使用ASP.NET Identity 实现WebAPI接口的Oauth身份验证

最新推荐文章于 2023-03-21 11:06:40 发布
最新推荐文章于 2023-03-21 11:06:40 发布
阅读量212 收藏
点赞数
文章标签: 测试
原文链接:http://www.cnblogs.com/yidianfeng/p/7765984.html
版权

使用ASP.NET Identity 实现WebAPI接口的Oauth身份验证

 

目前WEB 前后端分离的开发模式比较流行,之前做过的几个小项目也都是前后分离的模式,后端使用asp.net webapi 提供restful风格的数据接口;前端主要使用angularjs等框架。在这种前后分离的模式中如何保护我们的数据接口不被非法调用,这就可要考虑到后台接口的身份验证。我们常用采用的身份验证有http基本认证(结合https)、http摘要认证、oauth认证等等。本次我们讨论的是Oauth认证。

Oauth(Open Authorization)认证:oauth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码)。

相关学习资料:https://oauth.net/2/

              http://blog.jobbole.com/49211/

              http://kb.cnblogs.com/page/189153/

OWIN (open web interface for .net) :基于.net平台的开放web接口。OWIN 在 .NET Web 服务器和 .NET Web 应用之间定义了一套标准的接口, 其目的是为了实现服务器与应用之间的解耦。

相关学习资料:http://owin.org/

              http://www.cnblogs.com/zergcom/tag/OWIN/

              http://www.nmtree.net/2014/06/13/getting-started-with-owin-and-katana.html

ASP.NET Identity: asp.net身份验证框架,微软在MVC 5.0(.NET Framework4.5)中新引入,类似mumbership。

相关学习资料:https://www.asp.net/identity

              http://www.cnblogs.com/liuhaorain/p/3776467.html

              http://www.cnblogs.com/shanyou/p/3918178.html

              http://www.cnblogs.com/vxchin/p/introduction-to-aspnet-identity.html

 

一、用VS2015新建一个项目,项目类型选择“ASP.NET web应用程序”点击“确定”(图1),选择“Web API”作为模板,点击“确定”(图2)。

 

 

图1

 

 

图2

二、使用Nuget安装:Microsoft.AspNet.WebApi.Owin(图3)、Microsoft.Owin.Host.SystemWeb(图4

 

 

 

 

图3

 

 

 

图4

 

三、添加Owin启动类(图5):

设置Startup类代码如下:

 

using System.Web.Http;

using Microsoft.Owin;

using Owin;

 

[assembly: OwinStartup(typeof(WebAPI.Startup))]

namespace WebAPI

{

    public class Startup

    {

        public void Configuration(IAppBuilder app)

        {

            HttpConfiguration config = new HttpConfiguration();

            WebApiConfig.Register(config);

            app.UseWebApi(config);

        }

    }

}

 

 

 

图5

 

四、删除Global.asax

 

五、修改App_Start文件夹中的WebApiConfig.cs文件,实现api数据通过json格式返回(图6):

 

var jsonFormatter = config.Formatters.OfType<JsonMediaTypeFormatter>().First();

jsonFormatter.SerializerSettings.ContractResolver = new CamelCasePropertyNamesContractResolver();

 

 

 

图6

 

六、安装Microsoft.AspNet.Identity.Owin、Microsoft.AspNet.Identity.EntityFramework

 

 

 

图7

 

 

 

图8

 

七、创建AuthContext.cs: 

 

using Microsoft.AspNet.Identity.EntityFramework;

 

namespace WebAPI

{

    public class AuthContext: IdentityDbContext<IdentityUser>

    {

        public AuthContext() : base("AuthDataBase")

        { }

    }

}

 

Web.config中增加connectionString:

 

<connectionStrings>

    <add name="AuthDataBase" connectionString="Data Source=.\sqlexpress;Initial Catalog= AuthDataBase;Integrated Security=SSPI;" providerName="System.Data.SqlClient" />

  </connectionStrings>

 

八、在Models文件夹中创建UserModel.cs

 

using System.ComponentModel.DataAnnotations;

 

namespace WebApp.Models

{

    public class UserModel

    {

        [Required]

        [Display(Name = "User Name")]

        public string UserName { get; set; }

        [Required]

        [DataType(DataType.Password)]

        [StringLength(100, ErrorMessage = "The {0} must be at least {2} characters long", MinimumLength = 6)]

        public string Password { get; set; }

    }

}

 

九、添加AuthRepository.cs:

