[转载]在.NET中实现OAuth身份认证

最新推荐文章于 2024-05-11 23:00:37 发布
最新推荐文章于 2024-05-11 23:00:37 发布
阅读量271 收藏
点赞数
文章标签: c#

在.NET中实现OAuth身份认证

来源:李会军

OAuth为开放API的授权提供了一个安全且开放的标准,它的第一个版本发布于2007年,OAuth 2.0协议版本还在处于草稿状态。到现在为止,大多数开放API的互联网站都采用OAuth方式来进行授权,如前一段时间Twitter取消HTTP Basic认证方式而采用OAuth,国内的豆瓣应该是使用OAuth的先行者,而新浪微博开放平台同时支持HTTP Basic和OAuth两种方式。使用OAuth最大的好处在于第三方应用无需知道用户的账号信息(如用户名与密码)就可以申请获得该用户资源的授权。本文首先我会简单介绍一下HTTP Basic认证方式,而后面详细介绍在.NET中如何使用OAuth方式进行认证。

HTTP Basic认证

如果采用HTTP Basic认证方式,一般的做法是在HTTP请求头中添加Authorization标头,把用户名和密码装换为Base64编码放在HTTP请求头中,用.NET非常简单的就可以实现,如下代码所示:

string url = "http://terrylee.me/blog";
HttpWebRequest request = HttpWebRequest.Create(url) as HttpWebRequest;

string username = "myusername";
string password = "mypassword";

string up = username + ":" + password;
CredentialCache cache = new CredentialCache();
cache.Add(new Uri(url), "Basic", new NetworkCredential(username, password));
request.Credentials = cache;
request.Headers.Add("Authorization", "Basic " + Convert.ToBase64String(new ASCIIEncoding().GetBytes(up)));

HttpWebResponse response = request.GetResponse() as HttpWebResponse;
Stream stream = response.GetResponseStream();
StreamReader reader = new StreamReader(stream, Encoding.UTF8);
Console.WriteLine(reader.ReadToEnd());

在发起请求后,可以看到HTTP头中的Authorization标头:

关于HTTP Basic认证的详细内容大家可以参考RFC2617。可以看到使用HTTP Basic认证的缺点在于第三方应用需要知道用户账号信息,存在着很多的不安全因素。

OAuth认证

在使用OAuth认证时,有3个常用的URL需要首先了解一下:

A. 获取未授权的Request Token B. 请求用户对Request Token授权 C. 使用授权Request Token换取Access Token

整个认证过程可以分为3步,我们用下面的流程图来表示:



接下来我们以豆瓣的OAuth认证为例,具体看一下每一步需要做什么。首先可以在http://code.google.com/p/oauth/下载到各种语言实现OAuth类库,因为我们的示例用C#来实现(完整的示例代码在这里能够下载到),所以只用下载到的OAuthBase类就够了,另外在开始之前还需要到豆瓣去创建一个应用,以便能够拿到api_key和api_Secret。

第一步,获取未授权的Request Token,请求的地址为http://www.douban.com/service/auth/request_token,在这一步里的请求参数oauth_consumer_key就是我们在上面创建应用时得到的api_key,而计算签名使用的Secret也就是上面创建应用时得到的api_secret:

//1. 获取Request Token,该步骤使用API Key和API Key Secret签名
public void getRequestToken()
{
Uri uri = requestTokenUri;
string nonce = oAuth.GenerateNonce();
string timeStamp = oAuth.GenerateTimeStamp();
string normalizeUrl, normalizedRequestParameters;

// 签名
string sig = oAuth.GenerateSignature(
        uri,
        apiKey,
        apiKeySecret,
string.Empty,
string.Empty,
"GET",
        timeStamp,
        nonce,
OAuthBase.SignatureTypes.HMACSHA1,
out normalizeUrl,
out normalizedRequestParameters);
    sig = HttpUtility.UrlEncode(sig);

//构造请求Request Token的url
StringBuilder sb = new StringBuilder(uri.ToString());
    sb.AppendFormat("?oauth_consumer_key={0}&", apiKey);
    sb.AppendFormat("oauth_nonce={0}&", nonce);
    sb.AppendFormat("oauth_timestamp={0}&", timeStamp);
    sb.AppendFormat("oauth_signature_method={0}&", "HMAC-SHA1");
    sb.AppendFormat("oauth_version={0}&", "1.0");
    sb.AppendFormat("oauth_signature={0}", sig);

