在WebApi中基于Owin OAuth使用授权发放Token

最新推荐文章于 2022-05-24 15:45:40 发布
最新推荐文章于 2022-05-24 15:45:40 发布
阅读量185 收藏
点赞数
原文链接:http://www.cnblogs.com/YamatAmain/p/5029466.html
版权

如何基于Microsoft.Owin.Security.OAuth,使用Client Credentials
Grant授权方式给客户端发放access token? Client Credentials
Grant的授权方式就是只验证客户端(Client),不验证用户(Resource Owner),只要客户端通过验证就发access
token。举一个对应的应用场景例子,比如我们想提供一个“获取网站首页最新博文列表”的WebAPI给客户端App调用。由于这个数据与用户无关,所以不涉及用户登录与授权,不需要Resource
Owner的参与。但我们不想任何人都可以调用这个WebAPI,所以要对客户端进行验证,而使用OAuth中的 Client
Credentials Grant 授权方式可以很好地解决这个问题。

在App_Start文件夹下新增ApplicationDbInitializer,代码如下:

public class ApplicationDbInitializer : DropCreateDatabaseIfModelChanges<ApplicationDbContext>
    {
        protected override void Seed(ApplicationDbContext context)
        {
            InitializeIdentityForEF(context);
            base.Seed(context);
        }

        //创建用户名为admin@123.com,密码为“Admin@123456”
        public static void InitializeIdentityForEF(ApplicationDbContext dbContext)
        {
            var userManager = HttpContext.Current.GetOwinContext().GetUserManager<ApplicationUserManager>();
            const string name = "admin@123.com";//用户名
            const string email = "admin@123.com";//邮箱
            const string password = "Admin@123456";//密码

            //如果没有admin@123.com用户则创建该用户
            var user = userManager.FindByName(name);
            if (user == null)
            {
                user = new ApplicationUser
                {
                    UserName = name,
                    Email = email
                };
                var result = userManager.Create(user, password);
                result = userManager.SetLockoutEnabled(user.Id, false);
            }

        }
    }

修改Model文件夹下的IdentityModels.cs,添加斜体部分代码,需添加命名空间:using System.Data.Entity;

public ApplicationDbContext()
            : base("DefaultConnection", throwIfV1Schema: false)
        {
            // 在第一次启动网站时初始化数据库添加管理员用户凭据到数据库
            Database.SetInitializer<ApplicationDbContext>(new ApplicationDbInitializer());
        }

我把WebApi的Controller放到一个新建的文件夹APIControllers中,TestController的View的js的测试代码

打开Startup.Auth.cs,以下代码是Oauth相关的配置代码

public partial class Startup
{
    public void ConfigureAuth(IAppBuilder app)
    {
        var OAuthOptions = new OAuthAuthorizationServerOptions
            {
                //获取Token的路径
                TokenEndpointPath = new PathString("/Token"),
                Provider = new ApplicationOAuthProvider(PublicClientId),
                AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
                //Token 过期时间,默认20分钟
                AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),                
                //在生产模式下设 AllowInsecureHttp = false
                AllowInsecureHttp = true
            };
        app.UseOAuthBearerTokens(OAuthOptions);
    }
}

使用Client Credentials Grant的授权方式( grant_type= client_credentials)获取 Access Token,并以这个 Token 调用与用户相关的 Web API。

我们需要修改部分代码,修改ValidateClientAuthentication()方法,继承实现GrantClientCredentials()方法。代码如下

public class ApplicationOAuthProvider : OAuthAuthorizationServerProvider
    {
        public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        {
            string clientId, clientSecret;
            context.TryGetBasicCredentials(out clientId, out clientSecret);
            if (clientId == "Mobile" && clientSecret == "Xiaomi")
            {
                context.Validated();
            }
            return Task.FromResult<object>(null);
        }

        public override Task GrantClientCredentials(OAuthGrantClientCredentialsContext context)
        {
            var oAuthIdentity = new ClaimsIdentity(context.Options.AuthenticationType);
            oAuthIdentity.AddClaim(new Claim(ClaimTypes.Name, "Xiaomi"));
            var ticket = new AuthenticationTicket(oAuthIdentity, new AuthenticationProperties());
            context.Validated(ticket);
            return base.GrantClientCredentials(context);
        }
    }

