asp.net - 两个不同的 OWIN 应用程序能否授权一个 OAuth2 不记名访问 token ？-6ren

asp.net - 两个不同的 OWIN 应用程序能否授权一个 OAuth2 不记名访问 token ？

转载作者：行者123 更新时间：2023-12-04 22:19:46

25

4

这个问题在这里已经有了答案:

Using Oauth tickets across several services?

(4 个回答)

5年前关闭。

我有两个 Web API:

身份 API .它实现了认证、用户注册和OAuth客户端注册和认证。

产品API .一组用于我的业务的 RESTful API。

我使用 身份 API 验证资源所有者(即具有用户+密码凭据的用户)以使用 OAuth2 OWIN 中间件获取不记名 token 。

我的问题是一旦我从 获得访问 token 身份 API ，我想用它来授权对 的请求产品API .

两个 API 都在访问同一个数据库，而且现在都在同一台机器上。

当我尝试针对 执行请求时产品API 我收到回复消息 "Authorization has been denied for this request" , 同时执行对 的请求身份 API 完美无缺。

关键是我已经推导出 OAuthAuthorizationServerProvider满足一些自定义身份验证/授权要求，但在向 发出请求时，它永远不会到达这一点(永远不会调用 ValidateClientAuthentication 和 GrantResourceOwnerCredentials 方法)。产品API .

我已经放弃了 OWIN 中间件的顺序可能会影响身份验证流程:两个 API 的配置方式完全相同。

前几天...

...在尝试以这种方式工作之前，我正在考虑创建一个自定义 OAuthAuthorizationServerProvider和 ASP.NET Identity 用户存储来实际查询 身份 API 因此，在内部，身份验证和授权都将在颁发访问 token 的 OWIN 应用程序中进行验证。

我已经为 ASP.NET Identity ( GitHub repository ) 实现了一个自定义用户存储，但我还没有实现一个 OAuthAuthorizationServerProvider发出 HTTP 请求，而不是直接使用底层数据库。

Anwyay，我想知道我是否可以暂时避免走这条路， 如果我可以从 OWIN 应用程序发出访问 token 并使用来自具有不同主机和端口的不同 OWIN 应用程序的访问 token 。

更新:调试 System.Web.Http

我下载了 System.Web.Http源代码来自 ASP.NET Web Stack GitHub repository我也编译了它，并将编译后的程序集链接到我的 产品API WebAPI 项目调试 AuthorizeAttribute .

收到整个不记名 token 但 actionContext.ControllerContext.RequestContext.Principal是 null .我怀疑某些与 OAuth 相关的中间件没有解密并将用户分配给整个属性。

关键是同样的道理也适用于 身份 API .

检查以下屏幕截图，我可以在其中证明正在接收不记名 token :

更新 2:身份 API 可以使用发出的访问 token 授权请求...

我可以确认访问 token 可以授权对 Identity API 资源的请求(例如，我已经实现了 UserController 来让 Identity API 注册和管理用户，并且大多数 Controller 操作都标有 [Authorize] 属性...)。

最佳答案

是的，您可以将授权服务器和资源服务器解耦。
他们可以生活在不同的 owin 应用程序中，不仅如此，他们甚至可以生活在不同的服务器上。

授权服务器将负责向您的客户端应用程序颁发访问 token ，并最终管理用户和角色。

资源服务器将托管 protected 资源，接受授权服务器发布的访问 token 。

查看您的基础设施 身份 API 将是授权服务器和 产品API 将是您的资源服务器。

授权服务器需要配置和使用 OAuthAuthorizationServerProvider 的实现.
在你的初创公司中，你会做这样的事情:

app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

var OAuthOptions = new OAuthAuthorizationServerOptions
{
    AllowInsecureHttp = true,
    TokenEndpointPath = new PathString("/oauth/Token"),
    AccessTokenExpireTimeSpan = TimeSpan.FromHours(8),
    Provider = new MyAuthorizationServerProvider(),
    // RefreshTokenProvider = new MyRefreshTokenProvider(DateTime.UtcNow.AddHours(8))
};

app.UseOAuthAuthorizationServer(OAuthOptions);
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());

