OpenIddict MVCコア2.0とリソースサーバーAPIのJWT

Question

私は既存のmvc core 2.0 Webアプリケーションで使用するOpenIdDict authserverを設定しています。私はコードフローを使用しており、本番アプリケーションでOpenIdConnectの部分を実装する前にテスト用のmvc webappリソースサーバーを作成しています。

すべてが意図したとおりに動作しているようで、ログインしてリソースにアクセスできます。

私は休憩クライアントの新しい認証アーキテクチャの下で動作するAPIベアラ認証を取得する必要があります。 Apiは同じリソースサーバーに配置されます。

私が使ってJWTのための私のOpenIddictを設定している：

  options.AllowPasswordFlow(); 
      options.UseJsonWebTokens(); 
      options.AddSigningKey(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Configuration.GetSection("TokenAuthentication:SecretKey").Value))); 

は...

JwtBearer

 JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear(); 
     JwtSecurityTokenHandler.DefaultOutboundClaimTypeMap.Clear(); 

     services.AddAuthentication() 
      .AddJwtBearer(options => 
      { 
       options.Authority = "http://localhost:17004/"; 
       options.Audience = "MyAudience"; 
       options.RequireHttpsMetadata = false; 
       options.TokenValidationParameters = new TokenValidationParameters 
       { 
        NameClaimType = OpenIdConnectConstants.Claims.Subject, 
        RoleClaimType = OpenIdConnectConstants.Claims.Role, 
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Configuration.GetSection("TokenAuthentication:SecretKey").Value)) 
       }; 
      }); 

追加...とパスワードの流れトークンのリクエストを処理するためAuthorizationController.Exchangeにコードを追加しました。

私のリソースサーバーStartup.cs上でAddOpenIdConnectを追加し、signingKey（認証サーバーと同じキー）を追加しました。私のリソースサーバがまだ認証を行うことができ、これを設定すると、すべてが働いていると私は私の認証サーバからJWTトークンを取得するためにrestclientを使用することができますが、リソースサーバー上の私のAPIにアクセスしようとすると、それが原因でそこに失敗した後

  options.ResponseType = OpenIdConnectResponseType.Code; 
      options.AuthenticationMethod = OpenIdConnectRedirectBehavior.RedirectGet; 
      options.TokenValidationParameters = new TokenValidationParameters() 
      { 
       IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Configuration.GetSection("TokenAuthentication:SecretKey").Value)) 
      }; 
      options.Authority = "http://localhost:17004/"; 

ベアラ方式のバリデータはありません。

TokenValidationParametersに同じsigningKeyを持つリソースサーバーでAddBearerTokenを呼び出すための呼び出しを追加すると、実際に動作します。挑戦は成功し、私は自分のリソースにアクセスできます。

私は私のapiを呼び出すとき、私のトークンの検証は、リソースサーバー上で起こっているので、私は2つの質問が残っていることがわかるので、私のセットアップは矛盾していると思う。

1. JwtBearerミドルウェアが認証サーバーに認証を転送することは可能ですか？ （openidConnectで処理できますか？）

2. リソースサーバーの転送/パススルートークンの発行リクエストも自分の認証サーバーにすることは可能ですか？残りのAPIクライアントは2台のサーバーを処理する必要はありませんか？

Answer 1

JwtBearerミドルウェアが認証サーバーに認証を転送することは可能ですか？ （openidConnectで処理できますか？）

JWTベアラミドルウェアは、OpenIddictの設定エンドポイントから取得した署名鍵を使用して、常にローカル検証を実行します。このタスクをOpenIddictに委任することはできません。

は私のREST APIクライアントが文句を言わない2台のサーバに対処する必要がありますので、あまりにも私の認証サーバ前進/パススルートークン発行要求を自分のリソースサーバを作成することが可能ですか？

トークン検証部分を認可サーバーに委任する場合は、JWTミドルウェアを使用しないでください。 OpenIddictオプションでイントロスペクションを有効にし、新しい機密クライアントアプリケーション登録を作成し、バックチャネルHTTPコールを使用して着信トークンを検証するaspnet-contrib introspection middlewareを使用します。

Answer 2

JWTはトークン形式であり、OpenIdConnectに必要です。 JWTを含むOauth2で任意のトークン形式を使用できます。だから、JWTをスキップする必要はありません。