谈谈.NET CORE OAuth 2.0

最新推荐文章于 2022-10-15 19:33:01 发布
最新推荐文章于 2022-10-15 19:33:01 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: ASP.NET CORE MVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41372626/article/details/105056580
版权

什么是 OAuth 2.0?

OAuth 2.0 是一个委托协议,它可以让那些控制资源的人允许某个应用以代表他们来访问他们控制的资源,注意是代表这些人,而不是假冒或模仿这些人。这个应用从资源的所有者那里获得到授权(Authorization)access token(访问令牌),随后就可以使用这个 access token 来访问资源。

  • 假冒或模仿:客户端复制一份用户名和密码,从而获取相应权限
  • OAuth 2.0 是个委托协议:它不假冒用户,客户端应用无法获得用户名和密码(或其他凭证)

OAuth 2.0 特点:

  • 关于授权 Authorization

      仅做授权,无法做身份认证

  • Access Token
  • 支持多种客户端应用

OAuth 2.0 里面的三种角色

  • 资源所有者拥有访问 API 资源的权限,并且他还可以委派权限给其他应用来访问 API,资源所有者通常是可以使用浏览器的人
  • 受保护的资源就是资源所有者拥有权限去访问的组件,它可以是很多种形式的,最常见的还是 Web API
  • 客户端应用就是代表资源所有者访问被保护资源的一个软件,注意它既不是指浏览器,也不是指给你钱让你开发软件的人。在 OAuth 2.0 里面,它是指被保护的 API 资源的消费者

委托/委派权限

 

上面提到 OAuth 2.0 里面,最终用户可以委派他的一部分权限给客户端应用来代表最终用户访问被保护的资源。但要完成这件事,还需要一个桥梁来连接客户端应用和被保护资源,这个组件叫做授权服务器(Authorization Server, AS)

 

  • 授权服务器也许就是资源服务器,但是大多数情况下它们是不同的服务器
  • 授权服务器被受保护的资源信任
  • 授权服务器可以发布具有特定目的的 Access Token 给客户端应用

image.png

  1. 首先客户端需要获得权限,它可能有两种方式来获得权限:
  1. 从资源所有者那里直接获得权限(上图所示)也可以让授权服务器作为中介,从授权服务器那里间接的获得权限(下图所示)
  2. 如果使用授权服务器作为中介的话,客户端需要把资源所有者发送到授权服务器(可以理解为最终用户使用的浏览器被重定向到了授权服务器), 然后资源所有者在这可以对客户端应用进行授权
  3. 这时资源所有者要通过身份认证进入授权服务器,通常还会有一个是否同意授权客户端应用请求的选项,点击同意后就授权了。而从客户端应用的角度讲呢,它可以向资源所有者请求他一部分的功能和范围(Scope),在将来,资源所有者可能会逐渐减少它所拥有的功能和范围
  4. 至此,上面写的这个动作/东西叫做授权(Authorization Grant)
  5. 一旦执行了授权动作也就是客户端得到了授权(授权是一个可以代表资源所有者权限的凭据)。客户端便可以从授权服务器请求 Access Token 了。这个 Access Token 就可以被用来访问被保护的资源了

下图是使用授权服务器作为中介的流程图,除了授权,其它部分和上图表达的都是一个意思

image.png

授权 Authorization Grant

授权是一个代表着资源所有者权限的凭据,它可以被客户端应用来获取 Access Token。

 

OAuth 2.0 里面定义了 4 种类型的授权,分别是:

  1. Auhtorization Code 授权码
  2. Implicit
  3. Resource Owner Password Credentials
  4. Client Credentials

 

OAuth 2.0 还定义了一个扩展机制以便自定义其它的授权类型。

用一句话描述“授权(Authorization Grant)就是获取 Token 的方法”。

 

  • Authorization Code
  • 使用授权服务器作为客户端和资源所有者的中介在授权服务器把资源所有者送回(重定向)到客户端的时候带着这个临时的凭据 Authorization Code。它就代表着资源所有者委托给客户端应用的权限在安全方面的一些优点:
  • 可以对客户端应用进行身份认证Access Token 直接发送到客户端应用,不经过资源所有者的浏览器,所以不会将其暴露给外界,包括资源所有者
  • 适合 ASP.NET Core MVC 这类服务器端的客户端应用
  • Access Token 直接发送到 Web Server,不经过用户浏览器,不会暴露 Access Token
  • Implicit
  • Authorization Code 的简化版本
    • 针对浏览器内的客户端应用,例如 Angular SPA
    • 没有授权码发回给客户端应用的步骤,授权服务器直接把 Access Token 发回给了客户端应用,所以在浏览器内能获取到 Access Token
    • Implicit 授权确实可以提高浏览器内应用的响应性和效率,毕竟它减少了往返的次数。但是方便可能会带来风险,推荐尽量使用 Authorization Code
  • Resource Owner Password Credentials
  • 直接使用用户的密码作为授权来获得 Access Token
    • 仅当用户和客户端间高度信任且其他授权方式不可用时才可以使用这种授权方式
    • 这种凭据只应用于一次请求并用于交换 Access Token,避免客户端存储用户的凭据(密码)
  • 通过交换一个长期有效的 Access Token 或使用 Refresh Token都可以达到这种效果
  • Client Credentials
  • 受保护资源并不属于任意一个用户(没有用户对该资源负责),但客户端任需访问受保护资源
  • Device Code
  • Refresh Token
  • 通常能从授权服务器获得两个令牌:Access Token 和 Refresh Token
    • 当 Access Token 要过期时,我们使用 Refresh Token 再获取一个 Access Token