 

using System;

using System.Threading.Tasks;

using Microsoft.AspNet.Identity;

using Microsoft.AspNet.Identity.EntityFramework;

using WebAPI.Models;

 

namespace WebAPI

{

    public class AuthRepository : IDisposable

    {

        private AuthContext _ctx;

        private UserManager<IdentityUser> _userManager;

        public AuthRepository()

        {

            _ctx = new AuthContext();

            _userManager = new UserManager<IdentityUser>(new UserStore<IdentityUser>(_ctx));

        }

        public async Task<IdentityResult> Register(UserModel model)

        {

            IdentityUser user = new IdentityUser()

            {

                UserName = model.UserName

            };

 

            IdentityResult result = await _userManager.CreateAsync(user, model.Password);

 

            return result;

        }

        public async Task<IdentityUser> FindUser(UserModel model)

        {

            IdentityUser user = await _userManager.FindAsync(model.UserName, model.Password);

 

            return user;

        }

        public async Task<IdentityUser> FindUserByName(string username)

        {

            IdentityUser user = await _userManager.FindByNameAsync(username);

            return user;

        }

        public void Dispose()

        {

            _ctx.Dispose();

            _userManager.Dispose();

        }

    }

}

 

十、添加AccountController.cs

 

using System.Threading.Tasks;

using System.Web.Http;

using Microsoft.AspNet.Identity;

using WebAPI.Models;

 

namespace WebAPI.Controllers

{

    [Authorize]

    [RoutePrefix("api/Account")]

    public class AccountController : ApiController

    {

 

        private AuthRepository _authRepo;

        public AccountController()

        {

            _authRepo = new AuthRepository();

        }

        [AllowAnonymous]

        [Route("Register")]

        public async Task<IHttpActionResult> Register(UserModel model)

        {

            if (!ModelState.IsValid)

            {

                return BadRequest(ModelState);

            }

            IdentityResult result = await _authRepo.Register(model);

            IHttpActionResult errorResult = GetError(result);

            if (errorResult != null)

            {

                return errorResult;

            }

            return Ok();

        }

 

        private IHttpActionResult GetError(IdentityResult result)

        {

            if (result == null)

            {

                return InternalServerError();

            }

            if (!result.Succeeded)

            {

                foreach (string err in result.Errors)

                {

                    ModelState.AddModelError("", err);

                }

                if (ModelState.IsValid)

                {

                    return BadRequest();

                }

                return BadRequest(ModelState);

            }

            return null;

        }

 

    }

}

 

 

十一、使用Fiddler调用接口http://localhost:17933/api/account/register(图9)。调用成功后会生成数据库AuthDataBase和用户相关表(图10)

POST http://localhost:17933/api/account/register

 

Header

Content-Type: application/x-www-form-urlencoded

 

Request Body

UserName=admin&Password=111111

 

图9

 

 

图10

 

十二、添加OrderController.cs:

 

using System;

using System.Collections.Generic;

using System.Web.Http;

 

namespace WebAPI.Controllers

{

    public class OrderController : ApiController

    {

        [Authorize]

        [RoutePrefix("api/orders")]

        public class OrdersController : ApiController

        {

            [Route]

            public IHttpActionResult Get()

            {

                return Ok(Order.CreateOrders());

            }

        }

        public class Order

        {

            public int OrderID { get; set; }

            public string CustomerName { get; set; }

            public string ShipperCity { get; set; }

            public Boolean IsShipped { get; set; }

 

            public static List<Order> CreateOrders()

            {

                List<Order> OrderList = new List<Order>

            {

                new Order {OrderID = 10248, CustomerName = "Taiseer Joudeh", ShipperCity = "Amman", IsShipped = true },

                new Order {OrderID = 10249, CustomerName = "Ahmad Hasan", ShipperCity = "Dubai", IsShipped = false},

                new Order {OrderID = 10250,CustomerName = "Tamer Yaser", ShipperCity = "Jeddah", IsShipped = false },

                new Order {OrderID = 10251,CustomerName = "Lina Majed", ShipperCity = "Abu Dhabi", IsShipped = false},

                new Order {OrderID = 10252,CustomerName = "Yasmeen Rami", ShipperCity = "Kuwait", IsShipped = true}

            };

                return OrderList;

            }

        }

    }

}

 

 

十三、安装Microsoft.Owin.Security.OAuth(OAuth Bearer Token支持类库 )(图11)

 

 

 

图11

 

 

