2. 程式人生 > >基於OWIN WebAPI 使用OAuth授權服務【客戶端模式(Client Credentials Grant)】

基於OWIN WebAPI 使用OAuth授權服務【客戶端模式(Client Credentials Grant)】

阿新 發佈:2019-02-10

適應範圍

採用Client Credentials方式,即應用公鑰、金鑰方式獲取Access Token,適用於任何型別應用,但通過它所獲取的Access Token只能用於訪問與使用者無關的Open API,並且需要開發者提前向開放平臺申請,成功對接後方能使用。認證伺服器不提供像使用者資料這樣的重要資源,僅僅是有限的只讀資源或者一些開放的 API。例如使用了第三方的靜態檔案服務,如Google Storage或Amazon S3。這樣,你的應用需要通過外部API呼叫並以應用本身而不是單個使用者的身份來讀取或修改這些資源。這樣的場景就很適合使用客戶端證書授權,通過此授權方式獲取Access Token僅可訪問平臺授權類的介面。

比如獲取App首頁最新聞列表,由於這個資料與使用者無關,所以不涉及使用者登入與授權,但又不想任何人都可以呼叫這個WebAPI,這樣場景就適用[例:比如微信公眾平臺授權]。

     +---------+                                  +---------------+
     |         |                                  |               |
     |         |>--(A)- Client Authentication --->| Authorization |
     | Client  |                                  |     Server    |
     |         |<--(B)---- Access Token ---------<|               |
     |         |                                  |               |
     +---------+                                  +---------------+

                     Figure 6: Client Credentials Flow

基本流程

Client Credentials Grant

A.客戶端提供使用者名稱和密碼交換令牌
B.認證伺服器驗證通過,發放令牌,後面根據這個令牌獲取資源即可

服務實現

Install-Package Microsoft.AspNet.Identity.Owin
Install-Package Microsoft.Owin.Security.OAuth
Install-Package Microsoft.AspNet.WebApi.Owin
Install-Package Microsoft.AspNet.WebApi.WebHost
Install-Package Microsoft.Owin.Host.SystemWeb

OWIN WEBAPI

複製程式碼 
[assembly: OwinStartup(typeof(Startup))]
namespace OAuth2.App_Start
{
    public partial class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            ConfigureAuth(app);
        }
    }
}
    public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            /*
              app.UseOAuthAuthorizationServer(new OAuthAuthorizationServerOptions
             {
                 TokenEndpointPath = new PathString("/token"),
                 Provider = new ApplicationOAuthProvider(),
                 AccessTokenExpireTimeSpan = TimeSpan.FromHours(2),
                 AuthenticationMode = AuthenticationMode.Active,
                 //HTTPS is allowed only AllowInsecureHttp = false
                 AllowInsecureHttp = true
                 //ApplicationCanDisplayErrors = false
             });
             app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
             */
            app.UseOAuthBearerTokens(new OAuthAuthorizationServerOptions
            {
                TokenEndpointPath = new PathString("/token"),
                Provider = new ApplicationOAuthProvider(),
                //RefreshTokenProvider = new ApplicationRefreshTokenProvider(),
                AccessTokenExpireTimeSpan = TimeSpan.FromHours(2),
                AuthenticationMode = AuthenticationMode.Active,
                //HTTPS is allowed only AllowInsecureHttp = false
                AllowInsecureHttp = true
                //ApplicationCanDisplayErrors = false
            });
        }
    }
    public class ApplicationOAuthProvider : OAuthAuthorizationServerProvider
    {
        /*
         private OAuth2ClientService _oauthClientService;
         public ApplicationOAuthProvider()
         {
             this.OAuth2ClientService = new OAuth2ClientService();
         }
         */

        /// <summary>
        /// 驗證客戶[client_id與client_secret驗證]
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        {
            //http://localhost:48339/token
            //grant_type=client_credentials&client_id=irving&client_secret=123456
            string client_id;
            string client_secret;
            context.TryGetFormCredentials(out client_id, out client_secret);
            if (client_id == "irving" && client_secret == "123456")
            {
                context.Validated(client_id);
            }
            else
            {
                //context.Response.StatusCode = Convert.ToInt32(HttpStatusCode.OK);
                context.SetError("invalid_client", "client is not valid");
            }
            return base.ValidateClientAuthentication(context);
        }