 

授权和认证

 

  • OAuth 2.0 授权 Authorization
  • 你能干什么
  • Openld Connect 身份认证 Authentication
  • 你是谁

 

文章主要参考于:https://www.cnblogs.com/cgzl/p/9221488.html

 

 

 

 

David Hongyu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用OAuth2客户端凭据保护的ASP.NET Core WebAPI
04-11
使用JWTToken利用IdentityServer4 / OAuth2访问.NET Core Web API。
.net Core项目实战实现Microsoft365 oauth2.0联合登录
a赟
05-27 1148
以下是关于Microsoft365基于oauth2联合登陆的个人学习参考网址: 1、官方开发文档:https://docs.microsoft.com/zh-cn/graph/overview?view=graph-rest-1.0 2、注册应用程序文档:https://docs.microsoft.com/zh-cn/graph/auth/auth-concepts?context=graph%2Fapi%2F1.0&view=graph-rest-1.0 3、获取用户信息文档:https:/.
ASP.NET Core实现OAuth2.0的AuthorizationCode模式
weixin_34104341的博客
04-04 1536
ASP.NET Core实现OAuth2的AuthorizationCode模式授权服务器Program.cs --> Main方法中:需要调用UseUrls设置IdentityServer4授权服务的IP地址1varhost=newWebHostBuilder()2.UseKestrel()3...
ASP.NET Core分布式项目实战(详解oauth2授权码流程)--学习笔记
dotNET跨平台
05-09 553
最近公司产品上线,通宵加班了一个月,一直没有更新,今天开始恢复,每日一更,冲冲冲任务13:详解oauth2授权码流程我们即将开发的产品有一个用户 API,一个项目服务 API,每个服务都...
asp.net core认证与授权:Oauth2.0概念及在.net core中的实现
无名指的约定
04-23 1795
为了让用户登录更方便,所以有了第三方登录,比如github,qq,淘宝等。oauth就是第三方登录的实现方案,第三方登录的原理: A 网站让用户跳转到 GitHub。 GitHub 要求用户登录,然后询问"A 网站要求获得 xx 权限,你是否同意?" 用户同意,GitHub 就会重定向回 A 网站,同时发回一个授权码。 A 网站使用授权码,向 GitHub 请求令牌。 GitHub 返回令牌. A 网站使用令牌,向 GitHub 请求用户数据。 1、概念解析 https://www.ruany
详解.NET实现OAuth2.0四种模式(1)
lweiyue的专栏
07-17 3295
一、OAuth2.0的角色 在OAuth2.0协议中,有4个角色,分别是: 用户:访问受限制资源的用户。 应用:第三方应用,可能是手机App、Web应用或者桌面程序。 授权服务器:负责用户授权、颁发令牌、管理应用等。 资源服务器:存放受限制资源。 授权服务器和资源服务可以是同一个服务器。 举个例子,我们在“同城交友”这款应用中,需要微信登录并使用微信头像,那么,用户就是我们,应用是“同城交友”,授权服务器就是微信登录授权的服务器,而资源服务器存放了我们微信的头像。 二、一般流程 使用O
NET Core中JWT+OAuth2.0实现SSO,附完整源码(.NET6)
xwnxwn的专栏
10-15 1441
https://www.cnblogs.com/wei325/p/16316004.html
.net core基于Oauth2+jwt两种方式实现身份认证(附单点登录)
xwnxwn的专栏
10-15 1822
securityKey明文,Java加密使用的是Base64返回的实体
详解.NET实现OAuth2.0四种模式(2)密码模式
lweiyue的专栏
07-20 2332
一、密码模式的认证流程 密码模式是比较简单的一种模式,其认证流程如下图所示: 二、受限资源设计 OAuth2.0设计的目的是限制某些资源的访问,用户必须认证通过之后才能访问。我们在项目中加入一个简单的Controller,作为资源示例。 右击项目,添加一个Web API控制器类(v2.1),如下图所示: 我们把这个类命名为ValuesController,在这个类中只添加一个函数: public IHttpActionResult Get() { return Ok(new s
.NET Core中JWT+OAuth2.0实现SSO,附完整源码(.NET6)
weixin_41120428的博客
08-03 774
一、简介 单点登录(SingleSignOn,SSO)指的是在多个应用系统中,只需登录一次,就可以访问其他相互信任的应用系统。JWTJson Web Token,这里不详细描述,简单说是一种认证机制。OAuth2.0OAuth2.0是一个认证流程,一共有四种方式,这里用的是最常用的授权码方式,流程为:1、系统A向认证中心先获取一个授权码code。2、系统A通过授权码code获取 token,refresh_token,expiry_time,scope。token:系统A向认证方获取资源请求时带上的toke
netcore+webapi+jwt+oauth2+swagger的例子
05-06
解决方案包含五个项目 1.WebApiClient:控制台调用接口项目 2.WebApiTest:.NetCore+jwt+swagger编写的接口 3.WebApiTest.ApiOauth2:.Net4.5+oauth2+swagger编写的接口 4.WebApiTest.ApiController:.Net4.5+jwt+swagger编写的接口 5.WebApiTest.MVC:在mvc中使用webapi(WebApiTest.ApiOauth2)
dotnet-千星项目OpenAuthNet基于NetCore21的快速开发框架
08-14