十四、添加Providers文件夹,在文件夹中创建AuthorizationServerProvider.cs

 

using System.Security.Claims;

using System.Threading.Tasks;

using Microsoft.AspNet.Identity.EntityFramework;

using Microsoft.Owin.Security.OAuth;

using WebAPI.Models;

 

namespace WebAPI.Providers

{

    public class AuthorizationServerProvider : OAuthAuthorizationServerProvider

    {

        public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)

        {

            context.Validated();

        }

        public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)

        {

            context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

            using (AuthRepository _repo = new AuthRepository())

            {

                IdentityUser user = await _repo.FindUser(

                    new UserModel() { UserName = context.UserName, Password = context.Password });

                if (user == null)

                {

                    context.SetError("invalid_grant", "The username or password is incorrect");

                    return;

                }

            }

 

            var identity = new ClaimsIdentity(context.Options.AuthenticationType);

            identity.AddClaim(new Claim("sub", context.UserName));

            identity.AddClaim(new Claim("role", "user"));

 

            context.Validated(identity);

        }

    }

}

 

安装:Microsoft.Owin.Cors (跨域)(图12)

 

 

 

图12

 

修改Startup.cs:

 

using System;

using System.Web.Http;

using Microsoft.Owin;

using Microsoft.Owin.Cors;

using Microsoft.Owin.Security.OAuth;

using Owin;

using WebAPI.Providers;

 

[assembly: OwinStartup(typeof(WebAPI.Startup))]

 

namespace WebAPI

{

    public class Startup

    {

        public void Configuration(IAppBuilder app)

        {

            HttpConfiguration config = new HttpConfiguration();

            ConfigAuth(app);

            WebApiConfig.Register(config);

            app.UseCors(CorsOptions.AllowAll);

            app.UseWebApi(config);

        }

 

        public void ConfigAuth(IAppBuilder app)

        {

            OAuthAuthorizationServerOptions option = new OAuthAuthorizationServerOptions()

            {

                AllowInsecureHttp = true,

                TokenEndpointPath = new PathString("/token"),

                AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),

                Provider = new AuthorizationServerProvider()

            };

 

            app.UseOAuthAuthorizationServer(option);

            app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());

        }

    }

}

 

 

十五、使用fiddler调用:http://localhost:17933/token(图13),调用成功后生成token(图14

POST http://localhost:17933/token

Header

Content-Type: application/x-www-form-urlencoded

Request Body

grant_type=password&UserName=admin&Password=111111

 

 

图13

 

 

图14

 

十六、使用上一步骤生成的token请求order数据(图15),请求成功后返回Order数据(图16):

 

GET  http://localhost:17933/api/orders

Header

Authorization: bearer dJvGpKGVPUfJMW_lkcMY79lEV57-LgRe1sZ35OKCzhIHsTaRGBenZ_2--GtosTbrbnwnHMyNKK_f-NalQtgXP_kwx5gj48KnzSaKcTBulQqPP2kFpB6Gbc4npQQmFttJwogEwH3a7-99PsH07Tjl-lbbVvMNhNzGEhK36e5AgeI0yyjIa2JnZGF1kujCj_hrnLvUrazgl6kvmPQZFXXgczuVWnL9dXZe4XMgg0pQ2sI

 

 

 

 

图15

 

 

 

 