        /// <summary>
        /// 客戶端授權[生成access token]
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task GrantClientCredentials(OAuthGrantClientCredentialsContext context)
        {
            /*
                 var client = _oauthClientService.GetClient(context.ClientId);
                 oAuthIdentity.AddClaim(new Claim(ClaimTypes.Name, client.ClientName));
             */


            var oAuthIdentity = new ClaimsIdentity(context.Options.AuthenticationType);
            oAuthIdentity.AddClaim(new Claim(ClaimTypes.Name, "iphone"));
            var ticket = new AuthenticationTicket(oAuthIdentity, new AuthenticationProperties() { AllowRefresh = true });
            context.Validated(ticket);
            return base.GrantClientCredentials(context);
        }

        /// <summary>
        /// 重新整理Token[重新整理refresh_token]
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override Task GrantRefreshToken(OAuthGrantRefreshTokenContext context)
        {
            //enforce client binding of refresh token
            if (context.Ticket == null || context.Ticket.Identity == null || !context.Ticket.Identity.IsAuthenticated)
            {
                context.SetError("invalid_grant", "Refresh token is not valid");
            }
            else
            {
                //Additional claim is needed to separate access token updating from authentication 
                //requests in RefreshTokenProvider.CreateAsync() method
            }
            return base.GrantRefreshToken(context);
        }

        public override Task ValidateClientRedirectUri(OAuthValidateClientRedirectUriContext context)
        {
            if (context.ClientId == "irving")
            {
                var expectedRootUri = new Uri(context.Request.Uri, "/");
                if (expectedRootUri.AbsoluteUri == context.RedirectUri)
                {
                    context.Validated();
                }
            }
            return Task.FromResult<object>(null);
        }
    }
複製程式碼

資源服務

複製程式碼 
    /// <summary>
    ///客戶端模式【Client Credentials Grant】
    ///http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
    /// </summary>
    [RoutePrefix("api/v1/oauth2")]
    public class OAuth2Controller : ApiController
    {
        /// <summary>
        /// 獲得資訊
        /// </summary>
        /// <returns></returns>
        [Authorize]
        [Route("news")]
        public async Task<IHttpActionResult> GetNewsAsync()
        {
            var authentication = HttpContext.Current.GetOwinContext().Authentication;
            var ticket = authentication.AuthenticateAsync("Bearer").Result;

            var claimsIdentity = User.Identity as ClaimsIdentity;
            var data = claimsIdentity.Claims.Where(c => c.Type == "urn:oauth:scope").ToList();
            var claims = ((ClaimsIdentity)Thread.CurrentPrincipal.Identity).Claims;
            return Ok(new { IsError = true, Msg = string.Empty, Data = Thread.CurrentPrincipal.Identity.Name + " It's about news !!! token expires: " + ticket.Properties.Dictionary.ToJson() });
        }
    }
複製程式碼

啟用授權驗證[WebApiConfig]

在ASP.NET Web API中啟用Token驗證,需要加上[Authorize]標記,並且配置預設啟用驗證不記名授權方式

            // Web API configuration and services
            // Configure Web API to use only bearer token authentication.
            config.SuppressDefaultHostAuthentication();
            config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType));

客戶端

獲得票據

服務端[/token]獲取token需要三個引數

POST https://domain.com/token HTTP/1.1
Content-type:application/json;charset=UTF-8
grant_type=client_credentials&client_id=irving&client_secret=123456
 
{"access_token":"qghSowAcM9Ap7yIiyZ6i52VOk4NWBpgDDJZ6jf-PdAeP4roFMlGhKUV_Kg_ow0QgTXBKaPzIFBLzdc6evBUPVOaV8Op0wsrUwwKUjRluAPAQmw3MIm8MtmtC0Vfp7ZByuvvMy21NbpRBZcajQxzunJGPIqbdPMYs8e279T5UMmgpBVZJuC4N6d-mxk3DMN2-42cOxz-3k6J-7yXCVYroEh6txjZW03ws155LswIg0yw","token_type":"bearer","expires_in":7199}

image

請求資源

設定HTTP頭 Authorization: Bearer {THE TOKEN}

GET http://localhost:48339/api/v1/oauth2/news HTTP/1.1
Authorization: Bearer qghSowAcM9Ap7yIiyZ6i52VOk4NWBpgDDJZ6jf-PdAeP4roFMlGhKUV_Kg_ow0QgTXBKaPzIFBLzdc6evBUPVOaV8Op0wsrUwwKUjRluAPAQmw3MIm8MtmtC0Vfp7ZByuvvMy21NbpRBZcajQxzunJGPIqbdPMYs8e279T5UMmgpBVZJuC4N6d-mxk3DMN2-42cOxz-3k6J-7yXCVYroEh6txjZW03ws155LswIg0yw
grant_type=client_credentials&client_id=irving&client_secret=123456

