Asp.Net MVC 4 Web API 中的安全认证-使用OAuth

最新推荐文章于 2020-04-21 17:39:41 发布
最新推荐文章于 2020-04-21 17:39:41 发布
阅读量672 收藏
点赞数
分类专栏: ASP.NET MVC
http://www.cnblogs.com/n-pei/archive/2012/05/29/2524673.html
Asp.Net MVC 4 Web API 中的安全认证-使用OAuth

image

各种语言实现的oauth认证: http://oauth.net/code/

 

上一篇文章介绍了如何使用基本的http认证来实现asp.net web api的跨平台安全认证。 这里说明一个如何使用oauth实现的认证。oauth大家可能不陌生。那么这里需要注意的是我们使用的是.net平台一个比较好的开源oauth库。 DOTNETOPENAUTH。

就像上图所示,我们需要一个ISSSUE Server来给我们一个token,然后再去资源服务器请求资源,也就是Web API Server。

image

 

首先在oAuthIssuer服务端我们需要实现一个DotNetOpenAuth的接口:IAuthorizationServer

image

 

对接口的实现:

 

复制代码 
public class OAuth2Issuer : IAuthorizationServer
    {
        private readonly IssuerConfiguration _configuration;

        public OAuth2Issuer(IssuerConfiguration configuration)
        {
            if (configuration == null) throw new ArgumentNullException("configuration");
            _configuration = configuration;
        }

        public RSACryptoServiceProvider AccessTokenSigningKey
        {
            get
            {
                return (RSACryptoServiceProvider)_configuration.SigningCertificate.PrivateKey;
            }
        }

        public DotNetOpenAuth.Messaging.Bindings.ICryptoKeyStore CryptoKeyStore
        {
            get { throw new NotImplementedException(); }
        }

        public TimeSpan GetAccessTokenLifetime(DotNetOpenAuth.OAuth2.Messages.IAccessTokenRequest accessTokenRequestMessage)
        {
            return _configuration.TokenLifetime;
        }

        public IClientDescription GetClient(string clientIdentifier)
        {
            const string secretPassword = "test1243";
            return new ClientDescription(secretPassword, new Uri("http://localhost/"), ClientType.Confidential);
        }

        public RSACryptoServiceProvider GetResourceServerEncryptionKey(DotNetOpenAuth.OAuth2.Messages.IAccessTokenRequest accessTokenRequestMessage)
        {
            return (RSACryptoServiceProvider)_configuration.EncryptionCertificate.PublicKey.Key;

        }

        public bool IsAuthorizationValid(DotNetOpenAuth.OAuth2.ChannelElements.IAuthorizationDescription authorization)
        {
            
            //claims added to the token
            authorization.Scope.Add("adminstrator");
            authorization.Scope.Add("poweruser");
            
            return true;
        }

        public bool IsResourceOwnerCredentialValid(string userName, string password)
        {
            return true;
        }

        public DotNetOpenAuth.Messaging.Bindings.INonceStore VerificationCodeNonceStore
        {
            get
            {
                throw new NotImplementedException();
            }
        }
    }
复制代码

 

 

 

 

在 Web API Server端,我们需要使用Http Message Handler来获取httprequest信息;并进行是否有授权认证。

 

复制代码 
 public class OAuth2Handler : DelegatingHandler
    {
        private readonly ResourceServerConfiguration _configuration;

        public OAuth2Handler(ResourceServerConfiguration configuration)
        {
            if (configuration == null) throw new ArgumentNullException("configuration");
            _configuration = configuration;
        }

        protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
        {
            HttpContextBase httpContext;
            string userName;
            HashSet<string> scope;

            if (!request.TryGetHttpContext(out httpContext))
                throw new InvalidOperationException("HttpContext must not be null.");

            var resourceServer = new ResourceServer(new StandardAccessTokenAnalyzer(
                                                        (RSACryptoServiceProvider)_configuration.IssuerSigningCertificate.PublicKey.Key,
                                                        (RSACryptoServiceProvider)_configuration.EncryptionVerificationCertificate.PrivateKey));

            var error = resourceServer.VerifyAccess(httpContext.Request, out userName, out scope);

            if (error != null)
                return Task<HttpResponseMessage>.Factory.StartNew(error.ToHttpResponseMessage);
            
            var identity = new ClaimsIdentity(scope.Select(s => new Claim(s, s)));
            if (!string.IsNullOrEmpty(userName))
                identity.Claims.Add(new Claim(ClaimTypes.Name, userName));
            
            httpContext.User = ClaimsPrincipal.CreateFromIdentity(identity);
            Thread.CurrentPrincipal = httpContext.User;

            return base.SendAsync(request, cancellationToken);
        }

    }
复制代码

 

 

 

 

这里的ResourceServerConfiguration 我们是使用加密证书的。

image

 

客户端调用代码:

image

 

调用API获取数据之前需要从IssueServer获取Token。

GetAccessToken:

 

 

image

 

看一下Token信息:

{"access_token":"gAAAAIoUBVBrZ5jAxe5XeTgnJ8mGwwKsCReknueg4gLGlDQ77lR1yPfxt0yNfWLCBT7hxnHjRjuEwDTJ3J1YAnqML4MIgQg8A2cz2bs0EnxvCMfKnayKEesRM-lxLTFbWMpSxe2Xvjm61IbaXjrMkYDRMnV4Do8-7132tiOLIv02WOGlJAEAAIAAAACJ8F3SsE6cTI1XsioW_xOxHeESDzG16y01Gxm3HikYFUC3XIdekpPw0yMB4tavPmUj-kRyC1halbUX7JKf-Dihm6Ou5mexe9lcYTr9or_kH7WcDN5ZCryUK3OaecvwwjQVr5o9XD2ZyZSNDCNhVRFc5ypvP85zZCBW1KJkP3OTCV4AkMN-ROvgI8jxutYdsLLN-YbB7Ot5iypzWWbW0QxiwOzMEqG9nVtPwnIWOUMOvW5KbiELELhgjap60mwHzGrHG4TtA4jrNy8S9zjixO_q-FrgpAuC06CkSH-R4w9yPCLLDc9m3UoAnknFjd4PUbWLxCvlBpEK2sg03ENa0EOKzc2O5fEic9P-BiYt6afMwTgLkJlGBBjmCBpGZMkfLTw","token_type":"bearer","expires_in":"300","scope":"http:\/\/localhost\/ adminstrator poweruser"}

image

 