Console.WriteLine("请求Request Token的url: \n" + sb.ToString());

//请求Request Token
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(sb.ToString());
HttpWebResponse response = (HttpWebResponse)request.GetResponse();
StreamReader stream = new StreamReader(response.GetResponseStream(), System.Text.Encoding.UTF8);
string responseBody = stream.ReadToEnd();
    stream.Close();
    response.Close();

Console.WriteLine("请求Request Token的返回值: \n" + responseBody);

//解析返回的Request Token和Request Token Secret
Dictionary<string, string> responseValues = parseResponse(responseBody);
    requestToken = responseValues["oauth_token"];
    requestTokenSecret = responseValues["oauth_token_secret"];
}

通过这一步我们可以得到Request Token和Request Token Secret。

第二步,请求用户对Request Token授权,跳转到服务提供方授权页面(本例中指豆瓣http://www.douban.com/service/auth/authorize),在跳转到授权页面时需要传递第一步获取的Request Token。另外,在请求授权页面时还有一个可选参数oauth_callback,指用户授权完全后跳转回的页面,对于Web应用来说,这一步不是什么问题,使用浏览器进行跳转就可以了。但是如果第三方应用是客户端程序,就显的有些麻烦,新浪微博API使用的解决方案是如果第三方应用是客户端应用,则在用户授权完成后,生成一个PIN码,第三方应用会要求用户输入这个PIN码。

// 2. 用户确认授权
public void authorization()
{
//生成引导用户授权的url
string url =  authorizationUri + requestToken;

Console.WriteLine("请将下面url粘贴到浏览器中,并同意授权,同意后按任意键继续:");
Console.WriteLine(url);
}

第三步,使用授权的Request Token换取Access Token,请求的地址为http://www.douban.com/service/auth/access_token,这一步的请求过程与第一步大同小异,唯一不同的地方在于计算签名时需要同时使用创建应用时获取的api_secret和第一步获取的Request Token Secret,在请求的结果中将会包含Access Token和Access Token Secret。

// 3. 换取Access Token,该步骤使用API Key、API Key Secret、Request Token和Request Token Secret签名
public void getAccessToken()
{
Uri uri = accessTokenUri;
string nonce = oAuth.GenerateNonce();
string timeStamp = oAuth.GenerateTimeStamp();
string normalizeUrl, normalizedRequestParameters;

// 签名
string sig = oAuth.GenerateSignature(
        uri,
        apiKey,
        apiKeySecret,
        requestToken,
        requestTokenSecret,
"GET",
        timeStamp,
        nonce,
OAuthBase.SignatureTypes.HMACSHA1,
out normalizeUrl,
out normalizedRequestParameters);
    sig = HttpUtility.UrlEncode(sig);

//构造请求Access Token的url
StringBuilder sb = new StringBuilder(uri.ToString());
    sb.AppendFormat("?oauth_consumer_key={0}&", apiKey);
    sb.AppendFormat("oauth_nonce={0}&", nonce);
    sb.AppendFormat("oauth_timestamp={0}&", timeStamp);
    sb.AppendFormat("oauth_signature_method={0}&", "HMAC-SHA1");
    sb.AppendFormat("oauth_version={0}&", "1.0");
    sb.AppendFormat("oauth_signature={0}&", sig);
    sb.AppendFormat("oauth_token={0}&", requestToken);

Console.WriteLine("请求Access Token的url: \n" + sb.ToString());

//请求Access Token
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(sb.ToString());
HttpWebResponse response = (HttpWebResponse)request.GetResponse();
StreamReader stream = new StreamReader(response.GetResponseStream(), System.Text.Encoding.UTF8);
string responseBody = stream.ReadToEnd();
    stream.Close();
    response.Close();

Console.WriteLine("请求Access Token的返回值: \n" + responseBody);

//解析返回的Request Token和Request Token Secret
Dictionary<string, string> responseValues = parseResponse(responseBody);
    accessToken = responseValues["oauth_token"];
    accessTokenSecret = responseValues["oauth_token_secret"];
}