{"IsError":true,"Msg":"","Data":"iphone It's about news !!! token expires: {\".refresh\":\"True\",\".issued\":\"Mon, 29 Jun 2015 02:47:12 GMT\",\".expires\":\"Mon, 29 Jun 2015 04:47:12 GMT\"}"}

image

客戶端測試

複製程式碼 
    /// <summary>
    ///客戶端模式【Client Credentials Grant】
    ///http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api
    /// </summary>
    [RoutePrefix("api/v1/oauth2")]
    public class OAuth2Controller : ApiController
    {
        /// <summary>
        /// 獲取token
        /// </summary>
        /// <returns></returns>
        [Route("token")]
        public async Task<IHttpActionResult> GetTokenAsync()
        {
            //獲得token
            var dict = new SortedDictionary<string, string>();
            dict.Add("client_id", "irving");
            dict.Add("client_secret", "123456");
            dict.Add("grant_type", "client_credentials");
            var data = await (@"http://" + Request.RequestUri.Authority + @"/token").PostUrlEncodedAsync(dict).ReceiveJson<Token>();
            //根據token獲得諮詢資訊 [Authorization: Bearer {THE TOKEN}]
            //var news = await (@"http://" + Request.RequestUri.Authority + @"/api/v1/oauth2/news").WithHeader("Authorization", "Bearer " + data.access_token).GetAsync().ReceiveString();
            var news = await (@"http://" + Request.RequestUri.Authority + @"/api/v1/oauth2/news").WithOAuthBearerToken(data.access_token).GetAsync().ReceiveString();
            return Ok(new { IsError = true, Msg = data, Data = news });
        }
    }
    public class Token
    {
        public string access_token { get; set; }
        public string token_type { get; set; }
        public string expires_in { get; set; }
    }
複製程式碼

相關推薦

基於OWIN WebAPI 使用OAuth授權服務客戶模式(Client Credentials Grant)

適應範圍 採用Client Credentials方式,即應用公鑰、金鑰方式獲取Access Token,適用於任何型別應用,但通過它所獲取的Access Token只能用於訪問與使用者無關的Open API,並且需要開發者提前向開放平臺申請,成功對接後方能使用。認證伺服器不提供像使用者資料這樣的重要資源,

乾貨基於Owin WebApi 使用OAuth2進行客戶授權服務

前言:採用Client Credentials方式,即金鑰key/password,場景一般是分為客戶端限制必須有許可權才能使用的模組,這和微信公眾號開放平臺很類似。 讓使用者通過客戶端去獲取自己的token,在根據這個token去獲取資源。 本地登入憑據流 使用者輸入名稱和密碼到客戶端。 客

spring cloud 入門(二) 客戶往註冊中心Eureka 註冊服務

客戶端 往Eureka 註冊服務,註冊成功之後,其他的服務,才可以對本服務進行呼叫 程式碼結構如下:   UserApplication 程式碼如下: package com.study.user; import org.springframework.boot.

基於Dubbo框架構建分散式服務未完待續

手機應用是以聊天室為基礎的,我們需要收集使用者的操作行為,然後計算聊天室中線上人數,並實時在手機應用端顯示人數,整個系統的架構如圖所示: 上圖中,主要包括了兩大主要流程:日誌收集並實時處理流程、呼叫讀取實時計算結果流程,我們使用基於Dubbo框架開發的服務來提供實時計算結果讀取聊天人數的功能。上圖中,實

基於Python多執行緒的TCP客戶/服務應用示例

每個連線都必須建立新執行緒(或程序)來處理,否則,單執行緒在處理連線的過程中,無法接受其他客戶端的連線。 服務端:server.py # -*- coding:utf-8 -*- import s

Java基於TCP協議多執行緒伺服器-客戶互動控制檯聊天室簡例

      前兩天想到一個手機APP專案,使用到藍芽,發現BluetoothSocket和J2EE網路變成的Socket差不多,使用之餘順手寫一個多執行緒伺服器與客戶端互動實現聊天室的一個小例子,方便新人學習網路程式設計模組,期間使用到多執行緒和IO輸入輸出流的

WSUS服務客戶配置說明

wsus服務器步驟1:win7執行【開始】I【運行】命令,在彈出的對話框中輸入gpedit.msc.單擊【確定】按鈕,打開【組策略編輯器】窗口,如圖1所示。  圖1【組策略編輯器】窗口 步驟2:依次展開【計算機配置】丨【管理模板】丨【Windows組件】丨【WindowsUpdate】結

