.NET 請求認證之access-token（oauth2.0與owin的結合）

      公司對外開放的接口，大多須要請求認證，如微信，阿里等。最近我恰好在搭建webapi框架。記錄一下本身的理解。

一：請求認證的目的

  之因此要對咱們的接口進行請求認證，就是爲了安全考慮的。之前都是在用別人給個人規則去生成token，如今也輪到本身開發了。嘿嘿

二：開發思路

  1：請求接口以前，用戶必須先去請求得到咱們的access-token。每次請求必須得帶上access-token來請求個人接口。不然咱們會拒絕外部請求。 

  2：access-token有時間的限制，過時的請求咱們依然會拒絕。

  3：對不一樣的外部者，應有不一樣的clientID。以便分配不一樣的權限。之後不合做了，咱們能夠取消他們的認證，並不會影響其餘的客戶。相似於微信的 Appid，Appsecret

三：建立Access-Token

      在api項目裏token驗證發生在進入接口以前，須要有一個啓動文件來執行token的判斷。在API項目下建立Startup.cs類。

     咱們須要在Nuget引用如下DLL：

• Microsoft.Owin.Security.OAuth
• Microsoft.Owin.Security
• Microsoft.Owin
• Microsoft.Owin.Host.SystemWeb
• OWIN
• Microsoft ASP.Net Web API 2.2 OWIN
• Microsoft ASP.Net Identity OWIN

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web.Http;
using Bn.Common;
using Microsoft.Owin;
using Microsoft.Owin.Cors;
using Microsoft.Owin.Security;
using Microsoft.Owin.Security.OAuth;
using Owin;

[assembly: OwinStartup(typeof(BnWebApi.Startup))]

namespace BnWebApi
{
    /// <summary>
    /// wuchen19-4-15
    /// </summary>
    public partial class Startup
    {
        //public void Configuration(IAppBuilder app)
        //{
        //    ConfigureAuth(app);
        //}
        public void Configuration(IAppBuilder app)
        {
            HttpConfiguration config = new HttpConfiguration();
            WebApiConfig.Register(config);
            ConfigureOAuth(app);
            app.UseCors(CorsOptions.AllowAll);
            app.UseWebApi(config);
        }

        public void ConfigureOAuth(IAppBuilder app)
        {
            var OAuthServerOptions = new OAuthAuthorizationServerOptions()
            {
                AllowInsecureHttp = true, //容許客戶端使用Http協議請求
                TokenEndpointPath = new PathString("/token"), //請求地址
                //AccessTokenExpireTimeSpan = TimeSpan.FromDays(1), //token過時時間
                AccessTokenExpireTimeSpan = TimeSpan.FromHours(1),
                Provider = new SimpleAuthorizationServerProvider(),//提供認證策略
                RefreshTokenProvider = new SimpleRefreshTokenProvider() //refresh_token 受權服務
            };
            app.UseOAuthAuthorizationServer(OAuthServerOptions);
            app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
        }




    }
}

這個SimpleRefreshTokenProvider（）方法就是咱們驗證Client信息和生成Token的地方

using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Claims;
using System.Text;
using System.Threading.Tasks;
using Microsoft.Owin.Security;
using Microsoft.Owin.Security.OAuth;
using  System.Configuration;

namespace Bn.Common
{
    /// <summary>
    /// Token驗證    wuchen  5-17
    /// </summary>
    public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
    {


        #region  AccessToken生成機制   密碼模式   
        ////Oauth AccessToken  grant_type=password

        //public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        //{
        //    await Task.Factory.StartNew(() => context.Validated());
        //}
        //public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
        //{
        //    await Task.Factory.StartNew(() => context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" }));
        //    var identity = new ClaimsIdentity(context.Options.AuthenticationType);
        //    var bnauth = ConfigurationManager.AppSettings["Oauth"];  //BnUser-123456
        //    var bnstr = bnauth.Split('-');
        //    var bnuser = bnstr[0];
        //    var bnpassword = bnstr[1];
        //    if (context.UserName != bnuser || context.Password != bnpassword)
        //    {
        //        context.SetError("invalid_client", "帳號密碼認證失敗");
        //         return;
        //    }
        //    identity.AddClaim(new Claim("sub", context.UserName));
        //    identity.AddClaim(new Claim("role", "user"));
        //    context.Validated(identity);
        //}
        #endregion



