使用OAuth打造webapi認證服務供本身的客戶端使用
1、什麼是OAuthhtml
OAuth是一個關於受權(Authorization)的開放網絡標準,目前的版本是2.0版。注意是Authorization(受權),而不是Authentication(認證)。用來作Authentication(認證)的標準叫作openid connect,咱們將在之後的文章中進行介紹。jquery
2、名詞定義ios
理解OAuth中的專業術語可以幫助你理解其流程模式,OAuth中經常使用的名詞術語有4個,爲了便於理解這些術語,咱們先假設一個很常見的受權場景:git
你訪問了一個日誌網站(third party application),你(client)以爲這個網站很不錯,準備之後就要在這個網站上寫日誌了,因此你準備把QQ空間(Resource owner)裏面的日誌都導入進來。此日誌網站想要導入你在QQ空間中的日誌須要知道你的QQ用戶名和密碼才行,爲了安全期間你不會把你的QQ用戶名和密碼直接輸入在日誌網站中,因此日誌網站幫你導航到了QQ認證界面(Authorization Server),當你輸入完用戶名和密碼後,QQ認證服務器返回給日誌網站一個token, 該日誌網站憑藉此token來訪問你在QQ空間中的日誌。web
- third party application 第三方的應用,想要的到Resource owner的受權
- client 表明用戶
- Resource owner 資源擁有者,在這裏表明QQ
- Authorization server 認證服務,這裏表明QQ認證服務,Resource owner和Authorization server能夠是不一樣的服務器,也能夠是同一個服務器。
3、OAuth2.0中的四種模式數據庫
OAuth定義了四種模式,覆蓋了全部的受權應用場景:json
- 受權碼模式(authorization code)
- 簡化模式(implicit)
- 密碼模式(resource owner password credentials)
- 客戶端模式(client credentials)
前面咱們假設的場景能夠用前兩種模式來實現,不一樣之處在於:api
當日志網站(third party application)有服務端,使用模式1;安全
當日志網站(third party application)沒有服務端,例如純的js+html頁面須要採用模式2;服務器
本文主描述利用OAuth2.0實現本身的WebApi認證服務,前兩種模式使用場景不符合咱們的需求。
4、選擇合適的OAuth模式打造本身的webApi認證服務
場景:你本身實現了一套webApi,想供本身的客戶端調用,又想作認證。
這種場景下你應該選擇模式3或者4,特別是當你的的客戶端是js+html應該選擇3,當你的客戶端是移動端(ios應用之類)能夠選擇3,也能夠選擇4。
密碼模式(resource owner password credentials)的流程:
這種模式的流程很是簡單:
- 用戶向客戶端(third party application)提供用戶名和密碼。
- 客戶端將用戶名和密碼發給認證服務器(Authorization server),向後者請求令牌(token)。
- 認證服務器確認無誤後,向客戶端提供訪問令牌。
- 客戶端持令牌(token)訪問資源。
此時third party application表明咱們本身的客戶端,Authorization server和Resource owner表明咱們本身的webApi服務。咱們在日誌網站的場景中提到:用戶不能直接爲日誌網站(third party application)提供QQ(resource owner)的用戶名和密碼。而此時third party application、authorization server、resource owner都是一家人,Resource owner對third party application足夠信任,因此咱們才能採起這種模式來實現。
5、使用owin來實現密碼模式
owin集成了OAuth2.0的實現,因此在webapi中使用owin來打造authorization無疑是最簡單最方便的方案。
- 新建webApi項目
- 安裝Nuget package:
Microsoft.AspNet.WebApi.Owin
Microsoft.Owin.Host.SystemWeb
- 增長owin的入口類:Startup.cs
在項目中新建一個類,命名爲Startup.cs,這個類將做爲owin的啓動入口,添加下面的代碼
[assembly: OwinStartup(typeof(OAuthPractice.ProtectedApi.Startup))]
namespace OAuthPractice.ProtectedApi
{
public class Startup
{
public void Configuration(IAppBuilder app)
{
var config = new HttpConfiguration();
WebApiConfig.Register(config);
app.UseWebApi(config);
}
}
}
另外修改WebApiConfig.Register(HttpConfiguration config)方法:
public static class WebApiConfig
{
public static void Register(HttpConfiguration config)
{
config.MapHttpAttributeRoutes();
config.Routes.MapHttpRoute(
name: "DefaultApi",
routeTemplate: "api/{controller}/{id}",
defaults: new { id = RouteParameter.Optional }
);
var jsonFormatter = config.Formatters.OfType<JsonMediaTypeFormatter>().First();
jsonFormatter.SerializerSettings.ContractResolver = new CamelCasePropertyNamesContractResolver();
}
}
最後兩句話將會使用CamelCase命名法序列化webApi的返回結果。
3.使用ASP.NET Identity 實現一個簡單的用戶認證功能,以便咱們生成用戶名和密碼
安裝nuget package:
Microsoft.AspNet.Identity.Owin
Microsoft.AspNet.Identity.EntityFramework
4.新建一個Auth的文件夾,並添加AuthContext類:
public class AuthContext : IdentityDbContext<IdentityUser>
{
public AuthContext():base("AuthContext")
{
}
}
同時在web.config中添加connectionString:
<connectionStrings>
<add name="AuthContext" connectionString="Data Source=.;Initial Catalog=OAuthPractice;Integrated Security=SSPI;" providerName="System.Data.SqlClient" />
</connectionStrings>
5.增長一個Entities文件夾並添加UserModel類:
public class UserModel
{
[Required]
[Display(Name = "UserModel name")]
public string UserName { get; set; }
[Required]
[StringLength(100, ErrorMessage = "The {0} must be at least {2} characters long.", MinimumLength = 6)]
[DataType(DataType.Password)]
[Display(Name = "Password")]
public string Password { get; set; }
[DataType(DataType.Password)]
[Display(Name = "Confirm password")]
[Compare("Password", ErrorMessage = "The password and confirmation password do not match.")]