如您所见，我使用了 MyAuthorizationServerProvider作为身份验证的自定义提供程序。

它负责验证客户端( ValidateClientAuthentication )并授予访问资源的权限( GrantResourceOwnerCredentials )。
GrantResourceOwnerCredentials将检查客户端的凭据(用户名和密码)是否有效并释放有效 token :

var ticket = new AuthenticationTicket(identity, props);
context.Validated(ticket);

AuthenticationTicket收到 ClaimsIdentity对象和 AuthenticationProperties 的集合.

您通常会在此处添加用户名声明和角色:

ClaimsIdentity identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim(ClaimTypes.Name, context.UserName));
identity.AddClaim(new Claim(ClaimTypes.Role, "Users"));

以及最终您可能想要使用的其他类型的声明。 AuthenticationProperties集合将定义您要传递给客户端的扩展信息:

var props = new AuthenticationProperties(new Dictionary<string, string>
{
    { 
    "name", "John"
    },
    { 
    "surname", "Smith"
    },
    { 
    "age", "40"
    },
    { 
    "gender", "Male"
    }
});

你可以查看这个github repo看看实现。

您的资源服务器，即负责管理您的业务信息的 RESTful API，将不必重新实现整个授权/身份验证层。

在您的启动( Product API )中，您只需指示 api 使用和消费不记名 token :

public void Configuration(IAppBuilder app)
{
    HttpConfiguration config = new HttpConfiguration();

    OAuthBearerAuthenticationOptions OAuthBearerOptions = new OAuthBearerAuthenticationOptions();
    app.UseOAuthBearerAuthentication(OAuthBearerOptions);

    WebApiConfig.Register(config);
    app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
    app.UseWebApi(config);
}

您的 protected 资源将是这样的:

[Authorize(Roles = "Users")]
public class ProductsController : ApiController
{
    public Models.Product GetProduct(string id)
    {
        var identity = User.Identity as ClaimsIdentity;

        return new Models.Product();
    }
}

如您所见，我使用了 Authorize属性原因我只想授权某种类型的用户。

注意:

如果您想托管 授权服务器和 资源服务器在不同的机器上，您必须确保共享相同的 machineKey无论是服务器还是资源服务器都无法解密 释放的承载 token 。授权服务器 :

<system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
    <machineKey validationKey="VALUE GOES HERE" 
                decryptionKey="VALUE GOES HERE" 
                validation="SHA1" 
                decryption="AES"/>
</system.web>

我建议你阅读这个 article找到关于所有涉及的部分的非常好的解释。

Taisser 也作为另一个 article他使用 Json Web Tokens 经历了相同的过程来实现相同的结果。

关于asp.net - 两个不同的 OWIN 应用程序能否授权一个 OAuth2 不记名访问 token ？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34021254/

