使用 OpenID 连接的节点快递

Question

我使用 this 库将 oidc 与 nodejs 一起使用

我需要的是：

1. 用户使用用户密码登录，或者数据已经是会话 cookie。这是调用我的应用根路由"/"

2. 我已经在authorisation server 中注册应用程序，身份验证服务器应该调用我的app/redirect

3. 我从身份验证服务器获取了 clientId 和客户端密码，并将其放入应用程序中。

4. 当用户登录时，身份验证服务器应该调用我的应用程序 redirect 路由。

5. 从oidc 策略我需要得到tokenset.claims(); 和tokenset.id_token，用户令牌。，在重定向调用

应该有

response_type: 'code',

https://github.com/auth0/express-openid-connect#getting-started

问题是调用了getUser 函数（在调试应用程序时）但是我从req.session.userIdentity 得到userIdentity，即undefined，知道这里可能有什么问题吗？

我们有相同的旧实现，它使用 OIDC，它适用于相同的身份验证服务器和 clientid 和 secret。

  const { auth, requiresAuth } = require('express-openid-connect');
  const session = require('express-session');
  const bodyParser = require('body-parser');
    
    module.exports = async (app) => {
    
      const ClientId = process.env.CI;
      const ClientSecret = process.env.CS;
      const URL = process.env.S_URL;
    
      app.use(session({
         name: 'bat-auth',
         secret: 'cookie-secret',
      }));

      app.use(bodyParser.json());
      app.use(bodyParser.urlencoded({ extended: true }));
    
      app.use(auth({
          clientSecret: ClientSecret,
          issuerBaseURL: `${URL}`,
          clientID: ClientId,
          baseURL: process.env.REDT_URL,
          redirectUriPath: '/redirect',  //my app redirect route
          authorizationParams: {
           response_type: 'code',
           response_mode: 'form_post',
           scope: 'openid',
          },
        async handleCallback(req, res, next) {
           req.session.openidTokens = req.openidTokens;
           console.log('---req.openidTokens', req.openidTokens);
           req.session.userIdentity = req.openidTokens.claims();
          next();
        },
        async getUser(req) {
           return req.session.userIdentity;
        },
      }));

  app.get('/', (req, res) => {
    const tokenSet = req.openid.makeTokenSet(req.session.openidTokens);
    console.log(`tokenset root: ${tokenSet}`);

    res.send(req.isAuthenticated() ? 'Logged in' : 'Logged out');
  });
  app.get('/redirect', async (req, res) => {
    const tokenSet = req.openid.makeTokenSet(req.session.openidTokens);
    console.log(`tokenset: ${tokenSet}`);
    console.log('redirect called');
    res.send('redirect called');
  });

我应该使用表单发布，最后，我需要从tokenset、user.id_token 获取？

这是我已经验证过的！

1. 来自身份验证服务器的 ClientID
2. 来自身份验证服务器的 ClientSecret
3. 配置身份验证服务器我的应用程序redirect路径，成功登录后应该调用我
4. 我也有aud 键

顺便说一句，在调试应用程序时，它不会停止添加 handleCallback 函数，但它首先在 getUser 应用程序上停止，不知道可能是什么原因...

Answer 1

看起来您正在尝试从req.session.userIdentity 读取，但您从未在任何地方设置它。您正在设置 req.session.openidTokens。

基于example code，您可能希望将您的handleCallback 函数修改为以下内容：

async handleCallback(req, res, next){
  req.session.openidTokens = req.openidTokens;
  console.log('---req.openidTokens', req.openidTokens);
  req.session.userIdentity = req.openidTokens.claims(); // <-- this is required to make your code sample work
  next();
}

Answer 2

看看你做了什么。你没有让人们回答你的问题变得太容易，你可以做更多的事情来改善你自己的自我诊断：

响应模式

去掉这个字段——我想我说得对，应该始终将授权响应设置为“查询”，这将是默认值。这可能会导致问题。

异步语法

我可能是错的，但我将从Auth0 page 的确切语法开始。有时我通过错误的语法在这方面犯了错误。

handleCallback: async function (req, res, next) {
    req.session.userIdentity = req.openidTokens.claims();
    next();
  },

HTTP 调试

Tore 说您应该在此处跟踪消息并发布任何故障是 100% 正确的。作为消息外观的示例，请参阅我的blog post。这涵盖了客户端授权代码流 (PKCE) 而不是服务器端授权代码流，但消息非常相似。

这里更广泛的一点是，如果您不了解 OAuth 消息和令牌字段，您将经常被阻止，而不是能够诊断自己的问题。在您的情况下，也许第 7 步没有作为预期的查询参数返回，因此库失败了？

如何捕获 HTTP 消息

您能否按照与我的NodeJS API 相同的方式更新您的配置，方法是添加以下类型的配置，然后运行诸如 Fiddler 或 Charles 之类的工具。然后，您应该能够在您的 Web 后端和授权服务器之间捕获 OAuth 消息，然后将任何失败的消息发回此处：

auth({
  client_id: 'qhuefhuef',
  ...,
  httpOptions: {
    agent: TunnelAgent.httpsOverHttp({
      proxy: Url.parse('http://127.0.0.1:8888'),
    })
  }

花点时间来完成这项工作是非常值得的，这将有利于该领域的所有未来发展。我的HTTP debugging write up 中有更多详细信息。

错误处理

另一种可能性是授权服务器在标准“错误”/“错误描述”字段中返回错误响应，而您没有处理它们。

一旦解决了眼前的问题，就不要满足。 OAuth 解决方案有多个移动部分，并且会出现间歇性问题，一旦您将应用部署到测试人员或生产环境，您将希望能够快速解决这些问题。

我始终建议在开发过程中使 OAuth 消息失败，然后确保您捕获正确的数据并控制 UI 错误报告。有关测试故障点的方法，请参阅我的文章的第 10 步和第 17 步。