public string ConfirmPassword { get; set; }
}
6.在Auth文件夾下添加AuthRepository類,增長用戶註冊和查找功能:
public class AuthRepository : IDisposable
{
private AuthContext _ctx;
private UserManager<IdentityUser> _userManager;
public AuthRepository()
{
_ctx = new AuthContext();
_userManager = new UserManager<IdentityUser>(new UserStore<IdentityUser>(_ctx));
}
public async Task<IdentityResult> RegisterUser(UserModel userModel)
{
IdentityUser user = new IdentityUser
{
UserName = userModel.UserName
};
var result = await _userManager.CreateAsync(user, userModel.Password);
return result;
}
public async Task<IdentityUser> FindUser(string userName, string password)
{
IdentityUser user = await _userManager.FindAsync(userName, password);
return user;
}
public void Dispose()
{
_ctx.Dispose();
_userManager.Dispose();
}
}
七、增長AccountController
[RoutePrefix("api/Account")]
public class AccountController : ApiController
{
private readonly AuthRepository _authRepository = null;
public AccountController()
{
_authRepository = new AuthRepository();
}
// POST api/Account/Register
[AllowAnonymous]
[Route("Register")]
public async Task<IHttpActionResult> Register(UserModel userModel)
{
if (!ModelState.IsValid)
{
return BadRequest(ModelState);
}
IdentityResult result = await _authRepository.RegisterUser(userModel);
IHttpActionResult errorResult = GetErrorResult(result);
if (errorResult != null)
{
return errorResult;
}
return Ok();
}
protected override void Dispose(bool disposing)
{
if (disposing)
{
_authRepository.Dispose();
}
base.Dispose(disposing);
}
private IHttpActionResult GetErrorResult(IdentityResult result)
{
if (result == null)
{
return InternalServerError();
}
if (!result.Succeeded)
{
if (result.Errors != null)
{
foreach (string error in result.Errors)
{
ModelState.AddModelError("", error);
}
}
if (ModelState.IsValid)
{
// No ModelState errors are available to send, so just return an empty BadRequest.
