原文：https://leastprivilege.com/2017/11/15/missing-claims-in-the-asp-net-core-2-openid-connect-handler/
发布于：2017年11月
环境：ASP.NET Core 2.0

通过OIDC provider 把Claims映射到ClaimsPrincipal这一步骤，在ASP.NET Core 2中新的OpenID Connect handler具有不同的行为。
这是特别令人困惑和难以诊断的，因为这里有几个部件聚集在一起。我们来看一下。
您可以使用我的示例OIDC客户端来观察到相同的结果。

将标准claim类型映射到Microsoft专有claim类型

一件令人烦恼的事情是微软仍然认为他们知道什么是最适合你的，将OIDC标准声明映射到其专有声明。
可以通过清除Microsoft JWT令牌处理程序上的入站声明类型映射来优雅地修复：

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

基本的OpenId Connect授权请求

接下来，让我们从客户端请求openid scope的场景开始。
首先令人困惑的是Microsoft使用openid和profile scope预先在OpenIdConnectOptions上填充了Scope集合。这意味着如果你只想请求openid，你首先需要清除Scope集合，然后手动添加openid。

services.AddAuthentication(options =>
{
    options.DefaultScheme = "Cookies";
    options.DefaultChallengeScheme = "oidc";
})
    .AddCookie("Cookies", options =>
    {
        options.AccessDeniedPath = "/account/denied";
    })
    .AddOpenIdConnect("oidc", options =>
    {
        options.Authority = "https://demo.identityserver.io";
        options.ClientId = "server.hybrid";
        options.ClientSecret = "secret";
        options.ResponseType = "code id_token";
 
        options.SaveTokens = true;
                    
        options.Scope.Clear();
        options.Scope.Add("openid");
                    
        options.TokenValidationParameters = new TokenValidationParameters
        {
            NameClaimType = "name", 
            RoleClaimType = "role"
        };
    });

使用ASP.NET Core v1处理程序，将返回以下声明：nbf，exp，iss，aud，nonce，iat，c_hash，sid，sub，auth_time，idp，amr。

在V2中我们只能得到sid，sub和idp。发生了什么？

微软在其OpenID Connect handler中添加了一个名为ClaimActions的新概念。Claim actions用来实现自外部provider的claim如何映射（或不）到您的ClaimsPrincipal中的claim。查看OpenIdConnectOptions的构造函数，您可以看到，处理程序现在默认会跳过以下声明：

ClaimActions.DeleteClaim("nonce");
ClaimActions.DeleteClaim("aud");
ClaimActions.DeleteClaim("azp");
ClaimActions.DeleteClaim("acr");
ClaimActions.DeleteClaim("amr");
ClaimActions.DeleteClaim("iss");
ClaimActions.DeleteClaim("iat");
ClaimActions.DeleteClaim("nbf");
ClaimActions.DeleteClaim("exp");
ClaimActions.DeleteClaim("at_hash");
ClaimActions.DeleteClaim("c_hash");
ClaimActions.DeleteClaim("auth_time");
ClaimActions.DeleteClaim("ipaddr");
ClaimActions.DeleteClaim("platf");
ClaimActions.DeleteClaim("ver");

如果您想“取消”跳过某项声明，则需要在设置handler时删除特定声明。以下是获取amr声明的非常直观的语法：

options.ClaimActions.Remove("amr");

从OIDC provider请求更多的Claim

当你要求更多的范围时，例如个人资料或自定义范围导致更多索赔，还有另一个令人困惑的细节需要注意。
根据OIDC协议中的response_type，某些声明通过id_token进行传输，有些通过userinfo端点进行传输。我在这里写了关于此细节的文章。
因此，首先您需要在处理程序中启用对userinfo端点的支持：

options.GetClaimsFromUserInfoEndpoint = true;

如果声明由userinfo返回，ClaimsActions将用于从返回的JSON文档映射claim到principal。这里使用以下默认设置：

ClaimActions.MapUniqueJsonKey("sub", "sub");
ClaimActions.MapUniqueJsonKey("name", "name");
ClaimActions.MapUniqueJsonKey("given_name", "given_name");
ClaimActions.MapUniqueJsonKey("f