WebApi Owin OAuth(一)登陆获取access_token

最新推荐文章于 2023-08-22 13:43:46 发布
最新推荐文章于 2023-08-22 13:43:46 发布
阅读量5.6k 收藏 3
点赞数 2
分类专栏: WebApi 文章标签: oauth 安全 webapi owin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qhg2014/article/details/50963985
版权

最近需要搭建一个框架提供接口需要支持手机APP、WebForm、WinForm的访问,于是想到使用WebApi,同时考虑到接口的安全认证问题,则采用了Owin OAuth授权认证,Owin OAuth有四种认证方式,这里采用了密码交换Token的认证方式。在这里记录一下整个框架完成的过程。

微软已经对Owin OAuth有了很好的封装,并且创建WebApi项目时整个授权认证框架也一并创建好了。

首先通过VS2015创建一个WebApi,在App_Start目录下有个文件:Startup.Auth.cs它与根目录Startup.cs是partial关系。

Startup.cs最终如下:

using Microsoft.Owin;
using Owin;
using System.Web.Http;
using Microsoft.Owin.Cors;

[assembly: OwinStartup(typeof(SSXLX.WebApi.Startup))]

namespace SSXLX.WebApi
{
    public partial class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            var config = new HttpConfiguration();
            WebApiConfig.Register(config);
            //同源策略
            app.UseCors(CorsOptions.AllowAll);
            ConfigureAuth(app);
            app.UseWebApi(config);
        }
    }
}

其中app.UseCors(CorsOptions.AllowAll);是跨域机制,需要引用using Microsoft.Owin.Cors;

Startup.Auth.cs最终如下:

using System;
using Microsoft.Owin;
using Microsoft.Owin.Security.OAuth;
using Owin;
using SSXLX.WebApi.Providers;

namespace SSXLX.WebApi
{
    public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            // 针对基于 OAuth 的流配置应用程序
            var OAuthOptions = new OAuthAuthorizationServerOptions
            {
                TokenEndpointPath = new PathString("/Login"),
                Provider = new ApplicationOAuthProvider(),
                AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(20),
                //在生产模式下设 AllowInsecureHttp = false
                /*AllowInsecureHttp设置整个通信环境是否启用ssl,
                不仅是OAuth服务端,也包含Client端,
                当设置为false时,若登记的Client端重定向url未采用https,则不重定向*/
                AllowInsecureHttp = true,
                //刷新token
                RefreshTokenProvider = new RefreshOAuthProvider()
            };

            // 使应用程序可以使用不记名令牌来验证用户身份
            app.UseOAuthBearerTokens(OAuthOptions);
        }
    }
}

new PathString("/Login"),默认是"/token",这里改成了"/Login"。

RefreshTokenProvider = new RefreshOAuthProvider()是返回刷新token的凭据值。

在Providers目录会有ApplicationOAuthProvider.cs来验证和生成token的一系列处理:

using System;
using System.Collections.Generic;
using System.Security.Claims;
using System.Threading.Tasks;
using Microsoft.Owin.Security;
using Microsoft.Owin.Security.OAuth;
using System.Linq;
using SSXLX.Api.Interface;
using Microsoft.Practices.Unity;
using SSXLX.Api;
using SSXLX.Api.Entity;

namespace SSXLX.WebApi.Providers
{
    public class ApplicationOAuthProvider : OAuthAuthorizationServerProvider
    {
        /// <summary>
        /// 客户端发送了用户的用户名和密码,在这里验证用户名和密码是否正确,
        /// 采用了ClaimsIdentity认证方式,可以把它当作一个NameValueCollection看待
        /// 两个方法同时认证通过才会颁发token
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
        {
            var userInfo = await DependencyInjectionConfig.Containter.Resolve<IUser>().Login(context.UserName, context.Password);
            //判断用户名和密码是否正确
            if (!userInfo.IsOk)
            {
                context.SetError("invalid_grant", userInfo.Message);
                return;
            }

            if (userInfo.Data == null)
            {
                context.SetError("invalid_grant", ResponseCode.DeviceNotMsg);
                return;
            }
            if (userInfo.Data.Password != context.Password.GetMD5())
            {
                context.SetError("invalid_grant", ResponseCode.PwdNotMsg);
                return;
            }

