【发布时间】:2016-09-30 03:19:03
【问题描述】:
我的问题的最佳参考是Getting the user profiles from ADFS3.0,它显示令牌 ADFS OAuth 正在返回。我的问题是这个令牌中没有 GUID。 UPS 始终是电子邮件,可以分配和更改。我需要一个现在和以后唯一标识一个用户的 GUID。如果我搜索 LDAP,则有一个用户条目的 GUID。所以我的问题是:是否可以在 OAuth 令牌中获取该 GUID?
谢谢, -Jayant。
【问题讨论】:
【发布时间】:2016-09-30 03:19:03
【问题描述】:
身份服务器中有不同的端点。其中一个端点是UserInfoEndpoint,它实际上包含用户信息。而且单独获取Access Token中的用户信息也是不安全的,因为如果令牌被其他人使用,用户信息可能会被泄露。
您可以使用访问令牌查询 userinfoEndpoint 并获取用户详细信息。您还可以请求访问此信息的权限,并在需要时使用访问令牌获取GUID。
GUID 是用户唯一的SubjectId 吗?因为我认为在任何身份服务器中,他们都有SubjectID 对用户来说是唯一的。
【讨论】:
-
恐怕我不明白对安全的关注。对象 id 似乎是令牌的重要组成部分。实际上 Azure OAuth 令牌在令牌中有 OID。应该提到这一点。这就是为什么我认为在 adfs 中也必须有某种方式,而我缺少一些配置。我尝试设置自定义声明规则,但令牌内容从未改变。
-
我也没有在我的 adfs 端点列表中看到 userinfo 端点。我正在运行 Windows Server 2012 R2。