图16

转载于:https://www.cnblogs.com/yidianfeng/p/7765984.html

weixin_34307464
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
使用identity+jwt保护你的webapi(一)——identity基础配置
dotNET跨平台
10-01 491
前言用户模块几乎是每个系统必备的基础功能,如果每次开发一个新项目时都要做个用户模块,确实非常无聊。好在asp.net core给我们提供了Identity使用起来也是比较方便,如果对用户...
gRPC中集成asp.net identity实现oAuth认证
weixin_33937499的博客
05-27 178
gRPC中集成asp.net identity实现oAuth认证 在asp.net core 3.0中开启identity认证 asp.net core 3.0种需要导入的identity包与core 2.2发生了些变化: <ItemGroup> <PackageReference Include="Microsoft.AspNetCore.Diagnostics.Entit...
使用identity+jwt保护你的webapi(三)——refresh token
dotNET跨平台
10-09 555
前言上一篇已经介绍了identity的注册,登录,获取jwt token,本篇来完成refresh token。开始开始之前先说明一下为什么需要refresh token。虽然jwt to...
IdentityServer4实战 - APIIdentityServer的交互过程解析
weixin_34124577的博客
12-25 387
原文:IdentityServer4实战 - APIIdentityServer的交互过程解析开局一张图,内容全靠看。如有不明白的地方可在评论里说出,后面我再加上。
使用OAuth2客户端凭据保护的ASP.NET Core WebAPI
04-11
使用JWTToken利用IdentityServer4 / OAuth2访问.NET Core Web API
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口api使用oauth2.0权限控制,调用接口需要进行token获取认证、
CodeProject-HashMaps:带有 ASP.Net MVCWeb APIOAuth Yammer Web 应用程序
06-21
在内部,我的公司使用 Yammer 作为其社交网络。 去年夏天我去参加公司赞助的技术会议时,他们建议我们在所有帖子中使用特定的主题标签。 由于我们确实有人从世界各地飞来参加会议,我认为构建一个应用程序会很酷,该...
IdentityServer4实战 - 与API单项目整合
dotNET跨平台
02-03 1325
一.前言我们在实际使用 IdentityServer4 的时候,可能会在使用 IdentityServer4 项目添加一些API,比如 找回密码、用户注册、修改用户资料等...
用后端C#之WebApi和前端写登录页
AKK188888881的博客
03-21 849
用后端C#之WebApi和前端写登录页
Asp.net core Webapi 6.0 用户登录 JWT 认证
精通电脑科技的博客
10-08 2539
1. NuGet 添加 IdentityServer4.AccessTokenValidation 包。2.添加证书类 TokenParameter。5.启用跨域、认证、授权。1.允许异步IO操作。3.添加获取Token的控制器。5. 需要认证的控制器上添加。6.需要跨域的控制器上添加。
构造服务器响应客户端超时,服务器在ASP.NET Web API中花费太多时间发送响应 - 超时错误...
weixin_36396555的博客
08-06 372
我创建了一个在服务器上工作的Web API应用程序。在客户端,为了测试我有android应用程序。 这很简单。用户输入用户名和密码,并使用两个字符串DeviceId和DeviceName发送它们。 用户通过已定义的服务得到验证,如果一切顺利3件事情发生:服务器在ASP.NET Web API中花费太多时间发送响应 - 超时错误用户被创建并保存在数据库中。信息电子邮件发送给用户。访问令牌返回给客户端...
使用OAuth打造webapi认证服务供自己的客户端使用(二)
weixin_34119545的博客
11-28 233
在上一篇”使用OAuth打造webapi认证服务供自己的客户端使用“的文章中我们实现了一个采用了OAuth流程3-密码模式(resource owner password credentials)的WebApi服务端。今天我们来实现一个js+html版本的客户端。 一、angular客户端 angular版本的客户端代码来自于http://bitoftech.net/2014/06/01/to...
如何在Asp.Net WebApi接口中,验证请求参数中是否携带token标识!
weixin_33928137的博客
06-21 1629
[BasicAuthentication] public abstract class ApiControllerBase : ApiController { #region Gloal Property /// <summary> /// token_id /// </summary...
Asp.Net WebAPI身份验证,授权/请求过滤,token验证,action过滤
u011511086的专栏
11-03 3619
AuthorizeAttribute过滤器执行顺序: 重写AuthorizeAttribute实现请求拦截 using System; using System.Collections.Generic; using System.Linq; using System.Net.Http; using System.Net.Http.Headers; using System.Web; using System.Web.Http; using System.Web.Http.Controllers; usin
ASP.NET Web API技术开发HTTP接口(一)
u011878310的博客
09-19 6302
开发工具 Visual Studio 2013 SQL Server 2008 R2 准备工作 启动Visual Studio 2013,新建一个ASP.NET Web应用程序,命名为SimpleAPI。选择Empty模板,并勾选“Web API”,无身份验证,不添加单元测试。 准备用SQL Server数据库来存储数据,因此要安装下Entity Fram
webApi安全访问之 IdentityServer4使用总结
jacky_zh的专栏
11-22 9575
webapi项目通常需要考虑跨域,安全性等问题。今天总结一种最简单的方式,来保障webapi不被别人随便调用。这里总结下identityserver4的使用IdentityServer4 是最新也是比较容易上手的一个开源框架,你要是从IdentityServer3开始用,会很容易头大,搞不清楚所以然。就github上面的使用例 子看,IdentityServer4是比较容易理解上手的。这次
asp.net mvc webapi 实用的接口加密方法示例
最新发布
05-12
ASP.NET MVC WebAPI 是一种非常流行的开发框架,用来开发 Web 服务非常方便。在不少情况下,我们需要为 WebAPI 接口提供安全性增强,一种常见的方式是对接口进行加密。下面将介绍一些实用的接口加密方法示例。 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值