详解.NET实现OAuth2.0四种模式(4)授权码模式

最新推荐文章于 2024-05-11 23:00:37 发布
最新推荐文章于 2024-05-11 23:00:37 发布
阅读量2k 收藏 9
点赞数 1
分类专栏: ASP.NET 文章标签: .NET OAuth2.0 ASP.NET 授权码模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lweiyue/article/details/107458426
版权

一、授权码模式认证流程

授权码模式是最为安全,同时也最为复杂的一种模式。其认证流程如下图所示:

可能有的人会问,为什么要多出授权码这个东西呢,没有它不行吗?(我自己一开始也有这个疑问)确实是不行,我们来看一下。

我们拿“同城交友”APP微信登录这个例子来解释。首先,用户名、密码就是我们的微信号和密码,我们是不能交给“同城交友”这个APP的。所以,我们在微信官方的登录页上完成了微信号和密码的输入(当然,也可能是手机扫一扫)。完成之后,我们能不能直接把AccessToken交给APP去访问资源呢?还不能,因为任何APP都可以打开微信登录页,如果这时APP就拿到了AccessToken,安全性就难以保证了。这时,如果我们提出授权码这个概念,这个问题就能解决。APP在拿到授权码之后,它并不能直接访问资源。它需要用自己的AppID和AppSecret去换AccessToken。因为APP都要在微信平台上注册之后,才会有AppSecret,所以这个APP就被认定为安全的。这样一来,安全性就能够得到保障了。

二、服务器配置

首先,我们需要修改网站入口类Startup。其完整代码如下所示:

[assembly: OwinStartup(typeof(AuthorizationCodeMode.Startup))]//让整个网站的入口为Startup这个类
namespace AuthorizationCodeMode
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            //配置OAuth
            ConfigureOAuth(app);

            //配置网站路由等信息
            HttpConfiguration config = new HttpConfiguration();
            Register(config);

            //允许跨域访问
            app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

            app.UseWebApi(config);
        }

        private void ConfigureOAuth(IAppBuilder app)
        {
            OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
            {
                AllowInsecureHttp = true,//允许http而非https访问
                AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Active,//激活授权码模式
                TokenEndpointPath = new PathString("/token"),//访问host/token获取AccessToken
                AuthorizeEndpointPath = new PathString("/auth"),//访问host/auth获取授权码
                AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30),//AccessToken在30分钟后过期
                Provider = new AuthorizationServerProvider(),//AccessToken的提供类
                AuthorizationCodeProvider = new AuthorizationCodeProvider()//授权码的提供类                
            };

            app.UseOAuthAuthorizationServer(OAuthServerOptions);
            app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());

        }

        private static void Register(HttpConfiguration config)
        {
            config.MapHttpAttributeRoutes();

            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );

            var jsonFormatter = config.Formatters.OfType<JsonMediaTypeFormatter>().First();
            jsonFormatter.SerializerSettings.ContractResolver = new CamelCasePropertyNamesContractResolver();
        }
    }
}

跟密码模式相比,改动的就是服务器的配置项。添加了AuthenticationMode、AuthorizeEndpointPath和AuthorizationCodeProvider三个属性。

认证流程可分为两步,一是获取授权码,二是获取AccessToken。

三、获取授权码

在获取授权码时,我们需要请求host/auth这个地址,输入的参数有以下要求:

(1)grant_type,必须为authorization_code。

(2)response_type,必须为code。

(3)client_id,客户端ID。

(4)redirect_uri,重定向地址,如为http://abc.com/,则请求授权码完成后,将会重定向到:http://abc.com/code=[授权码]。

(5)scope,授权范围,可选。

(6)state,客户端状态,可选。

首先,我们创建一个授权码的提供类,如下所示:

public class AuthorizationCodeProvider : IAuthenticationTokenProvider
{
    private Dictionary<string, string> codes = new Dictionary<string, string>();

    public void Create(AuthenticationTokenCreateContext context)
    {
        string new_code = Guid.NewGuid().ToString("n");
        context.SetToken(new_code);
        codes.Add(new_code, context.SerializeTicket());
    }

    public Task CreateAsync(AuthenticationTokenCreateContext context)
    {
        Create(context);
        return Task.FromResult<object>(null);
    }

    public void Receive(AuthenticationTokenReceiveContext context)
    {
        string code = context.Token;
        if (codes.ContainsKey(code))
        {
            string value = codes[code];
            codes.Remove(code);
            context.DeserializeTicket(value);
        }
    }

    public Task ReceiveAsync(AuthenticationTokenReceiveContext context)
    {
        Receive(context);
        return Task.FromResult<object>(null);
    }
}

其实现就是用一个GUID作为code,调用Create的时候放进字典中,调用Receive的时候从字典中移除。

接着,我们需要修改AuthorizationServerProvider类。在获取授权码的过程中,这个类有以下函数被调用:

(1)ValidateClientRedirectUri,验证重定向URI是否合法。

(2)ValidateAuthorizeRequest,验证请求的参数是否合法。

(3)AuthorizeEndpoint,生成Code(调用AuthorizationCodeProvider.Create),将结果添加到重定向URI中。

完整示例代码如下:

public override async Task ValidateClientRedirectUri(OAuthValidateClientRedirectUriContext context)
{
    context.Validated(context.RedirectUri);
}

public override async Task ValidateAuthorizeRequest(OAuthValidateAuthorizeRequestContext context)
{
    if (context.AuthorizeRequest.ClientId.StartsWith("AAA"))
    {
        context.Validated();
    }
    else
    {
        context.Rejected();
    }
}

public override async Task AuthorizeEndpoint(OAuthAuthorizeEndpointContext context)
{
    var redirectUri = context.Request.Query["redirect_uri"];
    var clientId = context.Request.Query["client_id"];
    var identity = new ClaimsIdentity(new GenericIdentity(
        clientId, OAuthDefaults.AuthenticationType));

    var authorizeCodeContext = new AuthenticationTokenCreateContext(
        context.OwinContext,
        context.Options.AuthorizationCodeFormat,
        new AuthenticationTicket(
            identity,
            new AuthenticationProperties(new Dictionary<string, string>
            {
        {"client_id", clientId},
        {"redirect_uri", redirectUri}
            })
            {
                IssuedUtc = DateTimeOffset.UtcNow,
                ExpiresUtc = DateTimeOffset.UtcNow.Add(context.Options.AuthorizationCodeExpireTimeSpan)
            }));

    await context.Options.AuthorizationCodeProvider.CreateAsync(authorizeCodeContext);

    context.Response.Write(Uri.EscapeDataString(authorizeCodeContext.Token));//为了测试方便,直接打印出code
    //context.Response.Redirect(redirectUri + "?code=" + Uri.EscapeDataString(authorizeCodeContext.Token));//正常使用时是把code加在重定向网址后面

    context.RequestCompleted();
}

使用Postman测试结果:

四、获取AccessToken

在获取AccessToken时,我们需要请求host/token这个地址,输入的参数有以下要求:

(1)grant_type,必须为authorization_code。

(2)code,上面所获取到的授权码。

(3)client_id,客户端ID。

(4)redirect_uri,重定向地址,必须跟上面的一致。

同样,在获取AccessToken过程中,AuthorizationServerProvider类中有几个函数会被调用:

(1)ValidateClientAuthentication,验证客户端是否合法。

(2)AuthorizationCodeProvider.Receive,调出授权码背后的信息。

(3)ValidateTokenRequest,验证请求是否合法。

完整测试代码如下:

public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
    context.TryGetFormCredentials(out string clientId, out string clientSecret);

    if (!clientId.StartsWith("AAA"))
    {
        context.SetError("invalid_client", "未授权的客户端");
        return;
    }
    context.Validated();
}

public override async Task ValidateTokenRequest(OAuthValidateTokenRequestContext context)
{
    if (context.TokenRequest.IsAuthorizationCodeGrantType)
    {
        context.Validated();
    }
    else
    {
        context.Rejected();
    }
}

使用Postman测试的结果如下图所示:

还是叫明
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
OAuth2.0模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
.net Web Api使用详解(全部实例讲解,可直接运行看效果)
04-02
- Web API支持OAuth 2.0,用于提供安全的身份验证和授权。 - 可以使用`OAuthAuthorizationServerProvider`和`OAuthBearerAuthenticationProvider`自定义授权逻辑。 11. **部署与性能优化** - 部署到IIS服务器,...
使用Owin中间件搭建OAuth2.0认证授权服务器
weixin_30284355的博客
12-15 161
前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验。至于为何需要OAuth2.0、为何是Owin、什么是Owin等问题,不再赘述。我假定读者是使用Asp.Net,并需要搭建OAuth2.0服务器,对于涉及的Asp.Net Identity(Claims Based Authentication)、Owin、OAuth2.0等知识点已有基本了解。若不了解,请先参考以下文...
ASP.NET WebApi 如何使用 OAuth2.0 认证
最新发布
yangshuquan的专栏
05-11 1192
OAuth2.0 和 JWT 在使用 Token 进行身份验证时有相似之处,如果只是拿来用于颁布 Token 的话,二者没区别,如本例,但实际上它们是完全不同的两种东西,OAuth2.0授权认证的框架,JWT 则是认证验证的方式方法(轻量级概念)。OAuth2.0 更多用在使用第三方账号登录的情况(比如使用 weibo,qq,github 等登录某个 app)其优势在于可以实现用户授权而无需透露密,同时提供了更安全和灵活的授权机制,更好地保护用户数据和系统安全。
NET Core中JWT+OAuth2.0实现SSO,附完整源.NET6)
xwnxwn的专栏
10-15 1560
https://www.cnblogs.com/wei325/p/16316004.html
OAuth2.0 Owin 授权问题
weixin_30827565的博客
03-17 410
http://www.cnblogs.com/dudu/p/4569857.html OAuth2.0 一、什么是OAuth OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.2版。 注意是Authorization(授权),而不是Authentication(认证)。 用来做Authentication(认证)的标准叫做openid con...
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3663
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代部分都比较少,多的是理论部分,结合文档与源能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
JWT自定义授权服务商-OAuthAuthorizationServerProvider
weixin_34056162的博客
03-26 631
2019独角兽企业重金招聘Python工程师标准>>> ...
【转】在ASP.NET Web API 2中使用Owin基于Token令牌的身份验证
sinolover的专栏
01-27 1852
基于令牌的身份验证 基于令牌的身份验证主要区别于以前常用的基于cookie的身份验证,基于cookie的身份验证在B/S架构中使用比较多,但是在Web Api中因其特殊性,基于cookie的身份验证已经不适合了,因为并不是每一个调用api的客户端都是从浏览器发起,我们面临的客户端可能是手机、平板、或者app。 使用基于Token令牌的身份验证有一些好处: 服务器的可伸缩性:发送到服务器的令牌是自包含的,不依赖于共享会话存储 松散耦合:前端应用程序位于特定的身份验证机制耦合,令牌是从服务器生成的,并且
Web Api使用详解(全部实例讲解,可直接运行看效果)201902
02-21
- 基于OAuth的身份验证:Web API可以集成OAuth 2.0进行身份验证和授权。 - 基于Token的身份验证:JWT(JSON Web Token)是常见的无状态认证方式。 10. 整合Entity Framework - 使用EF(Entity Framework)作为...
新浪微博授权登录代
07-18
总的来说,实现新浪微博授权登录涉及的知识点广泛,包括OAuth2.0授权协议的理解、API调用的HTTP请求处理、数据的加密与解密、以及用户信息的存储和管理等。熟练掌握这些技能,不仅能够方便地集成微博登录,也为其他...
京东sdk,JdSdk.NET 1.4.2.zip
12-04
- **授权获取Token**:根据京东的OAuth2.0协议,引导用户授权,获取Access Token。 - **调用API**:使用Access Token进行API调用,获取或修改数据。 - **处理响应**:处理API返回的数据,进行业务逻辑处理。 5. ...
DISCUZ NT整合人人网登录详解及其整合完整程序
07-16
1. **OAuth 2.0**:理解OAuth 2.0的工作原理,包括授权流程、刷新令牌的概念,以及如何安全地存储和使用这些令牌。 2. **JSON数据处理**:人人网API返回的数据通常是JSON格式,需要了解如何在.NET环境中解析和使用...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3737
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
Spring Authorization Server入门 (四) 自定义设备授权
云逸的博客
06-05 2475
设备流程一般使用在不便输入的设备上,设备提供一个链接给用户验证,用户在其它设备的浏览器中认证;其它的三方服务需要接入时就按各自特点使用不同的授权方式。
两台服务器身份验证,OAuth 2 从入门到精通(一) - 身份认证服务器
weixin_29593445的博客
07-31 485
前言创建认证服务新建WebAPI项目Framework 4.6,新建ASP.NET应用程序,选择“Empty”,“Web API”,“No Authentication”。引入Nuget包管理使用Nuget包管理器安装用于Owin服务器的类库,打开Nuget Package Manger控制台,使用如下命令安装:Install-Package Microsoft.AspNet.WebApi.Owi...
详解.NET实现OAuth2.0四种模式(2)密模式
lweiyue的专栏
07-20 2439
一、密模式的认证流程 密模式是比较简单的一种模式,其认证流程如下图所示: 二、受限资源设计 OAuth2.0设计的目的是限制某些资源的访问,用户必须认证通过之后才能访问。我们在项目中加入一个简单的Controller,作为资源示例。 右击项目,添加一个Web API控制器类(v2.1),如下图所示: 我们把这个类命名为ValuesController,在这个类中只添加一个函数: public IHttpActionResult Get() { return Ok(new s
Asp.Net WEBAPI 增加身份验证 (OAUTH 2.0方式)
Vic的博客
05-08 3593
WEBAPI 增加身份验证 (OAUTH 2.0方式)把第四点钟11行到18行改成你自己的验证代就行了GitHub上也有源代供你下载
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权,客户端使用该授权向资源服务器请求访问令牌,最终客户端使用该访问令牌访问受保护的 API。 SpringBoot 提供了 OAuth2.0 授权模式的支持,使用 Spring Security 相关组件实现OAuth2.0授权相关功能。在 SpringBoot 应用中,我们可以通过编写配置类来配置 OAuth2.0 客户端和资源服务器相关参数,从而启用授权模式,具体流程如下: 1. 配置 OAuth2.0 客户端参数,包括授权服务器 URL、客户端 ID、客户端密钥等。 2. 在客户端应用中发起授权请求,包括重定向到授权服务器的 URL、授权类型等参数。 3. 授权服务器验证请求参数,生成授权并将其返回给客户端。 4. 客户端使用授权授权服务器请求访问令牌。 5. 授权服务器验证授权并生成访问令牌,将其返回给客户端。 6. 客户端使用访问令牌访问受保护的 API。 SpringBoot OAuth2.0 授权模式提供了一种安全的访问 API 的方式,可以保护 API 的访问安全。同时,通过使用 Spring Security 相关组件,开发者可以轻松地完成授权相关的配置操作,从而集中关注业务逻辑的实现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值