            //ClaimsIdentity认证
            ClaimsIdentity oAuthIdentity = new ClaimsIdentity(context.Options.AuthenticationType);
            oAuthIdentity.AddClaim(new Claim(ClaimTypes.Name, context.UserName));

            AuthenticationProperties properties = CreateProperties(context.UserName, userInfo.Data.UserID);
            AuthenticationTicket ticket = new AuthenticationTicket(oAuthIdentity, properties);
            //认证通过
            context.Validated(ticket);

            await base.GrantResourceOwnerCredentials(context);
        }

        /// <summary>
        /// 把Context中的属性加入到token中
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task TokenEndpoint(OAuthTokenEndpointContext context)
        {
            foreach (KeyValuePair<string, string> property in context.Properties.Dictionary)
            {
                context.AdditionalResponseParameters.Add(property.Key, property.Value);
            }

            return Task.FromResult<object>(null);
        }

        /// <summary>
        /// 对third party application 认证,
        /// 为third party application颁发appKey和appSecrect,在此省略了颁发appKey和appSecrect的环节,
        /// 认为所有的third party application都是合法的
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        {
            //表示所有允许此third party application请求
            context.Validated();
            return Task.FromResult<object>(null);
        }

        /// <summary>
        /// 验证重定向url
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task ValidateClientRedirectUri(OAuthValidateClientRedirectUriContext context)
        {
            Uri expectedRootUri = new Uri(context.Request.Uri, "/");

            if (expectedRootUri.AbsoluteUri == context.RedirectUri)
            {
                context.Validated();
            }

            return Task.FromResult<object>(null);
        }

        public static AuthenticationProperties CreateProperties(string userName, string userID)
        {
            IDictionary<string, string> data = new Dictionary<string, string>
            {
                { "UserName", userName },
                { "UserID", userID }
            };
            return new AuthenticationProperties(data);
        }

        /// <summary>
        /// 验证refresh token
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task GrantRefreshToken(OAuthGrantRefreshTokenContext context)
        {
            // Change auth ticket for refresh token requests
            var newIdentity = new ClaimsIdentity(context.Ticket.Identity);

            var newClaim = newIdentity.Claims.Where(c => c.Type == "newClaim").FirstOrDefault();
            if (newClaim != null)
            {
                newIdentity.RemoveClaim(newClaim);
            }
            newIdentity.AddClaim(new Claim("newClaim", "refreshToken"));

            var newTicket = new AuthenticationTicket(newIdentity, context.Ticket.Properties);
            context.Validated(newTicket);

            return Task.FromResult<object>(null);
        }
    }
}
其中:

            var userInfo = await DependencyInjectionConfig.Containter.Resolve<IUser>().Login(context.UserName, context.Password);
            //判断用户名和密码是否正确
            if (!userInfo.IsOk)
            {
                context.SetError("invalid_grant", userInfo.Message);
                return;
            }


            if (userInfo.Data == null)
            {
                context.SetError("invalid_grant", ResponseCode.DeviceNotMsg);
                return;
            }
            if (userInfo.Data.Password != context.Password.GetMD5())
            {
                context.SetError("invalid_grant", ResponseCode.PwdNotMsg);
                return;
            }

代码是自己判断登陆名密码是否正确的业务代码。

其中:

        public static AuthenticationProperties CreateProperties(string userName, string userID)
        {
            IDictionary<string, string> data = new Dictionary<string, string>
            {
                { "UserName", userName },
                { "UserID", userID }
            };
            return new AuthenticationProperties(data);
        }

