为承载授权添加额外的逻辑

Posted

技术标签:

【中文标题】为承载授权添加额外的逻辑【英文标题】:Adding additional logic to Bearer authorization 【发布时间】:2014-08-11 23:14:17 【问题描述】:

我正在尝试实现 OWIN 不记名令牌授权,并基于 this article。但是,我还需要不记名令牌中的另一条信息,但我不知道如何实现。

在我的应用程序中,我需要从不记名令牌中推断出用户信息(比如用户 ID)。这很重要,因为我不希望授权用户能够充当另一个用户。这是可行的吗?它甚至是正确的方法吗?如果用户 ID 是 guid,那么这很简单。在这种情况下,它是一个整数。 授权用户可能仅通过猜测/蛮力来冒充另一个用户,这是不可接受的。

看这段代码:

public void ConfigureOAuth(IAppBuilder app)

    OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
    
        AllowInsecureHttp = true,
        TokenEndpointPath = new PathString("/token"),
        AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
        Provider = new SimpleAuthorizationServerProvider()
    ;

    // Token Generation
    app.UseOAuthAuthorizationServer(OAuthServerOptions);
    app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());


public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider

    public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
    
        context.Validated();
    

    public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    
        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[]  "*" );

        using (AuthRepository _repo = new AuthRepository())
        
            IdentityUser user = await _repo.FindUser(context.UserName, context.Password);

            if (user == null)
            
                context.SetError("invalid_grant", "The user name or password is incorrect.");
                return;
            
        

        var identity = new ClaimsIdentity(context.Options.AuthenticationType);
        identity.AddClaim(new Claim("sub", context.UserName));
        identity.AddClaim(new Claim("role", "user"));

        context.Validated(identity);
    

我认为可以覆盖授权/身份验证以适应我的需要?

【问题讨论】:

您可以使用以下方法从用户***.com/a/19506296/299327获取用户ID。 【参考方案1】:

您的代码中似乎缺少某些内容。 你没有验证你的客户。

您应该实现ValidateClientAuthentication 并在那里检查您的客户的凭据。

这就是我的工作:

public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)

        string clientId = string.Empty;
        string clientSecret = string.Empty;

        if (!context.TryGetBasicCredentials(out clientId, out clientSecret)) 
        
            context.SetError("invalid_client", "Client credentials could not be retrieved through the Authorization header.");
            context.Rejected();
            return;
        

        ApplicationDatabaseContext dbContext = context.OwinContext.Get<ApplicationDatabaseContext>();
        ApplicationUserManager userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

        if (dbContext == null)
        
            context.SetError("server_error");
            context.Rejected();
            return;
        

        try
        
            AppClient client = await dbContext
                .Clients
                .FirstOrDefaultAsync(clientEntity => clientEntity.Id == clientId);

            if (client != null && userManager.PasswordHasher.VerifyHashedPassword(client.ClientSecretHash, clientSecret) == PasswordVerificationResult.Success)
            
                // Client has been verified.
                context.OwinContext.Set<AppClient>("oauth:client", client);
                context.Validated(clientId);
            
            else
            
                // Client could not be validated.
                context.SetError("invalid_client", "Client credentials are invalid.");
                context.Rejected();
            
        
        catch (Exception ex)
        
            string errorMessage = ex.Message;
            context.SetError("server_error");
            context.Rejected();
        
  

详细的好文章可以找到here. 在这个blog 系列中可以找到更好的解释。

更新

我做了一些挖掘,webstuff 是对的。

为了将errorDescription 传递给客户端,我们需要在使用SetError 设置错误之前被拒绝:

context.Rejected();
context.SetError("invalid_client", "The information provided are not valid !");
return;

或者我们可以在描述中传递一个序列化的 json 对象来扩展它:

context.Rejected();
context.SetError("invalid_client", Newtonsoft.Json.JsonConvert.SerializeObject(new  result = false, message = "The information provided are not valid !" ));
return;

使用javascript/jQuery 客户端,我们可以反序列化文本响应并读取扩展消息:

$.ajax(
    type: 'POST',
    url: '<myAuthorizationServer>',
    data:  username: 'John', password: 'Smith', grant_type: 'password' ,
    dataType: "json",
    contentType: 'application/x-www-form-urlencoded; charset=utf-8',
    xhrFields: 
        withCredentials: true
    ,
    headers: 
        'Authorization': 'Basic ' + authorizationBasic
    ,  
    error: function (req, status, error) 
            if (req.responseJSON && req.responseJSON.error_description)
            
               var error = $.parseJSON(req.responseJSON.error_description);
                    alert(error.message);
            
    
);

【讨论】:

我读了那篇文章,我唯一不明白的是作者是如何提出授权的:基本 NDJmZjVkYWQzYzI3NGM5N2EzYTdjM2Q0NGI2N2JiNDI6Y2xpZW50MTIzNDU2。然后看了作者贴的github链接,终于看到了客户端。 Oauth2 神奇的救援!谢谢leftyx @Echiban:如果您需要更多信息,我的答案中有一个新链接。 Taisser 的关于 owin 和 web api 的博客非常棒,并且充满了有用的信息。干杯。 如果我需要传回 2 个值,我可以调用两次 SetError 吗? @user230910:我已经扩展了我的答案,提供了一些可能对您有所帮助的信息。 @user230910:不客气。 Upvotes 被广泛接受 :-) 干杯。【参考方案2】:

附带说明,如果要设置自定义错误消息,则必须交换 context.Rejectedcontext.SetError 的顺序。

    // Summary:
    //     Marks this context as not validated by the application. IsValidated and HasError
    //     become false as a result of calling.
    public virtual void Rejected();

如果您将context.Rejected 放在context.SetError 之后,那么属性context.HasError 将被重置为false,因此正确的使用方法是:

    // Client could not be validated.
    context.Rejected();
    context.SetError("invalid_client", "Client credentials are invalid.");

【讨论】:

该死的,真的成功了。我很惊讶复制粘贴是如何在 .NET 社区中传播的。感谢您的独特回答。 我们可以发送 401 或 403 错误吗?我看到的唯一错误代码是 400 无论我尝试什么,尝试几种组合已经有好几天了,并且从 http.post Angular 6 请求中,我总是得到一个“错误请求”字符串文字,并且无法获得真正的 json error_description。奇怪的是我在“响应”的网络选项卡下看到它,它也适用于 AngularJS,但不适用于 Angular 6。有帮助吗?【参考方案3】:

只是为了补充 LeftyX 的答案,以下是在上下文被拒绝后如何完全控制发送给客户端的响应的方法。注意代码cmets。

Based on Greg P's original answer,有一些修改

第 1 步:创建一个充当中间件的类

using AppFunc = System.Func<System.Collections.Generic.IDictionary<string, System.Object>,
System.Threading.Tasks.Task>;

命名空间 SignOnAPI.Middleware.ResponseMiddleware

public class ResponseMiddleware 

    AppFunc _next;
    ResponseMiddlewareOptions _options;

    public ResponseMiddleware(AppFunc nex, ResponseMiddlewareOptions options)
    
        _next = next;
    

    public async Task Invoke(IDictionary<string, object> environment)
    
        var context = new OwinContext(environment);

        await _next(environment);

        if (context.Response.StatusCode == 400 && context.Response.Headers.ContainsKey("Change_Status_Code"))
        
            //read the status code sent in the response
            var headerValues = context.Response.Headers.GetValues("Change_Status_Code");

            //replace the original status code with the new one
            context.Response.StatusCode = Convert.ToInt16(headerValues.FirstOrDefault());

            //remove the unnecessary header flag
            context.Response.Headers.Remove("Change_Status_Code");
        
    

Step2:创建扩展类(可省略)。

这一步是可选的,可以修改为接受可以传递给中间件的选项。

public static class ResponseMiddlewareExtensions

    //method name that will be used in the startup class, add additional parameter to accept middleware options if necessary
    public static void UseResponseMiddleware(this IAppBuilder app)
    
        app.Use<ResponseMiddleware>();
    

第 3 步:在您的 OAuthAuthorizationServerProvider 实现中修改 GrantResourceOwnerCredentials 方法

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    

        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[]  "*" );

        if (<logic to validate username and password>)
        
            //first reject the context, to signify that the client is not valid
            context.Rejected();

            //set the error message
            context.SetError("invalid_username_or_password", "Invalid userName or password" );

            //add a new key in the header along with the statusCode you'd like to return
            context.Response.Headers.Add("Change_Status_Code", new[]  ((int)HttpStatusCode.Unauthorized).ToString() ); 
            return;
        
    

Step4:在启动类中使用这个中间件

public void Configuration(IAppBuilder app)

    app.UseResponseMiddleware();

    //configure the authentication server provider
    ConfigureOAuth(app);

    //rest of your code goes here....

【讨论】:

什么是 ResponseMiddlewareOptions?

以上是关于为承载授权添加额外的逻辑的主要内容,如果未能解决你的问题,请参考以下文章

在不影响发布者类型的情况下向发布者转换链添加额外的逻辑

CollectionView 添加额外的单元格“添加更多”

RLC可以采用TMUMAM三种方式的区别是什么

向 ModelAdmin 表单添加额外字段

没有额外权限的Android getServerAuthCode()

KEYCLOAK - 扩展 OIDC 协议 |缺少凭据选项卡 |在 AccessTokenResponse 中添加额外的声明