25

4

0

文章推荐： meteor - 在服务器端登录用户帐户

mysql - 如何按 ASC 顺序获取 MySql 不同(不同)值
我有 table 像这样 -------------------------------------------- id size title priority
java - 不同 Activity 中的 AdMob 广告单元 ID 不同？提高匹配率？
我的应用在不同的 Activity (4 个 Activity )中仅包含横幅广告。所以我的疑问是，我可以对所有横幅广告使用一个广告单元 ID 吗？或者每个 Activity 使用不同的广告单元
没有isinstance的列表列表上的python递归(不同)
我有任意(但统一)数字列表的任意列表。 (它们是 n 空间中 bin 的边界坐标，我想绘制其角，但这并不重要。)我想生成所有可能组合的列表。所以:[[1,2], [3,4],[5,6]] 产生 [[1
Java自定义控件重绘导致绘制不正确(不同)
我刚刚在学校开始学习 Java，正在尝试自定义控件和图形。我目前正在研究图案锁，一开始一切都很好，但突然间它绘制不正确。我确实更改了一些代码，但是当我看到错误时，我立即将其更改回来(撤消，ftw)，但
sql - 分组依据汇总和计数(不同)
在获取 Distinct 的 Count 时，我在使用 Group By With Rollup 时遇到了一个小问题。问题是 Rollup 摘要只是所有分组中 Distinct 值的总数，而不是所有
sql - 如何对多列进行计数(不同)
这不起作用: select count(distinct colA, colB) from mytable 我知道我可以通过双选来简单地解决这个问题。 select count(*) from (
javascript - 为什么在比较时与 ""不同
这个问题在这里已经有了答案: JavaScript regex whitespace characters (5 个回答) 2年前关闭。你能解释一下为什么我会得到 false比较 text ===
javascript - [] 与 [] 不同
这个问题已经有答案了: 奥 git _a (56 个回答) 已关闭 9 年前。我被要求用 Javascript 编写一个函数 sortByFoo 来正确响应此测试: // Does not cras
sql - 在按单个列上的多个值进行内部联接查询过滤时选择“不同”？
所以，我不得不说，SQL 是迄今为止我作为开发人员最薄弱的一面。也许我想要完成的事情很简单。我有这样的东西(这不是真正的模型，但为了使其易于理解而不浪费太多时间解释它，我想出了一个完全模仿我必须使用的
javascript - 为什么在通过引用传递后调用函数时对象内部的 "this"不同？
这个问题在这里已经有了答案: How does the "this" keyword work? (22 个回答) 3年前关闭。简而言之:为什么在使用 Objects 时，直接调用的函数和通过引用传
C++ 不同 -> 和 "."
这个问题在这里已经有了答案: 关闭 12 年前。 Possible Duplicate: what is the difference between (.) dot operator and (-
c++ - for 循环给出的结果与 += 不同
我真的不明白这里发生了什么但是: 当我这样做时: colorIndex += len - stopPos; for(int m = 0; m < len - stopPos; m++) { c
MySQL 按顺序和计数分组(不同)
思考 MySQL 中的 Group By 函数的最佳方式是什么？我正在编写一个 MySQL 查询，通过 ODBC 连接在 Excel 的数据透视表中提取数据，以便用户可以轻松访问数据。例如，我有:
mysql - 如何在组内选择具有条件的计数(不同)
我想要的SQL是这样的: SELECT week_no, type, SELECT count(distinct user_id) FROM group WHERE pts > 0 FROM bas
php - 不同/连接两个表
商店表: +--+-------+--------+ |id|name |date | +--+-------+--------+ |1 |x |Ma
javascript - offsetParent 不同
对于 chrome 和 ff，当涉及到可怕的 ie 时，这个脚本工作完美。有问题 function getY(oElement) { var curtop = 0; if (oElem
c - 不同.c文件之间的IPC进程间通信
我现在无法提供代码，因为我目前正在脑海中研究这个想法并在互联网上四处乱逛。我了解了进程间通信和使用共享内存在进程之间共享数据(特别是结构)。但是，在对保存在不同 .c 文件中的程序使用 fork(
c - C编程中的MongoDB聚合函数(不同)
我想在用户集合中使用不同的功能。在 mongo shell 中，我可以像下面这样使用: db.users.distinct("name"); 其中名称是用于区分的集合字段。同样我想要，在 C
c# - linq选择问题(不同)
List nastava_izvjestaj = new List(); var data_context = new DataEvidencijaDataContext();
生产中的 CSS 不同
我的 Rails 应用程序中有 Ransack 搜索和 Foundation，本地 css 渲染正常，而生产中的同一个应用程序有一个怪癖: 应用程序中的其他内容完全相同。我在 Chrome 和 Sa

首页

博学

6Ren·AI

商城

asp.net - 两个不同的 OWIN 应用程序能否授权一个 OAuth2 不记名访问 token ？