        #region  AccessToken生成機制   客戶端模式     
        // grant_type= client_credentials
        public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        {
            string clientId;
            string clientSecret;
            context.TryGetFormCredentials(out clientId, out clientSecret);
            //驗證
            //var bnauth = ConfigurationManager.AppSettings["Oauth"];  //BnUser-123456
            //var bnstr = bnauth.Split('-');
            //var bnuser = bnstr[0];
            //var bnpassword = bnstr[1];
            //if (clientId != bnuser || clientSecret != bnpassword)
            //{
            //    context.SetError("invalid_client", "帳號密碼認證失敗");
            //    return;
            //}

            var gkey = ConfigurationManager.AppSettings[clientId];  //BnUser-123456
            if (clientSecret != gkey)
            {
                context.SetError("invalid_client", "帳號密碼認證失敗");
                return;
            }

            context.OwinContext.Set("as:client_id", clientId);
            await Task.Factory.StartNew(() => context.Validated(clientId));
            //context.Validated(clientId);
        }
        /// <summary>
        ///     客戶端受權[生成access token]
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task GrantClientCredentials(OAuthGrantClientCredentialsContext context)
        {
            var oAuthIdentity = new ClaimsIdentity(context.Options.AuthenticationType);
            oAuthIdentity.AddClaim(new Claim(ClaimTypes.Name, context.OwinContext.Get<string>("as:client_id")));
            var ticket = new AuthenticationTicket(oAuthIdentity, new AuthenticationProperties { AllowRefresh = true });
            context.Validated(ticket);
            return base.GrantClientCredentials(context);
        }
        #endregion

    }
}

兩種模式都是能夠用的。。密碼模式和客戶端模式。GrantClientCredentials方法爲咱們生成Token的方法。。有了這些咱們就能夠生成token啦。

Oauth支持的5類 grant_type 及說明（
authorization_code — 受權碼模式(即先登陸獲取code,再獲取token)
password — 密碼模式(將用戶名,密碼傳過去,直接獲取token)
client_credentials — 客戶端模式(無用戶,用戶向客戶端註冊,而後客戶端以本身的名義向’服務端’獲取資源)
implicit — 簡化模式(在redirect_uri 的Hash傳遞token; Auth客戶端運行在瀏覽器中,如JS,Flash)
refresh_token — 刷新access_token） 

四：獲取Token

輸入參數：grant_type：驗證模式 ，   client_id ：服務端定義 ，  client_secret：祕鑰 服務端和客戶端共同保存   相似於微信的Appsecrret

生成項目，而後本地用Postman調試

返回的參數分別是:access_token:咱們須要的token        token_type ：bearer  （協議固定）         expires_in：有效期（能夠自定義）        refresh_token：token從新過時後，從新獲取token用到（暫時沒用）

  五：使用access_token訪問接口路由

 在Webapi中 ,咱們用在方法加上 Authorize ，來表示這個方法訪問須要受權， 若是不加Authorize ，那麼token就沒有意義。。  以下

 

咱們不帶token訪問一下看看：

 

 顯示已拒絕咱們的請求受權。

 加了access-Token以後，注意token放的位置，在請求頭Headers裏  添加 Authorization：bearer token。      bearer與token之間有一個空格

驗證的過程，是在咱們Oauth2.0封裝起來啦，能夠查看。

到這裏，用Oauth2.0加Owin的Webapi請求驗證--accesstoken完成。。基本每一步都有註釋，很好理解

     

      簡單的兩句代碼，雙倍的快樂