C# OpenIddict使用方法 C#如何自建OAuth 2.0授权服务器

openiddict 4.x 必须搭配 asp.net core identity，因其仅负责 oauth 2.1/oidc 协议层，不提供用户存储与认证逻辑，启动时若未注册 usermanager\ 将抛出 invalidoperationexception。

OpenIddict 4.x 为什么必须搭配 ASP.NET Core Identity？

OpenIddict 4.x 不再提供内置用户存储，它只负责协议层（OAuth 2.1 / OIDC），不处理“谁是谁”“密码怎么验”。如果你跳过 IdentityUser 和 UserManager<tuser></tuser>，启动时会直接报 InvalidOperationException: No service for type 'Microsoft.AspNetCore.Identity.UserManager`1[...]' has been registered.。

实操建议：

如此AI员工

国内首个全链路营销获客AI Agent

下载

• 必须安装 Microsoft.AspNetCore.Identity.EntityFrameworkCore 和对应数据库 provider（如 Pomelo.EntityFrameworkCore.MySql）
• 定义继承 IdentityUser 的用户类，例如 ApplicationUser : IdentityUser
• 在 Program.cs 中调用 services.AddIdentityCore<applicationuser>()</applicationuser> + .AddEntityFrameworkStores<applicationdbcontext>()</applicationdbcontext>，再链式调用 AddOpenIddict()
• 别试图用自定义仓储替代 Identity —— OpenIddict 4.x 的 ValidateAsync 等扩展点仍依赖 UserManager 实例

AuthorizationController 里如何正确返回 authorization code？

很多人卡在授权码流程的 /connect/authorize 端点：明明参数都对，却始终跳转回 client 的 redirect_uri 带 error=access_denied。根本原因是 OpenIddict 默认拒绝未显式授权的请求，且不自动创建授权码。

实操建议：

• 在 AuthorizationController.Authorize() 方法中，必须手动调用 await _signInManager.SignInAsync(user, isPersistent: false)（否则 User.Identity.IsAuthenticated 为 false）
• 接着调用 return View(await ProcessAuthorizeRequestAsync(returnUrl))，其中 ProcessAuthorizeRequestAsync 要检查 request.IsAuthorizationCodeFlow() 并返回 SignInResult 或 ForbidResult
• 关键一步：在 Program.cs 配置 OpenIddict 时，确保启用 options.AllowAuthorizationCodeFlow()，并设置 options.SetAccessTokenLifetime(TimeSpan.FromMinutes(60))（否则 token 生成失败）
• 前端发起授权请求时，response_type=code 必须小写，且 scope 至少包含 openid（OIDC 必需）

TokenEndpoint 返回 invalid_client 是哪几个配置没对？

POST /connect/token 返回 {"error":"invalid_client"} 是最常被误判的问题 —— 它不一定代表 client_id 错了，更可能是 client_secret 校验、重定向 URI 匹配或 client 类型不匹配导致的。

实操建议：

• 检查数据库中 OpenIddictApplications 表的 ClientId 和 ClientSecret（注意：secret 是明文存的，不是哈希值；若用 SetClientSecretHash 则必须用 SHA256 哈希后存）
• 确认 RedirectUris 字段是 JSON 数组格式，例如 ["https://localhost:5173/callback"]，不能是字符串或带空格
• 如果 client 是 SPA（如 Vue/React），必须设 ClientType = Public，且禁用 client_secret 校验：options.DisableClientSecretValidation()
• 调用 /connect/token 时，Content-Type 必须是 application/x-www-form-urlencoded，且 body 中 client_id、client_secret（若需要）、code、redirect_uri、grant_type=authorization_code 全部传齐，缺一不可

为什么 /connect/userinfo 总是 401？

即使 access_token 能成功换取，调用 /connect/userinfo 却返回 401 Unauthorized，通常不是 token 过期，而是认证方案没对上。

实操建议：

• 确保在 Program.cs 中注册了 JWT Bearer 认证，并命名为 OpenIddict.Validation.AspNetCore：services.AddAuthentication().AddJwtBearer(options => { options.Authority = "https://yourdomain.com"; options.Audience = "resource_server"; })
• 但 OpenIddict 自身的 userinfo endpoint 默认使用 OpenIddict.Server.AspNetCore 方案，所以必须显式配置：options.UseAspNetCore().EnableTokenEndpointPassthrough()，否则中间件不会把请求交给 OpenIddict 处理
• 检查 token 是否含 scope（如 profile），因为 OpenIddict 默认只返回 scope 允许的字段；若要返回 email，需在授权请求中带上 scope=openid profile email，并在 ConfigureServices 中调用 options.RegisterScopes(OpenIddictConstants.Scopes.Email)
• 别忘了在 UserInfoController 的 action 上加 [Authorize(AuthenticationSchemes = OpenIddictServerAspNetCoreDefaults.AuthenticationScheme)]