具有双因素身份验证的OpenIddict

Question

这个标题几乎解释了一切，但我想做的是：

我正在开发一个ASP.NET核心1.0应用程序，该应用程序需要支持使用JWT进行身份验证。使用OpenIddict很容易做到这一点，但是OpenIddict是那些“在后台神奇地工作”的框架之一。

我希望保持OpenIddict的简单性，但通过使用Identity和它的双因素身份验证功能来改变它的默认行为，而不是只使用用户名/密码登录。

我还没有找到向OpenIddict提供自定义登录管理器的方法。有人在这方面有经验吗？

Answer 1

使用OpenIddict很容易做到这一点，但是OpenIddict是那些“在后台神奇地工作”的框架之一。

是的，因为它是为那些不知道OAuth2或OpenID连接是如何工作的人设计的，这就是为什么大多数协议细节是故意隐藏的(因此，处理OIDC请求/响应的类是故意不可替换的)。

我希望保持OpenIddict的简单性，但通过使用Identity和它的双因素身份验证功能来改变它的默认行为，而不是只使用用户名/密码登录。

如果您觉得很容易，我想您使用的是一堆博客文章(例如http://capesean.co.za/blog/asp-net-5-jwt-tokens/或http://kerryritter.com/authorizing-your-net-core-mvc6-api-requests-with-openiddict-and-identity/)中演示的“资源所有者密码凭据授予”。

不幸的是，这个(简单的) OAuth2授权与2因素身份验证不兼容。

相反，我建议切换到一个交互流，比如隐式或授权代码，这将允许您支持这个场景(因为在本例中您负责登录部分)。

有关更多信息，您可以查看这个样本。它只是依赖于登录步骤的默认VS模板附带的AccountController，并包括一个处理授权部分的特殊AuthorizationController。

2-FA是由AccountController本机支持的，所以您不应该在应用程序中实现任何功能。