я очень рад, что IdentityServer4 существует и делает жизнь, связанную с аутентификацией, намного проще во многих отношениях, я наткнулся на проблему и многочисленные дискуссии о добавлении ролей в заявки в сообществе.

Мои требования просты:

Я разрабатываю приложения (формы xamarin), которые требуют аутентификации и авторизацииМне нужна система для хранения личности моих пользователей (имя, pwd, роли, телефон ...) -> ASP.net IdentityМне нужна система для аутентификации моих пользователей -> IdentityServer 4Роли на пользователя очень ограничены (пользователь / администратор) и не меняютсяМне нужен API-интерфейс и сайт администратора MVC (ядро asp.net)Я хочу ограничить доступ к некоторым контроллерам API / MVC, используя [Authorize (Roles = "Admin")]

Я потратил бесчисленные часы, пробуя разные конфигурации, чтобы получить роли удостоверения asp.net для передачи моему приложению MVC после проверки подлинности, но безуспешно. Цель как описано в пункте 6.

Я также провел бесчисленные часы за чтением, но у меня есть ощущение, что реализация IdentityServer4.AspIdentity относительно ролей сильно изменилась с версии v1.0.0.

Прочитав много об этом, остается неясным, как на самом деле реализовать это, поскольку кажется, что некоторые решения, описанные только 2 месяца назад, больше не действуют.

Итак, на данный момент я считаю, что есть 2 пути:

Роль в токене идентификации, запрашивая только токен идентификации и используя AlwaysIncludeInIdToken?Пусть клиент извлекает роли с помощью конечной точки userinfo и каким-то образом вставляет их в httpcontext (?), Что позволяет mvc проверять, используя [Authorize (Roles = "Admin")]?

Во всяком случае, это мои предположения.

Итак, пожалуйста, помогите и объясните / документально подробно, чтобы мы могли начать реализовывать это на долгосрочной основе? Некоторые работающие примеры были бы также хороши.