在 ValidateClientAuthentication() 方法中获取客户端的 client_id 与 client_secret 进行验证。在 GrantClientCredentials() 方法中对客户端进行授权,授了权就能发 access token 。这样,OAuth的ClientCredentials授权服务端代码就完成了。在ASP.NET Web API中启用OAuth的Access Token验证非常简单,只需在相应的Controller或Action加上[Authorize]标记,VS已生成部分代码,详细查看APIController文件夹下的ValuesController

下面我们在客户端调用一下,添加TestController,生成Index的View,然后在View中添加如下

$(function () {
            $("#clientCredentials").on("click", function () {
                GetClientCredentialsAccessToken();
            });
        });

        function GetClientCredentialsAccessToken() {
            $("#clientResult").html("Requesting");
            var clientId = "Mobile";
            var clientSecret = "Xiaomi";
            $.ajax({
                url: "/Token",
                type: "post",
                data: { "grant_type": "client_credentials" },
                dataType: "json",
                headers: {
                    "Authorization": "Basic " + Base64_Encode(clientId + ":" + clientSecret)
                },
                success: function (data) {
                    var accessToken = data.access_token;
                    GetValues(accessToken);
                }
            });
        }


        function GetValues(accessToken) {
            var html = "Token:" + accessToken + "<br/><br/>";
            $.ajax({
                url: "/api/Values",
                type: "get",
                dataType: "json",
                headers: {
                    "Authorization": "Bearer " + accessToken
                },
                success: function (values) {
                    for (var i = 0; i < values.length; i++) {
                        html += "values[" + i + "] :" + values[i] + "<br/>";
                    }
                    $("#clientResult").html(html);
                }
            });
        }
        function Base64_Encode(str) {
            var c1, c2, c3;
            var base64EncodeChars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
            var i = 0, len = str.length, string = '';

            while (i < len) {
                c1 = str.charCodeAt(i++) & 0xff;
                if (i === len) {
                    string += base64EncodeChars.charAt(c1 >> 2);
                    string += base64EncodeChars.charAt((c1 & 0x3) << 4);
                    string += "==";
                    break;
                }
                c2 = str.charCodeAt(i++);
                if (i === len) {
                    string += base64EncodeChars.charAt(c1 >> 2);
                    string += base64EncodeChars.charAt(((c1 & 0x3) << 4) | ((c2 & 0xF0) >> 4));
                    string += base64EncodeChars.charAt((c2 & 0xF) << 2);
                    string += "=";
                    break;
                }
                c3 = str.charCodeAt(i++);
                string += base64EncodeChars.charAt(c1 >> 2);
                string += base64EncodeChars.charAt(((c1 & 0x3) << 4) | ((c2 & 0xF0) >> 4));
                string += base64EncodeChars.charAt(((c2 & 0xF) << 2) | ((c3 & 0xC0) >> 6));
                string += base64EncodeChars.charAt(c3 & 0x3F);
            }
            return string;
        }

测试结果:

Token:4iIu7HProfJaxRiklsl-ORRO3hdyrsu50pQc1Eh2-Q5lSWK8UJgz6719ZaeeULhwkMPpEFYfk6QDOOMEyFqULULk65Sb0JY29wskyZyQhKJ3_P-eSVQ2PlbKbjH9ZcziAZsVOiNLp8CfUqL5qWUq8ggVAa8KRcnlJ1DIVWnEu0XvTEDZaLDpFqqj2Cex2CX7TmTgfs07RUBdx5_3WDavNA

Ps:
传递clientId与clientSecret有两种方式,上例使用BasicAuthentication,服务端使用TryGetBasicCredentials();另外一种方式是普通From的,把参数放到Ajax的data中,如:

{“clientId”: id ,” clientSecret”:”secret”, "grant_type":"client_credentials"}

对应服务端使用TryGetFormCredentials()获取clientId和clientSecret;

推荐使用Basic Authentication方式;

使用Resource Owner Password Credentials Grant 的授权方式( grant_type=password )获取 Access Token,并以这个 Token 调用与用户相关的 Web API。
Resource Owner Password Credentials Grant 授权方式(需要验证登录用户)

因为我们刚开始时已经初始化EF,添加了一个用户信息。ApplicationOAuthProvider.cs 的GrantResourceOwnerCredentials()方法(VS帮我们自动生成了),已经实现了先关的代码

