- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在我从 VS2013 中的模板创建的 webapi 应用程序中,我在 Startup.Auth.cs 文件中添加了自定义 OAuthBearerAuthenticationProvider 类:
public class CustomBearerAuthenticationProvider : OAuthBearerAuthenticationProvider
{
public override Task ValidateIdentity(OAuthValidateIdentityContext context)
{
UserManager<ApplicationUser> userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
var user = userManager.FindById(context.Ticket.Identity.GetUserId());
var claims = context.Ticket.Identity.Claims;
if (claims.FirstOrDefault(claim => claim.Type == "AspNet.Identity.SecurityStamp") == null
|| claims.Any(claim => claim.Type == "AspNet.Identity.SecurityStamp"
&& !claim.Value.Equals(user.SecurityStamp)))
{
context.Rejected();
}
return Task.FromResult<object>(null);
}
}
我还添加了变量:
public static OAuthBearerAuthenticationOptions OAuthBearerOptions { get; private set; }
在 ConfigureAuth(IAppBuilder app) 方法中,我添加了以下代码行以使用自定义 OAuthBearerAuthenticationProvider 类:
OAuthBearerOptions = new OAuthBearerAuthenticationOptions();
OAuthBearerOptions.AccessTokenFormat = OAuthOptions.AccessTokenFormat;
OAuthBearerOptions.AccessTokenProvider = OAuthOptions.AccessTokenProvider;
OAuthBearerOptions.AuthenticationMode = OAuthOptions.AuthenticationMode;
OAuthBearerOptions.AuthenticationType = OAuthOptions.AuthenticationType;
OAuthBearerOptions.Description = OAuthOptions.Description;
OAuthBearerOptions.Provider = new CustomBearerAuthenticationProvider();
OAuthBearerOptions.SystemClock = OAuthOptions.SystemClock;
app.UseOAuthBearerAuthentication(OAuthBearerOptions);
我所做的所有更改都是为了实现我自己的不记名 token 验证自定义逻辑。由于某种原因,在 VS 2013 中从模板创建的 Webapi 应用程序中未实现 SecurityStamp 验证。我认为这应该默认完成。
为了验证 SecurityStamp 验证概念,我更改了数据库中的 SecurityStamp,然后使用旧的不记名 token 从客户端调用了一些 webapi 方法,即包含旧的 SecurityStamp 声明。请注意我的 webapi Controller 带有 [Authorize] 属性注释。在调用 ValidateIdentity(OAuthValidateIdentityContext context) 方法并执行 context.Rejected() 行之后,我希望此后不应调用 webapi 方法,并且应将 401 Unauthorized 响应发送回客户端。
但这一切都没有发生。 Webapi 方法确实被调用,客户端确实成功地从服务器获取敏感数据,但不应该,因为客户端发送到服务器进行身份验证和授权的旧承载 token 在密码更改后必须无效。
我认为如果在 ValidateIdentity 方法中调用了 context.Rejected(),则不应调用任何 [Authorize] 修饰的 webapi 方法,并且客户端应该会收到类似 401 Unauthorized 的响应。
我是不是误解了整件事?如果有人能解释一下它是如何工作的,好吗?为什么在调用 context.Rejected() 之后调用 [Authorize] 注释 Controller 的 webapi 方法并成功返回敏感数据?为什么没有发送 401 Unauthorized 响应?当SecurityStamp声明与当前数据库中的不一致时,如何实现将401 Unauthorized响应发送回客户端的目标?
最佳答案
我终于找到了关于这些东西是如何工作的解释。这是 Hongye Sun 对他对 stackoverflow 问题的回答的评论: How do you reject a Katana Bearer token's identity
我在这里引用:"UseOAuthBearerTokens 会将 Bearer 认证中间件和授权服务器中间件注册到管道中。如果同时调用这两种方法,您将注册两个 Bearer auth 中间件。您需要调用 UseOAuthAuthorizationServer 来注册授权服务器。"
所以我替换了这行代码:
app.UseOAuthBearerTokens(OAuthOptions);
给这个:
app.UseOAuthAuthorizationServer(OAuthOptions);
事情开始按预期进行。 IE。未调用 [Authorize] 注释 Controller 的 webapi 方法,并且在调用 context.Rejected() 后发回 401 Unauthorized 响应。
关于c# - 为什么在 ValidateIdentity(OAuthValidateIdentityContext context) 中调用 context.Rejected() 后调用 webapi Controller 的方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28189447/
在我从 VS2013 中的模板创建的 webapi 应用程序中,我在 Startup.Auth.cs 文件中添加了自定义 OAuthBearerAuthenticationProvider 类: pu
我是一名优秀的程序员,十分优秀!