostConfigure(string name, OpenIdConnectOptions options)
7.         {
8.             options.DataProtectionProvider = options.DataProtectionProvider ?? _dp;
10.             if (string.IsNullOrEmpty(options.SignOutScheme))
11.             {
12.                 options.SignOutScheme = options.SignInScheme;
13.             }
15.             if (options.StateDataFormat == null)
16.             {
17.                 var dataProtector = options.DataProtectionProvider.CreateProtector(
18.                     typeof(OpenIdConnectHandler).FullName!, name, "v1");
19.                 options.StateDataFormat = new PropertiesDataFormat(dataProtector);
20.             }
22.             if (options.StringDataFormat == null)
23.             {
24.                 var dataProtector = options.DataProtectionProvider.CreateProtector(
25.                     typeof(OpenIdConnectHandler).FullName!,
26.                     typeof(string).FullName!,
27.                     name,
28.                     "v1");
30.                 options.StringDataFormat = new SecureDataFormat<string>(new StringSerializer(), dataProtector);
31.             }
33.             if (string.IsNullOrEmpty(options.TokenValidationParameters.ValidAudience) && !string.IsNullOrEmpty(options.ClientId))
34.             {
35.                 options.TokenValidationParameters.ValidAudience = options.ClientId;
36.             }
38.             if (options.Backchannel == null)
39.             {
40.                 options.Backchannel = new HttpClient(options.BackchannelHttpHandler ?? new HttpClientHandler());
41.                 options.Backchannel.DefaultRequestHeaders.UserAgent.ParseAdd("Microsoft ASP.NET Core OpenIdConnect handler");
42.                 options.Backchannel.Timeout = options.BackchannelTimeout;
43.                 options.Backchannel.MaxResponseContentBufferSize = 1024 * 1024 * 10; // 10 MB
44.             }
46.             if (options.ConfigurationManager == null)
47.             {
48.                 if (options.Configuration != null)
49.                 {
50.                     options.ConfigurationManager = new StaticConfigurationManager<OpenIdConnectConfiguration>(options.Configuration);
51.                 }
52.                 else if (!(string.IsNullOrEmpty(options.MetadataAddress) && string.IsNullOrEmpty(options.Authority)))
53.                 {
54.                     if (string.IsNullOrEmpty(options.MetadataAddress) && !string.IsNullOrEmpty(options.Authority))
55.                     {
56.                         options.MetadataAddress = options.Authority;
57.                         if (!options.MetadataAddress.EndsWith("/", StringComparison.Ordinal))
58.                         {
59.                             options.MetadataAddress += "/";
60.                         }
62.                         options.MetadataAddress += ".well-known/openid-configuration";
63.                     }
65.                     if (options.RequireHttpsMetadata && !(options.MetadataAddress?.StartsWith("https://", StringComparison.OrdinalIgnoreCase) ?? false))
66.                     {
67.                         throw new InvalidOperationException("The MetadataAddress or Authority must use HTTPS unless disabled for development by setting RequireHttpsMetadata=false.");
68.                     }
70.                     options.ConfigurationManager = new ConfigurationManager<OpenIdConnectConfiguration>(options.MetadataAddress, new OpenIdConnectConfigurationRetriever(),
71.                         new HttpDocumentRetriever(options.Backchannel) { RequireHttps = options.RequireHttpsMetadata })
72.                     {
73.                         RefreshInterval = options.RefreshInterval,
74.                         AutomaticRefreshInterval = options.AutomaticRefreshInterval,
75.                     };
76.                 }
77.             }
78.         }

复制代码

　　
注意看两个标红的if语句，才发现OpenIdConnectOptions的Authority和MetadataAddress在都没有设置的情况下，OpenIdConnectOptions的ConfigurationManager为空！
 
    所以，从上文看得出，如果不设置OpenIdConnectOptions的Authority，那么无法进行OpenIdConnect认证哦！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！