授权角色Web API oauth owin

时间:2014-09-04 09:17:04

标签: c# asp.net-mvc-4 oauth authorization owin

我在ASP.NET Web API上使用OWIN中间件实现了一个令牌授权系统。我成功地可以使用REST客户端进行身份验证并获取授权令牌来调用API。如果我将[Authorize]属性放在我的控制器中的GET操作上,它也可以正常工作。如果我没有有效的令牌,则会拒绝该消息带有401消息,但如果我将[Authorize(Roles="admins")]roles参数一起使用,则它无法识别用户'的角色。我验证了数据库中的内容,并检查usersinroles是否已正确填充。

这是一段代码:

[Authorize(Roles = "admins")]
public IEnumerable<CompanyModel> Get()
{
    ClaimsPrincipal principal = Request.GetRequestContext().Principal as ClaimsPrincipal;
    bool isrole = principal.IsInRole("admins");

我还检查了没有roles参数的操作,isrole布尔值始终为false。我必须启用某些功能吗?

1 个答案:

答案 0 :(得分:44)

您必须添加GrantResourceOwnerCredentials方法:

identity.AddClaim(new Claim(ClaimTypes.Role, "admins"));

一步一步

在StartUp.cs类中,您应该有一个自定义提供程序,如行

Provider = new CustomAuthorizationServerProvider()

例如:

public void ConfigureOAuth(IAppBuilder app)
{
    OAuthAuthorizationServerOptions oAuthServerOptions = new OAuthAuthorizationServerOptions
    {
        AllowInsecureHttp = true,
        TokenEndpointPath = new PathString("/token"),
        AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30),
        Provider = new CustomAuthorizationServerProvider()
    };

    // Token Generation
    app.UseOAuthAuthorizationServer(oAuthServerOptions);
    app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
}

然后,继承自 OAuthAuthorizationServerProvider 类的CustomAuthorizationServerProvider将覆盖 GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)

然后,在检查用户具有正确的用户名和密码后,您必须添加

var identity = new ClaimsIdentity(context.Options.AuthenticationType);
...
// other claims
...
identity.AddClaim(new Claim(ClaimTypes.Role, "admins"));
...
var ticket = new AuthenticationTicket(identity, properties);
context.Validated(ticket);

<强>被修改

您可以从DB获取用户角色,而不是使用“admins”编码字符串:

var roles = await userManager.GetRolesAsync(userId);

因此,您可以在存储库中添加以下方法:

public async Task<IList<string>> UserRoles(string userId)
{
    IList<string> roles = await userManager.GetRolesAsync(userId);

    return roles;
}

然后从覆盖的 GrantResourceOwnerCredentials 中添加:

using (AuthRepository repository = new AuthRepository())
{
    IdentityUser user = await repository.FindUser(context.UserName, context.Password);

    if (user == null)
    {
        context.SetError("invalid_grant", "The user name or password is incorrect");
        return;
    }

    var roles = repository.UserRoles(user.Id);
}
相关问题
最新问题