return BadRequest();
}
return BadRequest(ModelState);
}
return null;
}
}
Register方法打上了AllowAnonymous標籤,意味着調用這個api無需任何受權。
8.增長一個OrderControll,添加一個受保護的api用來作實驗
在Models文件夾下增長Order類:
public class Order
{
public int OrderID { get; set; }
public string CustomerName { get; set; }
public string ShipperCity { get; set; }
public Boolean IsShipped { get; set; }
public static List<Order> CreateOrders()
{
List<Order> OrderList = new List<Order>
{
new Order {OrderID = 10248, CustomerName = "Taiseer Joudeh", ShipperCity = "Amman", IsShipped = true },
new Order {OrderID = 10249, CustomerName = "Ahmad Hasan", ShipperCity = "Dubai", IsShipped = false},
new Order {OrderID = 10250,CustomerName = "Tamer Yaser", ShipperCity = "Jeddah", IsShipped = false },
new Order {OrderID = 10251,CustomerName = "Lina Majed", ShipperCity = "Abu Dhabi", IsShipped = false},
new Order {OrderID = 10252,CustomerName = "Yasmeen Rami", ShipperCity = "Kuwait", IsShipped = true}
};
return OrderList;
}
}
增長OrderController類:
[RoutePrefix("api/Orders")]
public class OrdersController : ApiController
{
[Authorize]
[Route("")]
public List<Order> Get()
{
return Order.CreateOrders();
}
}
咱們在Get()方法上加了Authorize標籤,因此此api在沒有受權的狀況下將返回401 Unauthorize。使用postman發個請求試試:
9. 增長OAuth認證
public class Startup
{
public void Configuration(IAppBuilder app)
{
var config = new HttpConfiguration();
WebApiConfig.Register(config);
ConfigureOAuth(app);
//這一行代碼必須放在ConfiureOAuth(app)以後
app.UseWebApi(config);
}
public void ConfigureOAuth(IAppBuilder app)
{
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
{
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30),
Provider = new SimpleAuthorizationServerProvider()
};
// Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
}
ConfigureOAuth(IAppBuilder app)方法開啓了OAuth服務。簡單說一下OAuthAuthorizationServerOptions中各參數的含義:
AllowInsecureHttp:容許客戶端使用http協議請求;
TokenEndpointPath:token請求的地址,即http://localhost:端口號/token;
AccessTokenExpireTimeSpan :token過時時間;
Provider :提供具體的認證策略;
SimpleAuthorizationServerProvider的代碼以下:
public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
{
public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
context.Validated();
return Task.FromResult<object>(null);
}
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
using (AuthRepository _repo = new AuthRepository())
{
IdentityUser user = await _repo.FindUser(context.UserName, context.Password);
if (user == null)
{
context.SetError("invalid_grant", "The user name or password is incorrect.");
return;
}
}
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim(ClaimTypes.Name, context.UserName));
identity.AddClaim(new Claim(ClaimTypes.Role, "user"));
identity.AddClaim(new Claim("sub", context.UserName));
var props = new AuthenticationProperties(new Dictionary<string, string>
{
{
"as:client_id", context.ClientId ?? string.Empty
},
{
"userName", context.UserName
}
});
var ticket = new AuthenticationTicket(identity, props);
context.Validated(ticket);
}
public override Task TokenEndpoint(OAuthTokenEndpointContext context)
{
foreach (KeyValuePair<string, string> property in context.Properties.Dictionary)
{
context.AdditionalResponseParameters.Add(property.Key, property.Value);
}
return Task.FromResult<object>(null);
}
}
ValidateClientAuthentication方法用來對third party application 認證,具體的作法是爲third party application頒發appKey和appSecrect,在本例中咱們省略了頒發appKey和appSecrect的環節,咱們認爲全部的third party application都是合法的,context.Validated(); 表示全部容許此third party application請求。
GrantResourceOwnerCredentials方法則是resource owner password credentials模式的重點,因爲客戶端發送了用戶的用戶名和密碼,因此咱們在這裏驗證用戶名和密碼是否正確,後面的代碼採用了ClaimsIdentity認證方式,其實咱們能夠把他看成一個NameValueCollection看待。最後context.Validated(ticket); 代表認證經過。
只有這兩個方法同時認證經過纔會頒發token。
TokenEndpoint方法將會把Context中的屬性加入到token中。
十、註冊用戶
使用postman發送註冊用戶的請求(http://{url}/api/account/register)服務器返回200,說明註冊成功。
十一、向服務器請求token
resource owner password credentials模式須要body包含3個參數:
grant_type-必須爲password
username-用戶名
password-用戶密碼
十二、使用token訪問受保護的api
在Header中加入:Authorization – bearer {{token}},此token就是上一步獲得的token。
