Как вы запрашиваете идентификатор идентичности (id_token) в IdentityServerr4

Question

Я новичок в Identity Server и смущен по теме Identity & Точки доступа. Я понимаю, что токены доступа предназначены для защиты ресурсов (т. Е. Web api) и что токены идентичности используются для аутентификации. Однако всякий раз, когда я звоню/подключаюсь/токен, я всегда получаю «access_token». В рамках запроса я попросил клиента, который имеет различные области и заявки.

new Client 
      {    
       ClientId = "Tetris", 
       ClientName = "Tetris Web Api", 
       AccessTokenLifetime = 60*60*24, 
       AllowedGrantTypes = GrantTypes.ResourceOwnerPassword, 
       RequireClientSecret = false, 
       AllowedScopes = {"openid", "TetrisApi", "TetrisIdentity"} 
      } 



public static IEnumerable<ApiResource> GetApiResources() 
     { 
      return new[] 
      { 
       new ApiResource("TetrisApi", "Tetris Web API", new[] { JwtClaimTypes.Name, JwtClaimTypes.Role, "module" }) 
      }; 
     } 

     public static IEnumerable<IdentityResource> GetIdentityResources() 
     { 
      return new List<IdentityResource> 
      { 
       new IdentityResources.OpenId(), 
       new IdentityResources.Profile(), 
       new IdentityResource 
       { 
        Name = "TetrisIdentity", 
        UserClaims = 
         new[] 
         { 
          JwtClaimTypes.Name, 
          JwtClaimTypes.Role, 
          JwtClaimTypes.GivenName, 
          JwtClaimTypes.FamilyName, 
          JwtClaimTypes.Email, 
          "module", 
          "module.permissions" 
         } 
       } 
      }; 
     } 

Ниже приводится копия почтальона:

Любые мысли? Я не видел примера в Quickstarts, который использует Identity Tokens.

Спасибо!

Answer 1

Тип предоставления пароля не поддерживает токены идентификации. См. RFC6749.

Лучшее, что вы можете здесь сделать, это использовать токен доступа для получения претензий к пользователю с использованием конечной точки userinfo.

Рекомендация - использовать интерактивный поток, такой как неявный или гибридный для аутентификации конечного пользователя.

Answer 2

Ответы @leastprivilege верны, но вместо вызова конечной точки userinfo у вас также есть возможность включить UserClaims, который вы желаете в своем определении ApiResource.

На данный момент вы запрашиваете new[] { JwtClaimTypes.Name, JwtClaimTypes.Role, "module" }, но если вы изменили это, чтобы включить все претензии, которые вы (в настоящее время) определяете как часть IdentityResources, тогда эти претензии также будут доступны в access_token.