千星项目OpenAuth.Net基于.Net Core 2.1的快速开发框架。核心模块包括:组织机构、角色用户、权限授权、表单设计、工作流等。它的架构精良易于扩展,是中小企业的首选。
OAuth:.NET 5中的OAuth 2.0实现
04-03
OAuth .NET 5中的OAuth 2.0实现
确保aspnet-core-3-oauth2-openid-connect
02-09
确保aspnet-core-3-oauth2-openid-connect
AspNet.Security.OAuth.Providers:用于ASP.NET CoreOAuth 2.0社交身份验证提供程序
04-27
AspNet.Security.OAuth.Providers AspNet.Security.OAuth.Providers是安全中间件的集合,您可以在ASP.NET Core应用程序中使用它来支持 , 或类的社交身份验证提供程序。 它直接受到的倡议。 最新的正式版本可以在上...
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
.net core 实现oauth2.0服务端,含JWT
最新发布
06-09
要实现OAuth2.0服务端,需要遵循OAuth2.0协议,实现授权服务器和资源服务器之间的交互。以下是基本的步骤: 1.创建一个ASP.NET Core Web API项目。 2.安装IdentityServer4和Microsoft.AspNetCore.Authentication.JwtBearer NuGet包。 3.在Startup.cs中配置IdentityServer,并添加JwtBearer认证。 4.创建客户端和API资源,并将它们添加到IdentityServer中。 5.实现OAuth2.0授权终结点,例如授权码授权、密码授权、客户端凭证授权等。 6.实现API资源的保护,验证JWT令牌并确保访问令牌有效。 7.测试OAuth2.0授权和保护API资源。 下面是一个简单的示例,演示如何实现OAuth2.0服务端,包括JWT: 1. 在Startup.cs中配置IdentityServer和JwtBearer认证。示例代码如下: ```csharp public void ConfigureServices(IServiceCollection services) { //添加IdentityServer服务 services.AddIdentityServer() .AddInMemoryClients(Config.Clients) .AddInMemoryApiResources(Config.Apis) .AddDeveloperSigningCredential(); //添加JwtBearer认证 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.Authority = "http://localhost:5000"; //IdentityServer地址 options.RequireHttpsMetadata = false; //HTTPS设置为false,方便测试 options.Audience = "api1"; //API资源名称 }); services.AddControllers(); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseRouting(); app.UseIdentityServer(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); } ``` 2. 创建客户端和API资源。示例代码如下: ```csharp public static class Config { public static IEnumerable<Client> Clients => new List<Client> { new Client { ClientId = "client1", ClientSecrets = { new Secret("secret1".Sha256()) }, AllowedGrantTypes = GrantTypes.ClientCredentials, AllowedScopes = { "api1" } } }; public static IEnumerable<ApiResource> Apis => new List<ApiResource> { new ApiResource("api1", "My API") }; } ``` 3. 实现授权终结点。示例代码如下: ```csharp [HttpPost] [Route("/connect/token")] public async Task<IActionResult> Token([FromBody] TokenRequest request) { if (request.GrantType == "password") { var user = _userService.ValidateCredentials(request.UserName, request.Password); if (user != null) { var accessToken = await _tokenService.CreateAccessTokenAsync(user); return Ok(new { access_token = accessToken, token_type = "Bearer", expires_in = (int)_tokenService.Options.Expiration.TotalSeconds }); } } return BadRequest(new { error = "unsupported_grant_type" }); } ``` 4. 实现API资源的保护。示例代码如下: ```csharp [Authorize] [HttpGet] [Route("test")] public IActionResult Test() { return Ok(new { message = "Hello, World!" }); } ``` 以上是一个基本的OAuth2.0服务端实现,包括JWT。你可以根据自己的需求进行调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值