是认证通过后返回access_token相关信息和自定义用户信息,可以自行添加用户的其他信息如果需要的话。

通过登陆名和密码登陆之后正确返回结果如下(登陆地址:http://localhost:56285/Login):

{"access_token":"QP_vuakMchcTY80ZhbtEfy8ODfOG3NayaLTsqvFWirMB8jS7pfpPwqd3ZNhDAxKeqGlqo_kUFV8Xt8zBT1iy5CKOb61x_u8vozvOtVmVtrdeVXbFfFNhiiGazKmcoGthTui6P1kkTzP4JXlXvF9Z-_s5NgZzOFYN9hZIpYXSJFntcQuXkgNOFL9xdwMpDKPbAOvmz352D-Yets5tUD43ybqNV2zfe3zqwYn6zHITCZrQgmnRqv4vOHnw0ulARPALeV_tBpMU0PfKXUE783KVUg","token_type":"bearer","expires_in":1199,"refresh_token":"52be3102eab84318a2ab131a99c9517c","UserName":"aaa","UserID":"6d609e9e42a34bfc88bedbaaec9675d1",".issued":"Wed, 23 Mar 2016 08:55:18 GMT",".expires":"Wed, 23 Mar 2016 09:15:18 GMT"}

其中access_token是我们调用WebApi业务接口的授权token,expires_in是access_token过期时间(秒),.expires过期时间日期,"token_type":"bearer"Token的传递方式,refresh_token刷新access_token的凭据,UserName和UserID是自定义的用户信息等等。

下一节记录:

