OpenIddict 4.x ID2043 — Можно ли поддерживать динамический поддомен клиента redirect_uri? - Цифровое Кемерово

OpenIddict 4.x ID2043 — Можно ли поддерживать динамический поддомен клиента redirect_uri? ⇐ C#

Ответить

1 сообщение • Страница 1 из 1

Anonymous

OpenIddict 4.x ID2043 — Можно ли поддерживать динамический поддомен клиента redirect_uri?

Цитата

Сообщение Anonymous » 19 дек 2025, 09:22

Я использую OpenIddict 4.x с ASP.NET Core и кодом авторизации + потоком PKCE для SPA.
Я хочу поддерживать мультитенантные поддомены, где каждый арендатор имеет свой собственный внешний хост, например:

Код: Выделить всё

https://tenant1.localhost:58602/auth/callback
https://tenant2.localhost:58602/auth/callback

Запрос на авторизацию выглядит так:

Код: Выделить всё

/connect/authorize?
client_id=rf-office
&redirect_uri=https://test.localhost:58602/auth/callback
&response_type=code
&scope=openid profile email api
&code_challenge=...
&code_challenge_method=S256

Клиент (

Код: Выделить всё

rf-office

) имеет зарегистрированные URI перенаправления, но только канонические, например:

Код: Выделить всё

desc.RedirectUris.Add(new Uri("https://localhost:58602/auth/callback"));

Я попытался разрешить поддомены клиентов динамически с помощью специального обработчика событий сервера:

Код: Выделить всё

o.AddEventHandler(builder =>
builder.UseScopedHandler()
.SetOrder(int.MinValue));

Код: Выделить всё

public class TenantRedirectUriValidator
: IOpenIddictServerHandler
{
public ValueTask HandleAsync(ValidateAuthorizationRequestContext context)
{
if (string.IsNullOrEmpty(context.RedirectUri))
return default;

var pattern =
@"^https?:\/\/([a-z0-9-]+\.)*(localhost|reactiveform\.com)(:[0-9]+)?\/auth\/callback$";

if (Regex.IsMatch(context.RedirectUri, pattern, RegexOptions.IgnoreCase))
{
context.SetRedirectUri(context.RedirectUri);
}

return default;
}
}

Однако запрос всегда отклоняется с помощью:

Код: Выделить всё

error: invalid_request
error_description: The specified 'redirect_uri' is not valid for this client application.
error_uri: https://documentation.openiddict.com/errors/ID2043

При проверке источника OpenIddict это выглядит следующим образом:

ID2043 выдается до того, как пользовательская логика проверки сможет одобрить URI.
Эквивалент DisableRedirectUriValidation отсутствует.
SetRedirectUri() не помечает URI как доверенный, он только назначает его

Возможно ли в OpenIddict 4.x поддерживать подстановочные знаки или URI динамического перенаправления (например, субдомены арендатора) или единственным поддерживаемым подходом является использование фиксированных, явно зарегистрированных URI перенаправления для каждого клиента?
Если URI динамического перенаправления намеренно не поддерживаются, какова рекомендуемая архитектура для многопользовательских SPA, которые хотите домены, специфичные для арендаторов?

Подробнее здесь: https://stackoverflow.com/questions/798 ... main-redir

1766125352

Anonymous

Я использую OpenIddict 4.x с ASP.NET Core и кодом авторизации + потоком PKCE для SPA.
Я хочу поддерживать мультитенантные поддомены, где каждый арендатор имеет свой собственный внешний хост, например:
[code]https://tenant1.localhost:58602/auth/callback
https://tenant2.localhost:58602/auth/callback
[/code]
Запрос на авторизацию выглядит так:
[code]/connect/authorize?
client_id=rf-office
&redirect_uri=https://test.localhost:58602/auth/callback
&response_type=code
&scope=openid profile email api
&code_challenge=...
&code_challenge_method=S256
[/code]
Клиент ([code]rf-office[/code]) [b]имеет зарегистрированные URI перенаправления[/b], но только канонические, например:
[code]desc.RedirectUris.Add(new Uri("https://localhost:58602/auth/callback"));
[/code]
Я попытался разрешить поддомены клиентов динамически с помощью специального обработчика событий сервера:
[code]o.AddEventHandler(builder =>
builder.UseScopedHandler()
.SetOrder(int.MinValue));
[/code]
[code]
public class TenantRedirectUriValidator
: IOpenIddictServerHandler
{
public ValueTask HandleAsync(ValidateAuthorizationRequestContext context)
{
if (string.IsNullOrEmpty(context.RedirectUri))
return default;

var pattern =
@"^https?:\/\/([a-z0-9-]+\.)*(localhost|reactiveform\.com)(:[0-9]+)?\/auth\/callback$";

if (Regex.IsMatch(context.RedirectUri, pattern, RegexOptions.IgnoreCase))
{
context.SetRedirectUri(context.RedirectUri);
}

return default;
}
}
[/code]
Однако запрос всегда отклоняется с помощью:
[code]error: invalid_request
error_description: The specified 'redirect_uri' is not valid for this client application.
error_uri: https://documentation.openiddict.com/errors/ID2043
[/code]
При проверке источника OpenIddict это выглядит следующим образом:
[list]
[*]ID2043 выдается до того, как пользовательская логика проверки сможет одобрить URI.

[*]Эквивалент DisableRedirectUriValidation отсутствует.

[*]SetRedirectUri() не помечает URI как доверенный, он только назначает его

[/list]
Возможно ли в OpenIddict 4.x поддерживать подстановочные знаки или URI динамического перенаправления (например, субдомены арендатора) или единственным поддерживаемым подходом является использование фиксированных, явно зарегистрированных URI перенаправления для каждого клиента?
Если URI динамического перенаправления намеренно не поддерживаются, какова рекомендуемая архитектура для многопользовательских SPA, которые хотите домены, специфичные для арендаторов? 

Подробнее здесь: [url]https://stackoverflow.com/questions/79850857/openiddict-4-x-id2043-is-it-possible-to-support-dynamic-tenant-subdomain-redir[/url]

Ответить

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Вернуться в «C#»