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
        {
            //调用后台的登录服务验证用户名与密码

            var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
            ApplicationUser user = await userManager.FindAsync(context.UserName, context.Password);
            if (user == null)
            {
                context.SetError("invalid_grant", "用户名或密码不正确。");
                return;
            }
            ClaimsIdentity oAuthIdentity = await user.GenerateUserIdentityAsync(userManager, OAuthDefaults.AuthenticationType);
            ClaimsIdentity cookiesIdentity = await user.GenerateUserIdentityAsync(userManager, CookieAuthenticationDefaults.AuthenticationType);
            AuthenticationProperties properties = CreateProperties(user.UserName);
            AuthenticationTicket ticket = new AuthenticationTicket(oAuthIdentity, properties);
            context.Validated(ticket);
            context.Request.Context.Authentication.SignIn(cookiesIdentity);
        }

添加一个测试用的Controller

public class UsersController : ApiController
{
    [Authorize]
    public string GetCurrent()
    {
        return User.Identity.Name;
        //这里可以调用后台用户服务,获取用户相关数所,或者验证用户权限进行相应的操作
    }
}

在Test的index.cshtml 中新增测试的代码,如下

function GetResourceOwnerCredentialsAccessToken() {
            $("#resourceOwnerresult").html("Requesting");
            var clientId = "Mobile";
            var clientSecret = "Xiaomi";
            $.ajax({
                url: "/Token",
                type: "post",
                data: {
                    "grant_type": "password",
                    "username": "admin@123.com",
                    "password": "Admin@123456"
                },
                dataType: "json",
                headers: {
                    "Authorization": "Basic " + Base64_Encode(clientId + ":" + clientSecret)
                },
                success: function (data) {
                    var accessToken = data.access_token;
                    GetCurrentUserName(accessToken);
                }
            });
        }

        function GetCurrentUserName(accessToken) {
            var html = "Token:" + accessToken + "<br/><br/>";
            $.ajax({
                url: "/api/User",
                type: "get",
                dataType: "text",
                headers: {
                    "Authorization": "Bearer " + accessToken
                },
                success: function (userName) {
                    html += "CurrentUserName:" + userName + "<br/>";
                    $("#resourceOwnerresult").html(html);
                }
            });
        }

测试结果如下

Token:Cvct6BAKix_xLNEEOfidpEG0ymJihOSjdACazP2R2tJSB3TKVnxicgQK27DzDrICUC4A7vITqhkhBRsT5cRgiow--VkbiR4we3yQ54tc6B_W8KRrdGabjase_gpmFv8oYUPGLpI82acDpcZPzCkmgLLwAq8qfkmlK7iHm5tLM6-NRR8tgfEeOVBljHq4smIXw_eVuces3sRQm-PXTD4xmp05JdrJ9zFeRb_SAN0ADqDJfJxk1nNooCtdJyeHB6r1S2D81H6P7bhRK_edneWdkX5QCNBHL8b39UKnnk0ywza6vXcWct4RaATBYOw20iNu0XR6JRx5opP9vqqC2ag8Ux6s3GHl-vAZTaYuwunmWyY0FyJJWpjNnFpPo-pkxZaK1XJxgGPpSV-JJjEZLarnq9O57hQGfbVLCd3KtWuJflo5rMnfkAz2nXlcd3gAgjIhipAIlpsG72StzN0qBL8Ml2XvV9Re1Z8U4QtrE7tzjkE

CurrentUserName:"admin@123.com"

至此,使用WebApi 的两种授权方式发放Token和两种授权方式区别,以及使用Token调用受保护的api已经介绍完了,Oauth其实还有一个refresh token,refresh token 是专用于刷新 access token 的 token。一是因为 access token 是有过期时间的,到了过期时间这个 access token 就失效,需要刷新;二是因为一个 access token 会关联一定的用户权限,如果用户授权更改了,这个 access token 需要被刷新以关联新的权限。
这个就不单独介绍了,有兴趣的可以自己研究下。

Asp.Net 高级技术群 89336052,群共享有源码

感谢:晨风的指导和教育,提供demo和文章,我只是一个发布文章的战五渣!