1、access_token过期刷新的处理

2、如何使用access_token调用WebApi业务接口

3、WebApi入参的常规习惯问题

3、在WebForm端如何保存access_token及相关信息和Demo打包的相关内容说明

球球_2014
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
c# Microsoft.Owin.Security.OAuth 验证获取Token用户的信息.txt
01-03
c# WebApi Owin 适用Microsoft.Owin.Security.OAuth Authorize - 特性验证
TokenBasedAuth:ASP.NET Owin OAuth 不记名令牌 WebApi
07-07
基于令牌的身份验证 #ASP.NET Owin OAuth 不记名令牌 WebApi 展示如何创建单独的 WebAPI,这些 WebAPI 使用 OAuth 不记名令牌进行身份验证。 此示例使用 ASP.NET Identity 和最小的 AccountController 来注册用户。 并公开令牌端点以生成临时不记名令牌。 还有一个受保护的资源服务器,可以使用来自 AuthEndpoint 的不记名令牌进行访问。 注册用户: curl -X POST -H "Content-Type: application/json" -H "Cache-Control: no-cache" -H "Postman-Token: 2633c6c1-e0c7-93d1-37dd-9ef4f60755f8" -d '{ "userName": "user", "password": "
webapi基于Owin中间件的oauth2.0身份认证
10-07
基于Owin中间件的OAuth2.0身份认证,文章位置https://blog.csdn.net/u013938578/article/details/82956188
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
ASP.NET Web API与Owin OAuth 密码模式 持久化 VS2015
08-25
客户端和Token都做了持久化 自己写的demo,没有乱加其他功能,直接可以参考使用。
WebAPI-getauthtoken:使用 C# 从 web api 服务获取登录令牌的简单示例
06-02
WebAPI-getauthtoken 使用 C# 从 web api 服务获取登录令牌的简单示例 我四处寻找这个简单的示例,说明如何通过使用 Angular JS 的相同方法获取访问令牌,但找不到一个,所以我把这个放在一起。
WebApi中基于Owin OAuth使用授权发放Token
carcarrot的博客
08-07 973
参考: 在WebApi中基于Owin OAuth使用授权发放Token https://www.cnblogs.com/YamatAmain/p/5029466.html MVC WebApi 实现Token验证 https://www.cnblogs.com/AlexZha/p/9681122.html 在WebApi中基于Owin OAuth使用授权发放Token OW...
项目中使用Spring Security,但是还想通过统一认证平台实现单点登录
qqqqqqhhhhhh的博客
03-05 649
最近接到一个新的需求,就是将原本的项目集成到公司的统一认证平台,实现单点登录。相比于单系统登录,SSO需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,SSO认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。这个过程,也就是单点登录的原理。 上面我大致介绍了一下单点登录
OAuth2.0协议入门(三):OAuth2.0授权与单点登录(SSO)的区别以及单点登录服务端从设计到实现...
weixin_34174422的博客
09-11 1970
OAuth2.0授权与单点登录(SSO)的区别 在前两篇文章中我介绍了OAuth2.0协议的基本概念(www.zifangsky.cn/1309.html)以及OAuth2.0授权服务端从设计到实现(www.zifangsky.cn/1313.html)。这篇文章中我将介绍OAuth2.0授权与单点登录的区别,这两个概念看似很相似,实际上却有很大区别,而很多人往往把二者混为一谈。 什么是单点登...
使用token机制来验证用户的安全性-b
weixin_34088838的博客
07-14 4224
登录的业务逻辑{    http:是短连接.         服务器如何判断当前用户是否登录?        // 1. 如果是即时通信类:长连接.    // 如何保证服务器跟客户端保持长连接状态?         // "心跳包" 用来检测用户是否在线!用来做长连接!   http:短连接使用token 机制来验证用户安全性         // token 值: 登录令牌! 用来...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口,api使用oauth2.0权限控制,调用接口需要进行token获取认证、
HttpWebRequest 请求带OAuth2 授权的webapi
weixin_30725467的博客
08-20 628
OAuth 2.0注意事项:1、 获取access_token时,请使用POST 1 private static string GetAuthorization(string username, string password) 2 { 3 string authorization = string.Format("{0}:{1...
C#使用post方式调用接口获取Token及调用网页地址
j1354223253的博客
09-08 5780
C#调用网页 获取Token
SSO单点登录实例详解(前端传Code授权登录
ELSA001的博客
01-08 2502
SSO单点登录以及单点登录流程详解
Web应用怎样获取Access Token
HarmonyOS SDK闭源开能力技术团队
12-27 4769
1.在联盟创建服务器应用 参考文档:开发准备 2.获取用户级Access Token 2.1 获取code 参考文档:接入华为帐号获取凭证 2.1.1 先按照跳转链接进行配置url https://oauth-login.cloud.huawei.com/oauth2/v3/authorize? response_type=code& access_type=offline& state=state_parameter_passthrough_value& client_
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
热门推荐
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
微信扫码登录很难吗?5步帮你搞定
Java笔记虾
10-17 1546
点击关注公众号,利用碎片时间学习微信开放平台:微信扫码登录功能官方文档:https://developers.weixin.qq.com/doc/oplatform/Website_App...
Oauth2_授权登录access_token与open_id关联
ThefFirsttThelLast的博客
08-07 945
场景描述:我公司开发的App需要集成甲方的第三方应用(H5),甲方要求实现授权登录,我方App账户需保证登录第三方应用,但又不想泄露过多信息给第三方。在这套流程体系中,本人对微信、支付宝、QQ的access_token与open_id如何关联进行猜想,并制定了自己的方案 方案说明:本方案主要目的是解决code、access_token与用户关联问题,因此对获取access_token\refre...
JAVA 整合微信公众平台,实现获取accessToken、用户授权登录
最新发布
Serendipity_77的博客
08-22 2043
JAVA 整合微信公众平台,实现获取accessToken、用户授权登录
winform通过owin实现webapi
05-11
是的,WinForm 可以通过 OWIN 框架实现 WebAPI 的开发。OWIN 是 Open Web Interface for .NET 的缩写,是一个开放式标准,允许 .NET 应用程序通过中间件来处理 HTTP 请求和响应。 具体实现步骤如下: 1. 安装 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值