如何在 Asp.net 核心的 appsettings.json 中定义角色身份资源

Question

我创建了一个具有个人帐户安全性的 asp.net 核心 Web 应用程序，并将其配置为用于外部 spa 的授权/身份验证，我在 appset5tings.json 文件中添加了以下配置

 {
 "ConnectionStrings": 
{
"DefaultConnection": 
 "Server=localhost;Database=itrSts;Trusted_Connection=True;MultipleActiveResultSets=true"
 },
"Logging": {
"LogLevel": {
  "Default": "Information",
  "Microsoft": "Warning",
  "Microsoft.Hosting.Lifetime": "Information"
}
},
 "IdentityServer": {
"Clients": {
  "itr.childcare.webapp": {
    "Profile": "SPA",
    "RedirectUri": "http://localhost:3000/signin-callback",
    "LogoutUri": "http://localhost:3000/signout-callback",
    "AccessTokenLifetime": 600,
    "Scopes": "openid profile gateway-api roles"

  },
  "Itr.Sts": {
    "Profile": "IdentityServerSPA"
  }

}
"Resources": {
  "gateway-api": {
    "Profile": "API",
    "UserClaims": [
      "role"
    ]
  }

}

} }

当请求“openid profile gateway-api”范围时它工作正常但是当还请求角色范围时我得到无效范围错误谁能帮助我并告诉我应该做什么？谢谢

Answer 1

缺少的是身份资源定义。它们定义了客户应该可以使用的声明（包括角色）。

请参阅article 关于身份资源。

如果您使用的是 IdentityServer4，版本 4.x，那么您还应该考虑定义 ApiScopes。

在代码中，IdentityResources 的定义如下所示：

var employeeInfoScope = new IdentityResource()
{
    Name = "employee_info",
    DisplayName = "Employee information",
    Description = "Employee information including seniority and status...",
    Emphasize = true,
    Enabled = true,
    Required = true,
    ShowInDiscoveryDocument = true,
    UserClaims = new List<string>
    {
        "employment_start",
        "seniority",
        "contractor",
        "employee",
    }
};

_identityResources = new List<IdentityResource>()
{
    new IdentityResources.OpenId(),
    new IdentityResources.Email(),
    new IdentityResources.Profile(),
    new IdentityResources.Address(),
    employeeInfoScope
};