转载于:https://www.cnblogs.com/YamatAmain/p/5029466.html

deutf64824
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Microsoft.Owin.Security.OAuth实现OAuth 2.0所有应用场景,可集成单点登录功能
05-31
基于Microsoft.Owin.Security.OAuth实现OAuth 2.0所有应用场景,可集成单点登录功能
【7】.net WebAPI Owin OAuth 2.0 密码模式验证实例
chen_peng7的博客
03-22 4670
1.OAuth密码模式 2.在VS创建WebAPI项目 在nuget安装: Microsoft.AspNet.WebApi.Owin Microsoft.Owin.Host.SystemWeb 这两个类库并添加Owin启动类Startup using System; using System.Threading.Tasks; using Micr
WebAPI IdentityServer4身份验证及客户端访问实现
weixin_30314813的博客
04-20 491
WebAPI IdentityServer4身份验证及客户端访问实现 根据博客园solenovex的《使用Identity Server 4建立Authorization Server》系列,老菜测试Asp.Net Core 2.0 WebAPI及IdentityServer4身份验证 ,并实现客户端访问。 1、 打开...
基于OWIN WebAPI 使用OAuth授权服务【客户端模式(Client Credentials Grant)】
weixin_33860147的博客
06-29 337
适应范围 采用Client Credentials方式,即应用公钥、密钥方式获取Access Token,适用于任何类型应用,但通过它所获取的Access Token只能用于访问与用户无关的Open API,并且需要开发者提前向开放平台申请,成功对接后方能使用。认证服务器不提供像用户数据这样的重要资源,仅仅是有限的只读资源或者一些开放的 API。例如使用了第三方的静态文件服务,如Google S...
在ASP.NET基于Owin OAuth使用Client Credentials Grant授权发放Token
weixin_30746117的博客
06-03 235
Client Credentials Grant授权方式就是只验证客户端(Client),不验证用户(Resource Owner),只要客户端通过验证就发access token。 举一个对应的应用场景例子,比如我们想提供一个“获取网站首页最新博文列表”的WebAPI给iOS App调用。 由于这个数据与用户无关,所以不涉及用户登录与授权,不需要Resource Owner的参与...
1.基于Microsoft.Owin.Security.OAuth实现OAuth 2.0所有应用场景,可集成单点登录功能
zking_sa的博客
05-24 937
学习目标: 提示:OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。 例如: 用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。 来自RFC 6749 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意 以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 2. OAuth2的角色: 提示: 1. 资源所有者 能够授予对受保护资源的访问权限的实体,如果资源的所有者为.
webapi基于Microsoft.Owin.Security.OAuthOAuth实现
马立弘
12-04 4943
webapi基于Microsoft.Owin.Security.OAuthOAuth实现一、在ASP.NET基于Owin OAuth使用Client Credentials Grant授权发放Token和调用webapi建一个Web API项目 打开Startup.Auth.cs ,精简一下代码,我们只需要实现Client Credentials Grant授权方式拿到token,其它无关代码
c# Microsoft.Owin.Security.OAuth 验证获取Token用户的信息.txt
01-03
c# WebApi Owin 适用Microsoft.Owin.Security.OAuth Authorize - 特性验证
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口,api使用oauth2.0权限控制,调用接口需要进行token获取认证、
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
webapi基于Owin间件的oauth2.0身份认证
10-07
基于Owin间件的OAuth2.0身份认证,文章位置https://blog.csdn.net/u013938578/article/details/82956188
TokenBasedAuth:ASP.NET Owin OAuth 不记名令牌 WebApi
07-07
#ASP.NET Owin OAuth 不记名令牌 WebApi 展示如何创建单独的 WebAPI,这些 WebAPI 使用 OAuth 不记名令牌进行身份验证。 此示例使用 ASP.NET Identity 和最小的 AccountController 来注册用户。 并公开令牌端点以...
WebApiBearerToken:Web Api 自托管 + Owin + Bearer Token
06-14
Web Api 2 Self Host + OWIN 和 Bearer Token 认证 用于理解 web.api 2 self host + OWIN + Bearer Token Authentication 的 Bearbone 实现。 重要的是了解如何生成声明(在 Token 硬编码)以及如何读取客户端将...
ASP.NET WEB API2+Owin+AngularJS实现Token验证
03-03
基于ASP.NET WEB API2,Owin和ASP.NET Identity的Token令牌验证,允许刷新令牌Refresh Token,并且实现认证服务和资源服务分离
node-v12.20.1-sunos-x64.tar.xz
最新发布
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Springboot+Vue的乡政府管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
一名合格的程序猿修炼手册.md
04-27
一名合格的程序猿修炼手册.
5MHz 函数发生器使用说明书
04-27
5MHz 函数发生器使用说明书
99- 矿山工业互联网平台解决方案.pptx
04-27
99- 矿山工业互联网平台解决方案.pptx
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件配置 Web API 路由: ```csharp public static void Register...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值