此時客戶端在30分鐘內使用該token便可訪問受保護的資源。30分鐘這個設置來自AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30),你能夠自定義token過時時間。
6、刷新token
當token過時後,OAuth2.0提供了token刷新機制:
public void ConfigureOAuth(IAppBuilder app)
{
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
{
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromSeconds(10),
Provider = new SimpleAuthorizationServerProvider(),
//refresh token provider
RefreshTokenProvider = new SimpleRefreshTokenProvider()
};
// Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
}
一、添加新的RefreshTokenProvider
public class SimpleRefreshTokenProvider : IAuthenticationTokenProvider
{
public async Task CreateAsync(AuthenticationTokenCreateContext context)
{
var refreshTokenId = Guid.NewGuid().ToString("n");
using (AuthRepository _repo = new AuthRepository())
{
var token = new RefreshToken()
{
Id = refreshTokenId.GetHash(),
Subject = context.Ticket.Identity.Name,
IssuedUtc = DateTime.UtcNow,
ExpiresUtc = DateTime.UtcNow.AddMinutes(30)
};
context.Ticket.Properties.IssuedUtc = token.IssuedUtc;
context.Ticket.Properties.ExpiresUtc = token.ExpiresUtc;
token.ProtectedTicket = context.SerializeTicket();
var result = await _repo.AddRefreshToken(token);
if (result)
{
context.SetToken(refreshTokenId);
}
}
}
public async Task ReceiveAsync(AuthenticationTokenReceiveContext context)
{
string hashedTokenId = context.Token.GetHash();
using (AuthRepository _repo = new AuthRepository())
{
var refreshToken = await _repo.FindRefreshToken(hashedTokenId);
if (refreshToken != null)
{
//Get protectedTicket from refreshToken class
context.DeserializeTicket(refreshToken.ProtectedTicket);
var result = await _repo.RemoveRefreshToken(hashedTokenId);
}
}
}
public void Create(AuthenticationTokenCreateContext context)
{
throw new NotImplementedException();
}
public void Receive(AuthenticationTokenReceiveContext context)
{
throw new NotImplementedException();
}
}
咱們實現了其中兩個異步方法,對兩個同步方法不作實現。其中CreateAsync用來生成RefreshToken值,生成後須要持久化在數據庫中,客戶端須要拿RefreshToken來請求刷新token,此時ReceiveAsync方法將拿客戶的RefreshToken和數據庫中RefreshToken作對比,驗證成功後刪除此refreshToken。
二、從新請求token
能夠看到此次請求不但獲得了token,還獲得了refresh_token
三、當token過時後,憑藉上次獲得的refresh_token從新獲取token
這次請求又獲得了新的refresh_token,每次refresh_token只能用一次,由於在方法ReceiveAsync中咱們一旦拿到refresh_token就刪除了記錄。
7、總結
此文重點介紹了OAuth2.0中resource owner password credentials模式的使用,此模式能夠實現資源服務爲本身的客戶端受權。另外文章中也提到模式4-client credentials也能夠實現這種場景,但用來給有服務端的客戶端使用-區別於純html+js客戶端。緣由在於模式4-client credentials使用appKey+appSecrect來驗證客戶端,若是沒有服務端的話appSecrect將暴露在js中。
一樣的道理:模式1-受權碼模式(authorization code)和模式2-簡化模式(implicit)的區別也在於模式2-簡化模式(implicit)用在無服務端的場景下,請求頭中不用帶appSecrect。
在webApi中使用owin來實現OAuth2.0是最簡單的解決方案,另一個方案是使用DotNetOpenOauth,這個方案的實現稍顯複雜,可用的文檔也較少,源碼中帶有幾個例子我也沒有直接跑起來,最後無奈之下幾乎讀完了整個源碼才理解。
8、客戶端的實現
咱們將採用jquery和angular兩種js框架來調用本文實現的服務端。下一篇將實現此功能,另外還要給咱們的服務端加上CORS(同源策略)支持。
全部的代碼都同步更新在 https://git.oschina.net/richieyangs/OAuthPractice.git
使用OAuth打造webapi認證服務供本身的客戶端使用(二)
參考:
http://www.asp.net/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server
http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/
- 1. 使用OAuth打造webapi認證服務供本身的客戶端使用
- 2. 使用OAuth打造webapi認證服務供本身的客戶端使用(二)
- 3. 使用OAuth、Identity建立WebApi認證接口供客戶端調用
- 4. (WebApi)使用OAuth做身份認證
- 5. Tomcat 配置用戶認證服務供C#客戶端調用
- 6. 使用Autodesk OAuth服務在用戶認證的示例
- 7. kafka使用 SASL/PLAIN 認證服務端/客戶端配置
- 8. 基於OWIN WebAPI 使用OAuth受權服務【客戶端模式(Client Credentials Grant)】
- 9. 基於OWIN WebAPI 使用OAuth授權服務【客戶端模式(Client Credentials Grant)】
- 10. Activiti 使用本身的身份認證服務
- 更多相關文章...
- • XSLT - 在客戶端 - XSLT 教程
- • 服務端腳本 指南 - 網站建設指南
- • Composer 安裝與使用
- • 使用Rxjava計算圓周率
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 使用OAuth打造webapi認證服務供本身的客戶端使用
- 2. 使用OAuth打造webapi認證服務供本身的客戶端使用(二)
- 3. 使用OAuth、Identity建立WebApi認證接口供客戶端調用
- 4. (WebApi)使用OAuth做身份認證
- 5. Tomcat 配置用戶認證服務供C#客戶端調用
- 6. 使用Autodesk OAuth服務在用戶認證的示例
- 7. kafka使用 SASL/PLAIN 認證服務端/客戶端配置
- 8. 基於OWIN WebAPI 使用OAuth受權服務【客戶端模式(Client Credentials Grant)】
- 9. 基於OWIN WebAPI 使用OAuth授權服務【客戶端模式(Client Credentials Grant)】
- 10. Activiti 使用本身的身份認證服務