Java 開發 gRPC 服務客戶

dclient 相關配置 build 基於 extension 方法 創建 rmi 內容 一、gRPC 簡介 gRPC 是Go實現的:一個高性能,開源,將移動和HTTP/2放在首位通用的RPC框架。使用gRPC可以在客戶端調用不同機器上的服務端的方法,而客戶端和服務端的開發

VC++ 使用MSSOAP訪問WebService天氣服務客戶開發)

操作 new height ati vc++ too all AR tex 緒論 本文介紹使用VC++編程實現訪問天氣Web服務的簡單實例(例子來源於網絡)。 Web天氣服務 http://www.webxml.com.cn/WebService

基於UDP的IP對IP的客戶程序

pri ram using con 使用 UC spa ID ast #include "stdafx.h"#include<winsock2.h>#include<stdio.h>#include<string.h>#include&l

CentOS minimal 安裝ssh 服務客戶

eve lis 分享圖片 wrap 開機啟動 mage minimal start 重啟 檢查是否裝了SSH包 如果現實有openssh-server 說明系統已經安裝了ssh 2 如果系統沒有安裝ssh 那麽可以在線安裝 yum install

webservice服務客戶 編程 - 入門

ktr return stat XML ext rpc 工具 瀏覽器 控制 開發工具   eclipse 建立一個簡單的webservice服務 1 創建服務   (1)創建一個 java項目(java project)或 web項目(Dynamic web project

實現socket的服務客戶通訊

對學習過程中自己敲的一些關於socket有關的程式碼做了個簡單總結,在這分享一下,給有需要的同學借鑑一下。 什麼是socket? 網路上的兩個程式通過一個雙向的通訊連線實現資料的交換,這個連線的一端稱為一個socket。 建立網路通訊連線至少要一對埠號(socket)。socke

api介面對於客戶的身份認證方式以及安全措施 基於http協議的api介面對於客戶的身份認證方式以及安全措施

轉載 基於http協議的api介面對於客戶端的身份認證方式以及安全措施  由於http是無狀態的,所以正常情況下在瀏覽器瀏覽網頁,伺服器都是通過訪問者的cookie(cookie中儲存的jsessionid)來辨別客戶端的身份的,當客戶端進行登入伺服器也會將登入資訊存放在伺服器並與客戶端的coo

MySQL資料庫6.0v6.0.11官方版(32位/64位) 下載使用 服務客戶

基本簡介 MySQL資料庫是一款小型關聯式資料庫管理系統,由於MySQL資料庫體積小、速度快、成本低,尤其是開放原始碼這一特點,一般中小型網站開發都選擇MySQL作為網站資料庫。MySQL的執行效能非常高,執行速度非常快,支援多平臺及各種開發語言,為使用者提供安全的密碼系統,

簡單 web 服務客戶開發實戰 複製SWAPI網站 api文件

專案github地址如下 https://github.com/BigBrother3 本篇文件主要是展示一下專案中的api 查詢資源api 直接用get請求 http://localhost:8080/api/films/1 ,就可以得到資源。 資源的api主要有 總的a

簡單 web 服務客戶開發實戰 複製SWAPI網站 專案小結

專案github地址如下 https://github.com/BigBrother3 本次作業本人主要負責提供資料庫的介面以及資料庫的建立,也即將swapi網站的所有資源都存到資料庫中。 swapi網站如下 https://www.swapi.co/ 資料庫按照規定使用bolt

Spark1.6-----原始碼解讀之BlockManager元件shuffle服務客戶

spark是分散式部署的,每個Task最終都執行在不同的機器節點上,map任務的輸出結果直接儲存到map任務所在的機器的儲存體系,reduce極有可能不再同一個機器上執行,所以需要遠端下載map任務的中間輸出。所以儲存系統中也包含ShuffleClient。 在BlockManager 176行

2018服務計算-簡單 web 服務客戶開發實戰

資料庫完善 var curl []byte var cmd *exec.Cmd - List item for i := 1; i < 100; i++ { for k := 1; k <= 6; k++ { // fmt.Println("https

Windows10開啟SSH服務+putty客戶

一、伺服器端開啟SSH服務     我使用的是免費的freeSSHd.     2、下載後安裝。     3、開啟SSH介面如下:                            當點選開啟"SSH server is runing"時出現.the spe