详解.NET实现OAuth2.0四种模式(2)密码模式

最新推荐文章于 2024-05-15 03:25:41 发布
最新推荐文章于 2024-05-15 03:25:41 发布
阅读量2.4k 收藏 11
点赞数
分类专栏: ASP.NET 文章标签: .NET OAuth ASP.NET 密码模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lweiyue/article/details/107455710
版权

一、密码模式的认证流程

密码模式是比较简单的一种模式,其认证流程如下图所示:

二、受限资源设计

OAuth2.0设计的目的是限制某些资源的访问,用户必须认证通过之后才能访问。我们在项目中加入一个简单的Controller,作为资源示例。

右击项目,添加一个Web API控制器类(v2.1),如下图所示:

我们把这个类命名为ValuesController,在这个类中只添加一个函数:

public IHttpActionResult Get()
{
    return Ok(new string[] { "value1", "value2" });
}

完成编译之后,我们可以在Postman中访问这个资源:

显然,这个资源并没有受到保护,任何人不经过授权都可以访问。如果要让这个资源在授权之后才能访问,做法非常简单,就是在函数的头上加上[Authorize]:

[Authorize]
public IHttpActionResult Get()
{
    return Ok(new string[] { "value1", "value2" });
}

这时候,如果我们再去访问这个资源时,将会被拒绝:

如果要想访问此资源,我们就需要通过认证。

三、密码模式实现

首先,在项目中加入一个名为Startup的类,其代码如下所示:

[assembly: OwinStartup(typeof(PasswordMode.Startup))]//让整个网站的入口为Startup这个类
namespace PasswordMode
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            //配置OAuth
            ConfigureOAuth(app);

            //配置网站路由等信息
            HttpConfiguration config = new HttpConfiguration();
            Register(config);

            //允许跨域访问
            app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

            app.UseWebApi(config);
        }

        private void ConfigureOAuth(IAppBuilder app)
        {
            OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
            {
                AllowInsecureHttp = true,//允许http而非https访问
                TokenEndpointPath = new PathString("/token"),//访问host/token获取AccessToken
                AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30),//AccessToken在30分钟后过期
                Provider = new AuthorizationServerProvider()//AccessToken的提供类
            };

            app.UseOAuthAuthorizationServer(OAuthServerOptions);
            app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());

        }

        private static void Register(HttpConfiguration config)
        {
            config.MapHttpAttributeRoutes();

            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );

            var jsonFormatter = config.Formatters.OfType<JsonMediaTypeFormatter>().First();
            jsonFormatter.SerializerSettings.ContractResolver = new CamelCasePropertyNamesContractResolver();
        }
    }
}

代码中的注释应该已经比较清楚。由于这个项目是一个空项目,没有加入任何API或MVC的特性,所以我们在Register函数中注册了这些属性。ConfigureOAuth函数是对OAuth2.0协议的配置,如果使用密码模式,就是按照上面代码中的配置。用户只需要输入用户名、密码,然后访问host/token这个地址,即可获取AccessToken。

下面是AuthorizationServerProvider类的实现代码:

public class AuthorizationServerProvider : OAuthAuthorizationServerProvider
{
    public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
    {
        context.Validated();
    }

    public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {
        //允许跨域访问
        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

        //获取用户传入的用户名和密码
        string UserName = context.UserName;
        string Password = context.Password;

        //通过查数据库,判断用户名和密码是否正确
        //以下只是一个示例,用户名必须以test开头
        if (!UserName.StartsWith("test"))
        {
            context.SetError("invalid_grant", "用户名或密码不正确");
            return;
        }

        //以下即为认证成功

        //通过查数据库,得到一些用户的信息
        int userid = 13;
        string role = "管理员";
        string scope = "权限1,权限2";

        var identity = new ClaimsIdentity(context.Options.AuthenticationType);
        identity.AddClaim(new Claim("userid", userid.ToString()));
        identity.AddClaim(new Claim("role", role));
        identity.AddClaim(new Claim("scope", scope));

        context.Validated(identity);

    }
}

我们先在上下文中获取用户名和密码,然后一般通过查数据库,判断此用户名和密码是否正确。如果不正确,认证就失败了。如果正确,我们可以查数据库,获取用户的角色、权限范围等信息。

完成上述代码的编写后,密码模式就完成了。(是不是很简单)

我们用Postman测试:

在返回结果中,我们看到了access_token,把它复制出来,用在资源的访问上:

四、部分访问限制

我们在上述的代码中可以发现,当我们拿到AccessToken之后,所有标注[Authorize]的资源都可以访问了。但实际上,我们的资源限制会更复制一些。例如我们只允许管理员身份的用户去访问,或者只允许某个时间之前注册的用户,或者像微信登录时询问的,获取昵称的权限、获取头像的权限等等。对于这种需求,我们可以在资源函数中进行处理。

首先,我们在认证通过时,通过查数据库,得到了一些用户的属性:

