我有一个Web API,其中包含许多方法,这些方法都需要存在承载令牌才能使用。这些方法都从承载令牌中提取信息。
我想测试API是否在生成时正确填充了承载令牌。我正在使用Microsoft.Owin.Testing框架来编写测试。我有一个看起来像这样的测试:
[TestMethod]
public async Task test_Login()
{
using (var server = TestServer.Create<Startup>())
{
var req = server.CreateRequest("/authtoken");
req.AddHeader("Content-Type", "application/x-www-form-urlencoded");
req.And(x => x.Content = new StringContent("grant_type=password&username=test&password=1234", System.Text.Encoding.ASCII));
var response = await req.GetAsync();
// Did the request produce a 200 OK response?
Assert.AreEqual(response.StatusCode, System.Net.HttpStatusCode.OK);
// Retrieve the content of the response
string responseBody = await response.Content.ReadAsStringAsync();
// this uses a custom method for deserializing JSON to a dictionary of objects using JSON.NET
Dictionary<string, object> responseData = deserializeToDictionary(responseBody);
// Did the response come with an access token?
Assert.IsTrue(responseData.ContainsKey("access_token"));
}
}
所以我能够检索代表令牌的字符串。但现在我想实际访问该令牌的内容,并确保提供了某些声明。
我将在实际经过身份验证的方法中使用以检查声明的代码如下所示:
var identity = (ClaimsIdentity)User.Identity;
IEnumerable<Claim> claims = identity.Claims;
var claimTypes = from x in claims select x.Type;
if (!claimTypes.Contains("customData"))
throw new InvalidOperationException("Not authorized");
所以我希望能够做的是,在我的测试本身中,提供持有者令牌字符串并重新获得User.Identity对象,或以其他方式获得对令牌包含的声明的访问权。这就是我想测试我的方法是否正确地向令牌添加必要声明的方式。
“天真”的方法可能是在我的API中编写一个方法,它只返回给定的承载令牌中的所有声明。但感觉这应该是不必要的。在调用控制器的方法之前,ASP.NET以某种方式将给定的标记解码为对象。我想在我的测试代码中自己复制相同的操作。
可以这样做吗?如果是这样,怎么样?
编辑:我的OWIN启动类实例化我编码的身份验证令牌提供程序,它处理身份验证和令牌生成。在我的初创班里,我有这个:
public void Configuration(IAppBuilder app)
{
// Setup configuration object
HttpConfiguration config = new HttpConfiguration();
// Web API configuration and services
// Configure Web API to use only bearer token authentication.
config.SuppressDefaultHostAuthentication();
config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType));
// Web API routes
config.MapHttpAttributeRoutes();
config.Routes.MapHttpRoute(
name: "DefaultApi",
routeTemplate: "api/{controller}/{id}",
defaults: new { id = RouteParameter.Optional }
);
// configure the OAUTH server
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
{
//AllowInsecureHttp = false,
AllowInsecureHttp = true, // THIS HAS TO BE CHANGED BEFORE PUBLISHING!
TokenEndpointPath = new PathString("/authtoken"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
Provider = new API.Middleware.MyOAuthProvider()
};
// Now we setup the actual OWIN pipeline.
// setup CORS support
// in production we will only allow from the correct URLs.
app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
// Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
// insert actual web API and we're off!
app.UseWebApi(config);
}
以下是我的OAuth提供商提供的相关代码:
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
// Will be used near end of function
bool isValidUser = false;
// Simple sanity check: all usernames must begin with a lowercase character
Match testCheck = Regex.Match(context.UserName, "^[a-z]{1}.+$");
if (testCheck.Success==false)
{
context.SetError("invalid_grant", "Invalid credentials.");
return;
}
string userExtraInfo;
// Here we check the database for a valid user.
// If the user is valid, isValidUser will be set to True.
