为承载授权添加额外的逻辑
Posted
技术标签:
【中文标题】为承载授权添加额外的逻辑【英文标题】:Adding additional logic to Bearer authorization 【发布时间】:2014-08-11 23:14:17 【问题描述】:我正在尝试实现 OWIN 不记名令牌授权,并基于 this article。但是,我还需要不记名令牌中的另一条信息,但我不知道如何实现。
在我的应用程序中,我需要从不记名令牌中推断出用户信息(比如用户 ID)。这很重要,因为我不希望授权用户能够充当另一个用户。这是可行的吗?它甚至是正确的方法吗?如果用户 ID 是 guid,那么这很简单。在这种情况下,它是一个整数。 授权用户可能仅通过猜测/蛮力来冒充另一个用户,这是不可接受的。
看这段代码:
public void ConfigureOAuth(IAppBuilder app)
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
Provider = new SimpleAuthorizationServerProvider()
;
// Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
context.Validated();
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] "*" );
using (AuthRepository _repo = new AuthRepository())
IdentityUser user = await _repo.FindUser(context.UserName, context.Password);
if (user == null)
context.SetError("invalid_grant", "The user name or password is incorrect.");
return;
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim("sub", context.UserName));
identity.AddClaim(new Claim("role", "user"));
context.Validated(identity);
我认为可以覆盖授权/身份验证以适应我的需要?
【问题讨论】:
您可以使用以下方法从用户***.com/a/19506296/299327获取用户ID。 【参考方案1】:您的代码中似乎缺少某些内容。 你没有验证你的客户。
您应该实现ValidateClientAuthentication 并在那里检查您的客户的凭据。
这就是我的工作:
public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
string clientId = string.Empty;
string clientSecret = string.Empty;
if (!context.TryGetBasicCredentials(out clientId, out clientSecret))
context.SetError("invalid_client", "Client credentials could not be retrieved through the Authorization header.");
context.Rejected();
return;
ApplicationDatabaseContext dbContext = context.OwinContext.Get<ApplicationDatabaseContext>();
ApplicationUserManager userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
if (dbContext == null)
context.SetError("server_error");
context.Rejected();
return;
try
AppClient client = await dbContext
.Clients
.FirstOrDefaultAsync(clientEntity => clientEntity.Id == clientId);
if (client != null && userManager.PasswordHasher.VerifyHashedPassword(client.ClientSecretHash, clientSecret) == PasswordVerificationResult.Success)
// Client has been verified.
context.OwinContext.Set<AppClient>("oauth:client", client);
context.Validated(clientId);
else
// Client could not be validated.
context.SetError("invalid_client", "Client credentials are invalid.");
context.Rejected();
catch (Exception ex)
string errorMessage = ex.Message;
context.SetError("server_error");
context.Rejected();
详细的好文章可以找到here. 在这个blog 系列中可以找到更好的解释。
更新:
我做了一些挖掘,webstuff 是对的。
为了将errorDescription 传递给客户端,我们需要在使用SetError 设置错误之前被拒绝:
context.Rejected();
context.SetError("invalid_client", "The information provided are not valid !");
return;
或者我们可以在描述中传递一个序列化的 json 对象来扩展它:
context.Rejected();
context.SetError("invalid_client", Newtonsoft.Json.JsonConvert.SerializeObject(new result = false, message = "The information provided are not valid !" ));
return;
使用javascript/jQuery 客户端,我们可以反序列化文本响应并读取扩展消息:
$.ajax(
type: 'POST',
url: '<myAuthorizationServer>',
data: username: 'John', password: 'Smith', grant_type: 'password' ,
dataType: "json",
contentType: 'application/x-www-form-urlencoded; charset=utf-8',
xhrFields:
withCredentials: true
,
headers:
'Authorization': 'Basic ' + authorizationBasic
,
error: function (req, status, error)
if (req.responseJSON && req.responseJSON.error_description)
var error = $.parseJSON(req.responseJSON.error_description);
alert(error.message);
);
【讨论】:
我读了那篇文章,我唯一不明白的是作者是如何提出授权的:基本 NDJmZjVkYWQzYzI3NGM5N2EzYTdjM2Q0NGI2N2JiNDI6Y2xpZW50MTIzNDU2。然后看了作者贴的github链接,终于看到了客户端。 Oauth2 神奇的救援!谢谢leftyx @Echiban:如果您需要更多信息,我的答案中有一个新链接。 Taisser 的关于 owin 和 web api 的博客非常棒,并且充满了有用的信息。干杯。 如果我需要传回 2 个值,我可以调用两次 SetError 吗? @user230910:我已经扩展了我的答案,提供了一些可能对您有所帮助的信息。 @user230910:不客气。 Upvotes 被广泛接受 :-) 干杯。【参考方案2】:附带说明,如果要设置自定义错误消息,则必须交换 context.Rejected 和 context.SetError 的顺序。
// Summary:
// Marks this context as not validated by the application. IsValidated and HasError
// become false as a result of calling.