//通过查数据库,得到一些用户的信息
int userid = 13;
string role = "管理员";
string scope = "权限1,权限2";

var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim("userid", userid.ToString()));
identity.AddClaim(new Claim("role", role));
identity.AddClaim(new Claim("scope", scope));

我们可以在资源函数中根据这些属性进行判断,是否允许用户继续访问。例如我们的资源函数可以改成这样:

public IHttpActionResult Get()
{
    string userid = "";
    string role = "";
    string scope = "";
    foreach (Claim c in (this.User.Identity as ClaimsIdentity).Claims)
    {
        switch (c.Type)
        {
            case "userid":
                userid = c.Value;
                break;
            case "role":
                role = c.Value;
                break;
            case "scope":
                scope = c.Value;
                break;
        }
    }

    if (userid != "13" || role != "管理员" || !scope.Contains("权限1"))
    {
        return Unauthorized();
    }

    return Ok(new string[] { "value1", "value2" });
}

这样的话,只有用户ID为13,并且角色为管理员,同时又具有权限1这个访问权限的用户,才能正常地获取资源。

还是叫明
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET WebApi 如何使用 OAuth2.0 认证
yangshuquan的专栏
05-11 1192
OAuth2.0 和 JWT 在使用 Token 进行身份验证时有相似之处,如果只是拿来用于颁布 Token 的话,二者没区别,如本例,但实际上它们是完全不同的两种东西,OAuth2.0 是授权认证的框架,JWT 则是认证验证的方式方法(轻量级概念)。OAuth2.0 更多用在使用第三方账号登录的情况(比如使用 weibo,qq,github 等登录某个 app)其优势在于可以实现用户授权而无需透露密码,同时提供了更安全和灵活的授权机制,更好地保护用户数据和系统安全。
JWT自定义授权服务商-OAuthAuthorizationServerProvider
weixin_34056162的博客
03-26 631
2019独角兽企业重金招聘Python工程师标准>>> ...
阿里出品的Spring-Security神仙级教程(思维导图+源代码+笔记+项目)
最新发布
2401_84584873的博客
05-15 895
由于篇幅限制,小编在此截出几张知识讲解的图解本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**需要这份系统化的资料的朋友,可以点击这里获取。
使用.Net代码对接阿里的OAuth 2.0接口(创建账户举例)
weixin_48449171的博客
08-08 122
var jsonContent =@"根据官方文档提供json拼接";var accessToken ="你获取的token";// JSON字符串。首先获取到对应的Token信息 可参照以下链接。
NET Core中JWT+OAuth2.0实现SSO,附完整源码(.NET6)
xwnxwn的专栏
10-15 1560
https://www.cnblogs.com/wei325/p/16316004.html
使用Owin中间件搭建OAuth2.0认证授权服务器
热门推荐
ejinxian的专栏
08-06 1万+
前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验。至于为何需要OAuth2.0、为何是Owin、什么是Owin等问题,不再赘述。我假定读者是使用Asp.Net,并需要搭建OAuth2.0服务器,对于涉及的Asp.Net Identity(Claims Based Authentication)、Owin、OAuth2.0等知识点已有基本了解。若不了解,请先参考以下文章:
C# 网络编程之豆瓣OAuth2.0认证API开发详解实现(源码)
05-25
该资源参考博客:http://blog.csdn.net/eastmount/article/details/26872793主要介绍豆瓣API开发过程中如何通过OAuth2.0认证授权访问用户自己信息的.豆瓣API的资源较少,有的基本是php和java的,所以想通过该资源讲述C#...
.Net WebAPi JWT身份验证
11-07
在WebAPI的Startup.cs文件中,我们配置OAuth2.0授权服务器和JWTBearer验证提供者。这里,我们定义一个颁发者(issuer)、一个秘密(secret key)和一些有效时间(expiration time)。认证中间件会在每次请求时检查...
.net Web Api使用详解(全部实例讲解,可直接运行看效果)
04-02
- Web API支持OAuth 2.0,用于提供安全的身份验证和授权。 - 可以使用`OAuthAuthorizationServerProvider`和`OAuthBearerAuthenticationProvider`自定义授权逻辑。 11. **部署与性能优化** - 部署到IIS服务器,...
MVC5 ASP.net
01-08
1. **身份认证和授权**:ASP.NET MVC 5内置了身份认证和授权机制,支持OAuth 2.0和OpenID Connect,可以轻松集成第三方登录服务如Facebook、Google等。 2. **Entity Framework**:MVC5默认集成了Entity Framework 6...
基于ASP.NET的邮件收发系统
03-24
- **身份验证**:为了保护用户的邮箱安全,系统需要进行有效的身份验证,可能包括用户名和密码验证,以及使用OAuth 2.0等安全认证方式。 - **邮件过滤**:防止垃圾邮件和病毒,可以通过邮件内容的过滤算法,如SPF...
C# oauth2客户端调用
lgzh_33的博客
01-05 545
C# oauth2 客户端调用
两台服务器身份验证,OAuth 2 从入门到精通(一) - 身份认证服务器
weixin_29593445的博客
07-31 485
前言创建认证服务新建WebAPI项目Framework 4.6,新建ASP.NET应用程序,选择“Empty”,“Web API”,“No Authentication”。引入Nuget包管理使用Nuget包管理器安装用于Owin服务器的类库,打开Nuget Package Manger控制台,使用如下命令安装:Install-Package Microsoft.AspNet.WebApi.Owi...
