ASP.NET Identity（使用 IdentityServer4）获取外部资源 oauth 访问令牌

Question

我已经阅读了 identityServer4 的文档，并将其设置为使用 Microsoft Office 365 作为登录提供程序。当用户登录后，我想创建一个按钮，他可以在其中允许我的应用使用 graph.microsoft.com 的 webhooks api 订阅他的日历事件

startup.cs中的代码

app.UseMicrosoftAccountAuthentication(new MicrosoftAccountOptions
{
     AuthenticationScheme = "Microsoft",
     DisplayName = "Microsoft",
     SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme,

     ClientId = "CLIENT ID",
     ClientSecret = "CLIENT SECRET",
     CallbackPath = new PathString("/signin-microsoft"),
     Events = new OAuthEvents
     {
         OnCreatingTicket = context =>
         {
             redisCache.Set("AccessToken", context.AccessToken.GetBytes(), new DistributedCacheEntryOptions
             {
                 AbsoluteExpiration = DateTimeOffset.UtcNow.AddDays(3)
             });
             return Task.FromResult(context);
         }
     }
     Scope =
     {
         "Calendars.Read",
         "Calendars.Read.Shared",
     },
     SaveTokens = true
});

但这显然不是一条可行的道路。我这样做只是为了测试目的并制作所需订阅的 PoC。

现在我想知道是否有一种更智能的方式与 identityServer 通信，允许我获取这个外部访问令牌，以便我可以代表我的登录用户使用 microsoft api？

或者我唯一的选择是直接从该 OAuthEvent 获取 Microsoft AccessToken 并将其直接存储在与登录用户相关联的数据库中？

我真的需要这个，因为我的大部分功能都是基于来自第三方的数据。

Answer 1

好的，所以我终于得到了这个工作。我创建了一个使用ASP.Net Identity 和IdentityServer4 的新项目，它们都建立在ASP.Net Core 之上。

问题是我并不完全了解外部登录过程中使用的流程。

如果您使用两个系统中的样板，您将有一个AccountController，其中将出现以下方法：

//
// GET: /Account/ExternalLoginCallback
[HttpGet]
[AllowAnonymous]
public async Task<IActionResult> ExternalLoginCallback(string returnUrl = null, string remoteError = null)
{
    if (remoteError != null)
    {
        ModelState.AddModelError(string.Empty, $"Error from external provider: {remoteError}");
        return View(nameof(Login));
    }
    var info = await _signInManager.GetExternalLoginInfoAsync();
    if (info == null)
    {
        return RedirectToAction(nameof(Login));
    }

    // Sign in the user with this external login provider if the user already has a login.
    var result = await _signInManager.ExternalLoginSignInAsync(info.LoginProvider, info.ProviderKey, isPersistent: false);
    if (result.Succeeded)
    {
        await _signInManager.UpdateExternalAuthenticationTokensAsync(info);

        _logger.LogInformation(5, "User logged in with {Name} provider.", info.LoginProvider);
        return RedirectToLocal(returnUrl);
    }
    if (result.RequiresTwoFactor)
    {
        return RedirectToAction(nameof(SendCode), new { ReturnUrl = returnUrl });
    }
    if (result.IsLockedOut)
    {
        return View("Lockout");
    }
    else
    {
        // If the user does not have an account, then ask the user to create an account.
        ViewData["ReturnUrl"] = returnUrl;
        ViewData["LoginProvider"] = info.LoginProvider;
        var email = info.Principal.FindFirstValue(ClaimTypes.Email);
        return View("ExternalLoginConfirmation", new ExternalLoginConfirmationViewModel { Email = email });
    }
}

这里的重要部分是：

await _signInManager.UpdateExternalAuthenticationTokensAsync(info);

这会将您的外部凭据保存在与您的ASP.Net identity 关联的数据库表中。在AspNetUserTokens 表中，您现在将有 3 个条目，称为： access_token、expires_at 和 token_type。

这些是我们感兴趣的令牌，我们可以使用它们在应用程序的其他位置访问用户凭据。

在登录用户的上下文中获取这些令牌：

var externalAccessToken = await _userManager.GetAuthenticationTokenAsync(User, "Microsoft", "access_token");

为了从我们可以使用的数据库中获取的用户获取它们：

var user = _userManager.Users.SingleOrDefault(x => x.Id == "myId");
if (user == null)
    return;

var claimsPrincipal = await _signInManager.CreateUserPrincipalAsync(user);
var externalAccessToken = await _userManager.GetAuthenticationTokenAsync(claimsPrincipal, "Microsoft", "access_token");