客户端调用:

 

image

 

 代码:

 

 

http://pan.baidu.com/s/1ntkMbCt

 

mituan1234567
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net mvc webapi 实用的接口加密方法示例
10-19
本篇文章主要介绍了asp.net mvc webapi 实用的接口加密方法示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
MVC WebApi 实现Token验证
rxbtalent的博客
08-12 952
MVC WebApi 实现Token验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等。 Ste...
基于asp.net MVC 的服务器和客户端的交互(二)之获取Oauth 2.0认证权限
aimolia8633的博客
07-06 244
基本Web APIASP.NETOauth2认证 增加Token额外字段 增加Scope授权字段 持久化Token 设计Token的时间间隔 刷新Token后失效老的Token 自定义验证【重启IIS池Token失效,验证权限】 Oauth2 认证的流程 客户端发送口令(grant_type,client_id,client_secret)到服务...
Asp.Net MVC 4 Web API 安全认证---使用OAuth
Denghejing的专栏
09-09 2412
//  Oauth授权处理 http://www.cnblogs.com/n-pei/archive/2012/05/29/2524673.html#undefined 各种语言实现的oauth认证: http://oauth.net/code/
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
CodeProject-HashMaps:带有 ASP.Net MVCWeb APIOAuth Yammer Web 应用程序
06-21
去年夏天我去参加公司赞助的技术会议时,他们建议我们在所有帖子使用特定的主题标签。 由于我们确实有人从世界各地飞来参加会议,我认为构建一个应用程序会很酷,该应用程序显示包含建议主题标签的帖子作为突出...
run-aspnet-identityserver4:使用独立的Identity Server 4并通过Ocelot API Gateway进行支持来保护微服务。 通过在IdentityServer4使用OAuth 2和OpenID Connect保护我们的ASP.NET Web MVCAPI应用程序。 使用令牌保护您的Web应用程序和API使用声明,身份验证和授权间件以及应用策略
01-29
我们将通过在IdentityServer4使用OAuth 2和OpenID Connect保护我们的ASP.NET Web MVCAPI应用程序。 使用令牌保护Web应用程序和API使用声明,身份验证和授权间件以及应用策略等。 电影API 首先,我们将开发...
ASP.NET MVC4开发指南
10-24
ASP.NET MVC 4已经正式发布,并内置于Visual Studio 2012,新版本ASP.NET MVC版本新增了手机模版、单页应用程序,Web API等模版,更新了一些 javascript 库,其示例页面也使用了jquery的AJAX登录,并增加了OAuth...
Bearer_WebAPI_GroupClaims:在 MVC WebAPI 上为 AuthZ 使用 GroupClaims
06-13
此示例使用 OpenID Connect ASP.Net OWIN 间件和 ADAL .Net。 <script src=" 有关协议在此方案和其他方案的工作方式的详细信息,请参阅。 如何运行此示例 要运行此示例,您需要: 视觉工作室 2013 互联网...
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
Asp.net WEBAPI 简单的OAUTH认证
星火燎猿
08-29 7801
最近想买需要,公司使用了完全的前后端分离技术,后端使用ASP.NET WEBAPI实现,前端使用PHP作为转服务器调用后端服务器提供的WEBAPI,前期测试环境没有加OAUTH 安全认证,但是实际的生产环境肯定要认证,不然暴露出去的WEB API就会很危险,很容易被别人利用来生成脏数据,所以经过仔细思考,前期暂时先使用认证指定IP的方式来防止异常注入操作,整体操作思路比较简单:1. 创建授权过滤器
WebApi使用OAuth2认证
07-06 434
本篇文章实现了四种认证方式的客户端模式和密码模式,未实现token持久化 未介绍OAuth2的相关概念,全部是干货,可自己在网上搜索OAuth2相关知识,在这不做过多阐述 一、引用OAuth2所需的dll,使用nuget下载以下依赖项 Microsoft.AspNet.WebApi.Owin Microsoft.Owin.Host.SystemW...
ASP.NET MVC授权登录过滤器OnAuthorization过滤器AuthorizeAttribute使用
u011511086的专栏
04-21 2883
using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Web; using System.Web.Mvc; using Autofac; using WuZiFenGongSiInfomation.Common; using WuZiF...
ASP.NET WebAPI 集成 Swagger 启用 OAuth 2.0 配置问题
weixin_34101784的博客
08-02 1611
ASP.NET WebAPI 集成 Swagger 后,由于接口使用了 IdentityServer 做的认证,调试起来很不方便;看了下 Swashbuckle 的文档 ,是支持 OAuth2.0 的配置的,使用的简化模式(Implicit grant type),交互的流程如下: Implicit Grant Type (简化模式) 参数: response_type:表示授权类型...
ASP.NET MVC WEB API OAuth2Authorize
weixin_34143774的博客
12-15 106
using System; using System.Net; using System.Security.Cryptography; using System.Security.Cryptography.X509Certificates; using System.Security.Principal; using System.ServiceModel.Channels; usin...
infrared-remote-candroid studiodemo
最新发布
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值