加密与授权 Oauth2.0
ys.hubery
01-05 4980
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权码(authorization-code 隐藏式(implicit) 密码式(password) 客户端凭证(client credentials) ...
详解.NET实现OAuth2.0四种模式(4)授权码模式
lweiyue的专栏
07-20 2064
一、授权码模式认证流程 授权码模式是最为安全,同时也最为复杂的一种模式。其认证流程如下图所示: 可能有的人会问,为什么要多出授权码这个东西呢,没有它不行吗?(我自己一开始也有这个疑问)确实是不行,我们来看一下。 我们拿“同城交友”APP微信登录这个例子来解释。首先,用户名、密码就是我们的微信号和密码,我们是不能交给“同城交友”这个APP的。所以,我们在微信官方的登录页上完成了微信号和密码的输入(当然,也可能是手机扫一扫)。完成之后,我们能不能直接把AccessToken交给APP去访问资源呢?还不
.net core基于Oauth2+jwt两种方式实现身份认证(附单点登录)
Roy的博客
11-04 6899
服务端接口授权多种实现方式以及扩展
OAuth 2.0 详细介绍
程序猿踩坑集锦
09-05 5250
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲...
ASP.NET Core实现OAuth2.0AuthorizationCode模式
学习程序好榜样的博客
03-15 1万+
ASP.NET Core实现OAuth2的AuthorizationCode模式 授权服务器 Program.cs --> Main方法中:需要调用UseUrls设置IdentityServer4授权服务的IP地址 1 var host = new WebHostBuilder() 2 .UseKestrel() 3
ASP.NET WebApi OWIN 实现 OAuth 2.0
weixin_33697898的博客
12-21 175
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的 2 小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样...
.net core 实现oauth2.0服务端,含JWT
06-09
实现OAuth2.0服务端,需要遵循OAuth2.0协议,实现授权服务器和资源服务器之间的交互。以下是基本的步骤: 1.创建一个ASP.NET Core Web API项目。 2.安装IdentityServer4和Microsoft.AspNetCore.Authentication.JwtBearer NuGet包。 3.在Startup.cs中配置IdentityServer,并添加JwtBearer认证。 4.创建客户端和API资源,并将它们添加到IdentityServer中。 5.实现OAuth2.0授权终结点,例如授权码授权、密码授权、客户端凭证授权等。 6.实现API资源的保护,验证JWT令牌并确保访问令牌有效。 7.测试OAuth2.0授权和保护API资源。 下面是一个简单的示例,演示如何实现OAuth2.0服务端,包括JWT: 1. 在Startup.cs中配置IdentityServer和JwtBearer认证。示例代码如下: ```csharp public void ConfigureServices(IServiceCollection services) { //添加IdentityServer服务 services.AddIdentityServer() .AddInMemoryClients(Config.Clients) .AddInMemoryApiResources(Config.Apis) .AddDeveloperSigningCredential(); //添加JwtBearer认证 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.Authority = "http://localhost:5000"; //IdentityServer地址 options.RequireHttpsMetadata = false; //HTTPS设置为false,方便测试 options.Audience = "api1"; //API资源名称 }); services.AddControllers(); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseRouting(); app.UseIdentityServer(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); } ``` 2. 创建客户端和API资源。示例代码如下: ```csharp public static class Config { public static IEnumerable<Client> Clients => new List<Client> { new Client { ClientId = "client1", ClientSecrets = { new Secret("secret1".Sha256()) }, AllowedGrantTypes = GrantTypes.ClientCredentials, AllowedScopes = { "api1" } } }; public static IEnumerable<ApiResource> Apis => new List<ApiResource> { new ApiResource("api1", "My API") }; } ``` 3. 实现授权终结点。示例代码如下: ```csharp [HttpPost] [Route("/connect/token")] public async Task<IActionResult> Token([FromBody] TokenRequest request) { if (request.GrantType == "password") { var user = _userService.ValidateCredentials(request.UserName, request.Password); if (user != null) { var accessToken = await _tokenService.CreateAccessTokenAsync(user); return Ok(new { access_token = accessToken, token_type = "Bearer", expires_in = (int)_tokenService.Options.Expiration.TotalSeconds }); } } return BadRequest(new { error = "unsupported_grant_type" }); } ``` 4. 实现API资源的保护。示例代码如下: ```csharp [Authorize] [HttpGet] [Route("test")] public IActionResult Test() { return Ok(new { message = "Hello, World!" }); } ``` 以上是一个基本的OAuth2.0服务端实现,包括JWT。你可以根据自己的需求进行调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值