public virtual void Rejected();
如果您将context.Rejected 放在context.SetError 之后,那么属性context.HasError 将被重置为false,因此正确的使用方法是:
// Client could not be validated.
context.Rejected();
context.SetError("invalid_client", "Client credentials are invalid.");
【讨论】:
该死的,真的成功了。我很惊讶复制粘贴是如何在 .NET 社区中传播的。感谢您的独特回答。 我们可以发送 401 或 403 错误吗?我看到的唯一错误代码是 400 无论我尝试什么,尝试几种组合已经有好几天了,并且从 http.post Angular 6 请求中,我总是得到一个“错误请求”字符串文字,并且无法获得真正的 json error_description。奇怪的是我在“响应”的网络选项卡下看到它,它也适用于 AngularJS,但不适用于 Angular 6。有帮助吗?【参考方案3】:只是为了补充 LeftyX 的答案,以下是在上下文被拒绝后如何完全控制发送给客户端的响应的方法。注意代码cmets。
Based on Greg P's original answer,有一些修改
第 1 步:创建一个充当中间件的类
using AppFunc = System.Func<System.Collections.Generic.IDictionary<string, System.Object>,
System.Threading.Tasks.Task>;
命名空间 SignOnAPI.Middleware.ResponseMiddleware
public class ResponseMiddleware
AppFunc _next;
ResponseMiddlewareOptions _options;
public ResponseMiddleware(AppFunc nex, ResponseMiddlewareOptions options)
_next = next;
public async Task Invoke(IDictionary<string, object> environment)
var context = new OwinContext(environment);
await _next(environment);
if (context.Response.StatusCode == 400 && context.Response.Headers.ContainsKey("Change_Status_Code"))
//read the status code sent in the response
var headerValues = context.Response.Headers.GetValues("Change_Status_Code");
//replace the original status code with the new one
context.Response.StatusCode = Convert.ToInt16(headerValues.FirstOrDefault());
//remove the unnecessary header flag
context.Response.Headers.Remove("Change_Status_Code");
Step2:创建扩展类(可省略)。
这一步是可选的,可以修改为接受可以传递给中间件的选项。
public static class ResponseMiddlewareExtensions
//method name that will be used in the startup class, add additional parameter to accept middleware options if necessary
public static void UseResponseMiddleware(this IAppBuilder app)
app.Use<ResponseMiddleware>();
第 3 步:在您的 OAuthAuthorizationServerProvider 实现中修改 GrantResourceOwnerCredentials 方法
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] "*" );
if (<logic to validate username and password>)
//first reject the context, to signify that the client is not valid
context.Rejected();
//set the error message
context.SetError("invalid_username_or_password", "Invalid userName or password" );
//add a new key in the header along with the statusCode you'd like to return
context.Response.Headers.Add("Change_Status_Code", new[] ((int)HttpStatusCode.Unauthorized).ToString() );
return;
Step4:在启动类中使用这个中间件
public void Configuration(IAppBuilder app)
app.UseResponseMiddleware();
//configure the authentication server provider
ConfigureOAuth(app);
//rest of your code goes here....
【讨论】:
什么是 ResponseMiddlewareOptions?以上是关于为承载授权添加额外的逻辑的主要内容,如果未能解决你的问题,请参考以下文章
没有额外权限的Android getServerAuthCode()
KEYCLOAK - 扩展 OIDC 协议 |缺少凭据选项卡 |在 AccessTokenResponse 中添加额外的声明