到这一步为止,整个认证过程就已经完成了。现在有了Access Token和Access Token Secret,就可以访问受限资源了,在计算签名时需要使用创建应用时得到的api_secret和这一步得到的Access Token Secret,OAuth认证信息推荐添加在HTTP请求标头中,如使用豆瓣API发送广播:

POST http://api.douban.com/miniblog/saying HTTP/1.1
Authorization: OAuth realm="",
    oauth_consumer_key=0c7c3ca26a68d2ad2574b5e73f3a7807,
    oauth_nonce=8559837,
    oauth_timestamp=1284995469,
    oauth_signature_method=HMAC-SHA1,
    oauth_version=1.0,
    oauth_signature=HmkcQjhd6B3pZ%2fRWkJ23VAxlHKQ%3d,
    oauth_token=136c07ebc88d53ec3a4417c359a7fbc4

Content-Type: application/atom+xml
Host: api.douban.com
Content-Length: 172

<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns:ns0="http://www.w3.org/2005/Atom" xmlns:db="http://www.douban.com/xmlns/">
<content>C# OAuth认证成功</content>
</entry>

OAuth的认证过程虽然相比较HTTP Basic稍显有些复杂,但只要弄清楚了整个过程,还是比较简单的,总结起来就是获取Request Token,请求用户授权,换取Access Token三个步骤。

参考资料:

1. OAuth官方网站:http://oauth.net/

2. OAuth规范中文描述:http://www.rollingcode.org/blog/f/oauth-core-1.0-final-cn.html

3. 豆瓣OAuth认证示例:http://code.google.com/p/douban-oauth-sample/

4. 豆瓣API OAuth认证:http://www.douban.com/service/apidoc/auth

weixin_34368949
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth .net 例子
11-04
介绍用c#实现 oauth验证的例子 介绍用c#实现 oauth验证的例子
OAuth.net
04-01
OAuth.net 是一个 .NET 的库用以提供完整的 OAuth 的客户端和提供者的开发支持,适用于 Web 应用以及桌面应用。
详解.NET实现OAuth2.0四种模式(1)
lweiyue的专栏
07-17 3387
一、OAuth2.0的角色 在OAuth2.0协议,有4个角色,分别是: 用户:访问受限制资源的用户。 应用:第三方应用,可能是手机App、Web应用或者桌面程序。 授权服务器:负责用户授权、颁发令牌、管理应用等。 资源服务器:存放受限制资源。 授权服务器和资源服务可以是同一个服务器。 举个例子,我们在“同城交友”这款应用,需要微信登录并使用微信头像,那么,用户就是我们,应用是“同城交友”,授权服务器就是微信登录授权的服务器,而资源服务器存放了我们微信的头像。 二、一般流程 使用O
ASP.NET WebApi 如何使用 OAuth2.0 认证
最新发布
yangshuquan的专栏
05-11 1204
OAuth2.0 和 JWT 在使用 Token 进行身份验证时有相似之处,如果只是拿来用于颁布 Token 的话,二者没区别,如本例,但实际上它们是完全不同的两种东西,OAuth2.0 是授权认证的框架,JWT 则是认证验证的方式方法(轻量级概念)。OAuth2.0 更多用在使用第三方账号登录的情况(比如使用 weibo,qq,github 等登录某个 app)其优势在于可以实现用户授权而无需透露密码,同时提供了更安全和灵活的授权机制,更好地保护用户数据和系统安全。
详解.NET实现OAuth2.0四种模式(2)密码模式
lweiyue的专栏
07-20 2441
一、密码模式的认证流程 密码模式是比较简单的一种模式,其认证流程如下图所示: 二、受限资源设计 OAuth2.0设计的目的是限制某些资源的访问,用户必须认证通过之后才能访问。我们在项目加入一个简单的Controller,作为资源示例。 右击项目,添加一个Web API控制器类(v2.1),如下图所示: 我们把这个类命名为ValuesController,在这个类只添加一个函数: public IHttpActionResult Get() { return Ok(new s
asp.net实现OAuth认证服务端接口
weixin_34088598的博客
07-23 129
现在的互联网是开放的互联网,你要想融入这个开放的环境,当然自己也要开放一点。如果你希望别人能够很方便的使用你的网站上的用户及数据,当然要提 供比较开放一点的接口。如果能够实现标准的OAuth认证接口,第三方用户在开发的时候就会容易很多,因为他们很可能在开发微博程序的时候已经做过同样的 事写过很多这样的代码了。 不过C#实现OAuth认证还真是挺烦的,主要是,类库有好几个,但是,都找不到文档。适用于...
AspNet.Security.OAuth.Providers:用于ASP.NET Core的OAuth 2.0社交身份验证提供程序
04-27
AspNet.Security.OAuth.Providers AspNet.Security.OAuth.Providers是安全间件的集合,您可以在ASP.NET Core应用程序使用它来支持 , 或类的社交身份验证提供程序。 它直接受到的倡议。 最新的正式版本可以在上...
OAuth:.NET 5OAuth 2.0实现
04-03
.NET 5,开发人员可以利用Microsoft.AspNetCore.Authentication.OAuth库来实现OAuth 2.0的功能。这个库为.NET 5应用程序提供了与OAuth 2.0服务器交互的能力,例如获取访问令牌、刷新令牌以及处理用户身份验证。 ...
bnet-auth-service:REST微服务,用于使用由Fastify提供支持的Battle.net API进行OAuth身份验证
04-04
访问令牌是身份验证过程的密切而易变的部分,它们不应在野外运行。 该服务旨在在本地运行,或者作为更大,更安全的API体系结构的一部分运行。 要求 Node.js(首选LTS) Redis服务器-推荐,但不是必需的 Battle.net...
浅谈如何在ASP.NET Core实现一个基础的身份认证
10-20
本篇文章将探讨如何在ASP.NET Core实现一个基础的身份认证机制,也就是登录功能。 首先,我们需要进行前期准备。确保你拥有Visual Studio 2015 Update 3或者更高版本的IDE,以及.NET Core的运行环境和开发工具。...
使用Google Authenticator在ASP.NET MVC实现两因素身份验证
04-11
在ASP.NET MVC框架,为你的Web应用实施两因素身份验证(2FA)是一种增强用户安全性的有效方法。Google Authenticator是一款广泛使用的2FA工具,它通过生成一次性密码(OTP)来提供额外的安全层。本篇文章将深入...
.net core基于Oauth2+jwt两种方式实现身份认证(附单点登录)
xwnxwn的专栏
10-15 1957
securityKey明文,Java加密使用的是Base64返回的实体
详解.NET实现OAuth2.0四种模式(3)客户端模式
lweiyue的专栏
07-20 1113
一、客户端模式的认证流程 客户端模式也是一种比较简单的模式,其跟密码模式类似,只是不用用户名和密码去认证,而使用AppID、AppSecret认证。在客户端模式下,认证的主体是应用,而非用户。 二、客户端模式的实现 客户端模式的实现过程跟密码模式基本是一致的,相同的部分不再赘述,所以还没了解密码模式的读者请先阅读上一章。 我们在上一章,创建了一个简单的Controller作为资源示例,创建了一个Startup类,作为网站入口。这些内容在客户端模式下都是完全相同的。唯一有区别的是Authoriz
