asp.net-mvc - 使用外部访问 token 或本地访问 token

Question

我正在使用 ASP.NET MVC 5.2.2、Web API 2.2 和 Katana/OWIN 3.0 开发应用程序。该应用程序使用 ASP.NET Identity 2.1 作为本地帐户和数据库。

我正在使用OAuth Authorization Server生成访问和刷新 token 。我有 Android 和 IOS 应用程序使用我的本地 oauth 授权服务器。 Android 和 IOS 应用程序使用 SDK 登录 Facebook、Google 等。之后应用程序会将(Facebook/Google/etc)访问 token 发送到服务器。服务器将使用 Facebook/Google/等验证访问 token 。

如果有效，则

1) Should I generate new local access token(in Auth header) to apps for all future request?

2) Should the app send me Facebook/Gmail/etc access token(in Auth header) every time and the server validate the access token with Facebook/Gmail/etc each time?

3) If local access token expire, then the server is using refresh token to generate new access token. Should the server update the access token as well as refresh token during this time or updating access token is enough?

Answer 1

验证社交提供商外部访问 token 后，您需要将此外部访问 token 与授权服务器(本地机构)颁发的本地访问 token 交换。此实现的所有详细信息可以在这里找到:http://bitoftech.net/2014/08/11/asp-net-web-api-2-external-logins-social-logins-facebook-google-angularjs-app/让我知道这是否有帮助。

以下是我根据地方当局的访问 token 问题更改外部访问 token 所遵循的具体步骤。前端是一个 AngularJS 应用程序。您可以在此处查看演示应用程序，看看我如何使用 Facebook 访问 token http://ngauthenticationweb.azurewebsites.net/ 访问 Web api

1- AngularJS 应用程序通过指定 client_id、redirect_uri、response_type 将 HTTP GET 请求发送到我们后端 API 中定义的匿名端点 (/ExternalLogin)。

2- 一旦端点收到 GET 请求，它将检查用户是否经过身份验证，假设他没有经过身份验证，因此它会通知负责请求的外部提供者的中间件对此负责打电话，在我们的例子中是 Google。

3- 将显示 Google 同意屏幕，用户将提供其 Google 凭据进行身份验证。

4- Google 将回调我们的后端 API，并且 Google 将设置一个外部 Cookie，其中包含 Google 的身份验证结果(包含用户的外部提供商的所有声明)。

5- Google 中间件将列出名为“Authenticated”的事件，我们将有机会阅读 Google 设置的所有外部声明。在我们的例子中，我们有兴趣阅读名为“AccessToken”的声明，它代表 Google 访问 token ，其中该声明的颁发者不是本地权威机构，因此我们不能直接使用此访问 token 来授权对我们安全的调用后端 API 端点。

6-然后我们将外部提供商的外部访问 token 设置为名为“ExternalAccessToken”的自定义声明，Google 中间件将重定向回端点 (/ExternalLogin)。

7- 现在用户已使用外部 cookie 进行身份验证，因此我们需要检查初始请求中设置的 client_id 和 redirect_uri 是否有效，并且该客户端配置为重定向到指定的 URI。

8- 现在，代码检查外部 user_id 以及提供程序是否已注册为本地数据库帐户(无密码)，在这两种情况下，代码都会发出 302 重定向到redirect_uri 参数中指定的 URI，此 URI将包含以下内容(“外部访问 token ”、“拥有本地帐户”、“提供商”、“外部用户名”)作为 URL 哈希片段而不是查询字符串。

9-一旦 AngularJS 应用程序收到响应，它将根据该响应决定用户是否有本地数据库帐户，并据此向端点之一发出请求(/RegisterExternal 或/ObtainLocalAccessToken) 。两个端点都接受外部访问 token ，该 token 将用于验证，然后使用它来获取本地权威机构颁发的本地访问 token 。此本地访问 token 可用于访问我们的后端 API 安全端点。