IdenityServer4对IdentityResource的怀疑

Question

我对身份资源用户声明有疑问

我已经配置如下的场景-1

身份资源(“家庭”)->用户声明为"kid1“、"kid2”、“妻子”

Q1：根据文档“应该包含在标识令牌中的关联用户声明类型的列表”。但我在身份标记上看不到这个吗？

设想-2

是配置

身份资源(“家庭”)->用户声称"kid1"，"kid2"，“妻子”

API范围(api1)

API资源(TestAPI2Test) -> API Scopes "api1“、"api2”和用户声明“角色”、“妻子”API资源(TestAPI1) -> API Scopes "api1“、"api2”和"api2“以及用户声明的”角色“、”兄弟姐妹“、”妻子“API资源(testResource)

角客户端配置请求范围: openid配置文件api1 offline_access系列

access_token

"aud": [
"TestAPI1",
"TestAPI2Test",
"https://localhost:5001/resources"
],
"idp": "local",
"role": "admin",
"wife": "Sandra",
"sid": "BD5F4222976FFE2752168EFDE9391B2B",
"iat": 1621413193,
"scope": [
"openid",
"profile",
"api1",
"family",
"offline_access"
],

Q2：为什么我不能看到身份资源用户声明"kid1"，"kid2“与access_token？Q3：我可以看到只有API资源用户声明只包括在access_token中，身份令牌用户声明在请求用户终结点时被重新处理？

你能就Q1、Q2和Q3提出建议/澄清吗？

Answer 1

您可以在IdentityServer中的客户端配置中进行配置，如果声明应该包含在ID令牌中，或者它们应该与/UserInfo端点分开检索。

使用以下标志设置此值: AlwaysIncludeUserClaimsInIdToken = true/false；

只有添加到ApiScope和ApiResources中的ApiScope和ApiResources才会包含在访问令牌中。

在IdentityResource控件下添加的声明/作用域，最终在in /UserInfo端点中结束。