详解.NET实现OAuth2.0四种模式(4)授权码模式
lweiyue的专栏
07-20 2064
一、授权码模式认证流程 授权码模式是最为安全,同时也最为复杂的一种模式。其认证流程如下图所示: 可能有的人会问,为什么要多出授权码这个东西呢,没有它不行吗?(我自己一开始也有这个疑问)确实是不行,我们来看一下。 我们拿“同城交友”APP微信登录这个例子来解释。首先,用户名、密码就是我们的微信号和密码,我们是不能交给“同城交友”这个APP的。所以,我们在微信官方的登录页上完成了微信号和密码的输入(当然,也可能是手机扫一扫)。完成之后,我们能不能直接把AccessToken交给APP去访问资源呢?还不
.net OWIN 实现 OAuth2.0
一只小迷糊虫
08-20 2833
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的 2 小时内)内访问特定的资源(例如仅仅是某一相册的视频)。这...
Network 【OAuth 认证流程详解】
CoderZYWang
02-19 1176
很多网站、APP 弱化甚至没有搭建自己的账号体系,而是直接使用社会化登录的方式,这样不仅免去了用户注册账号的麻烦、还可以获取用户的好友关系来增强自身的社交功能。 比如我们可以使用微博登录简书,简书会自动将你的微博头像设置为你的简书头像,将你的微博昵称设置为你的简书昵称,甚至还可以获取你微博的好友列表,提示你哪些朋友已经在使用简书,这是如何做到的呢?
web服务器应用使用Oauth
面朝大海,春暖花开
06-25 686
web服务器应用使用Oauth 摘自《OAuth2.0 Identity and Access Management Patterns》 授权码模式(Authorization code grant) 我们了解到授权码模式有以下特性: 授权码模式一般用于信任的客户端(confidential clients) 它需要重定向,因此它是基于重定向的流程(redirection-base...
使用OAuth打造webapi认证服务供自己的客户端使用(二)
weixin_34119545的博客
11-28 234
在上一篇”使用OAuth打造webapi认证服务供自己的客户端使用“的文章我们实现了一个采用了OAuth流程3-密码模式(resource owner password credentials)的WebApi服务端。今天我们来实现一个js+html版本的客户端。 一、angular客户端 angular版本的客户端代码来自于http://bitoftech.net/2014/06/01/to...
.NET进阶八)身份认证与授权/Authrize特性/Filter过滤器
Tiger_shl的博客
05-30 887
目录 一、身份验证与授权 二、使用Authrize特性实现授权 三、网站错误处理 四、过滤器的使用 一、身份验证与授权 身份认证与Session对象 基于Session保存用户状态和信息 基于Session保存用户状态和信息,比如登录信息,相当于授权 在访问具体页面时,如果检测到没有登录,则禁止用户某些操作 不足之处 Session具有生命周期,超过规定...
.net core 实现oauth2
05-22
.NET Core 实现 OAuth2,可以使用 IdentityServer4 这个第三方库。IdentityServer4 是一个基于 OpenID Connect 和 OAuth2 协议的身份认证和授权框架。以下是实现步骤: 1. 安装 IdentityServer4 使用 NuGet 安装 IdentityServer4 包: ``` Install-Package IdentityServer4 ``` 2. 配置 OAuth2 在 Startup.cs 文件的 ConfigureServices 方法,添加 IdentityServer4 服务: ```csharp services.AddIdentityServer() .AddInMemoryClients(new List<Client>()) .AddInMemoryApiResources(new List<ApiResource>()) .AddInMemoryIdentityResources(new List<IdentityResource>()) .AddTestUsers(new List<TestUser>()); ``` 这里使用了 InMemory 存储,也可以使用其他存储方式,如数据库存储。需要添加客户端、API 资源、身份资源和测试用户。 3. 配置授权 在 Startup.cs 文件的 Configure 方法,添加 IdentityServer4 间件: ```csharp app.UseIdentityServer(); ``` 然后,可以在控制器添加 [Authorize] 属性来保护需要授权的 API。 4. 获取访问令牌 客户端可以使用 OAuth2 的授权码模式或者密码模式来获取访问令牌。这里以授权码模式为例: 客户端首先重定向到 IdentityServer4 的授权页面: ``` https://localhost:5001/connect/authorize?client_id=client&response_type=code&redirect_uri=https%3A%2F%2Flocalhost%3A5002%2Fsignin-oidc&scope=api1 openid&state=123456 ``` 用户登录并授权后,将重定向回客户端的回调地址,并在 URL 包含授权码。客户端使用这个授权码来获取访问令牌: ```csharp var client = new HttpClient(); var tokenResponse = await client.RequestAuthorizationCodeTokenAsync(new AuthorizationCodeTokenRequest { Address = "https://localhost:5001/connect/token", ClientId = "client", ClientSecret = "secret", RedirectUri = "https://localhost:5002/signin-oidc", Code = code, }); var accessToken = tokenResponse.AccessToken; ``` 以上是简单的 OAuth2 实现过程,在实际应用需要根据具体业务需求进行更加详细的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值