// Invalid authentications will return null from the method below.
userExtraInfo = DBAccess.getUserInfo(context.UserName, context.Password);
if (userExtraInfo != null) isValidUser = true;
if (!isValidUser)
{
context.SetError("invalid_grant", "Invalid credentials.");
return;
}
// The database validated the user. We will include the username in the token.
string userName = context.UserName;
// generate a claims object
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
// add the username to the token
identity.AddClaim(new Claim(ClaimTypes.Sid, userName));
// add the custom data on the user to the token.
identity.AddClaim(new Claim("customData", userExtraInfo));
// store token expiry so the consumer can determine expiration time
DateTime expiresAt = DateTime.Now.Add(context.Options.AccessTokenExpireTimeSpan);
identity.AddClaim(new Claim("expiry", expiresAt.ToString()));
// Validate the request and generate a token.
context.Validated(identity);
}
单元测试需要确保customData声明实际上存在于身份验证令牌中。因此,我需要一种方法来评估提供的令牌,以测试它包含哪些声明。
AccessTokenFormat参数与此相关。
所以现在我想知道的是,如果我可以基于这些知识实例化我自己的“解码器”。假设我只会在IIS上托管,我可以实例化一个解码器,然后可以解码令牌并将其转换为Claim对象吗?
关于这方面的文档有点稀疏,代码似乎把你扔到了一个地方,很多东西试图直接在我脑海里。
编辑3:我发现了一个包含应该是承载令牌反序列化器的项目。我在其“API”库中修改了代码,并一直尝试使用它来解密我的API生成的令牌。
我使用Microsoft的PowerShell脚本生成了<machineKey...>值,并将其放在API本身的Web.config文件和测试项目中的App.confg文件中。
System.Security.Cryptography.CryptographicException,消息为"Error occurred during a cryptographic operation."以下是错误的堆栈跟踪:
at System.Web.Security.Cryptography.HomogenizingCryptoServiceWrapper.HomogenizeErrors(Func`2 func, Byte[] input)
at System.Web.Security.Cryptography.HomogenizingCryptoServiceWrapper.Unprotect(Byte[] protectedData)
at System.Web.Security.MachineKey.Unprotect(ICryptoServiceProvider cryptoServiceProvider, Byte[] protectedData, String[] purposes)
at System.Web.Security.MachineKey.Unprotect(Byte[] protectedData, String[] purposes)
at MyAPI.Tests.BearerTokenAPI.MachineKeyDataProtector.Unprotect(Byte[] protectedData) in D:\Source\MyAPI\MyAPI.WebAPI.Tests\BearerTokenAPI.cs:line 251
at MyAPI.Tests.BearerTokenAPI.SecureDataFormat`1.Unprotect(String protectedText) in D:\Source\MyAPI\MyAPI.WebAPI.Tests\BearerTokenAPI.cs:line 287
此时我很难过。在整个项目中将MachineKey值设置为相同,我不明白为什么我无法解密令牌。我猜测加密错误是故意模糊的,但我不知道从哪里开始现在解决这个问题。
我想做的就是在单元测试中测试令牌包含所需的数据....: - )
答案 0 :(得分:14)
我终于找到了解决方案。我向我的Startup类添加了一个公共变量,它公开了传递给OAuthBearerAuthenticationOptions方法的UseBearerTokenAuthentication对象。从那个对象,我可以调用AccessTokenFormat.Unprotect并获得解密的令牌。
我还重写了我的测试以分别实例化Startup类,以便我可以访问测试中的值。
我仍然不明白为什么MachineKey不起作用,为什么我无法直接取消保护令牌。似乎只要MachineKey匹配,我就能够解密令牌,甚至手动解密。但至少这似乎有效,即使它不是最好的解决方案。
这可能会更干净地完成,例如,Startup类可能会以某种方式检测它是否在测试中启动并以其他方式将对象传递给测试类,而不是让它在微风中挂在那里。但是现在这似乎完全符合我的需要。
我的启动类以这种方式公开变量:
public partial class Startup
{
public OAuthBearerAuthenticationOptions oabao;
public void Configuration(IAppBuilder app)
{
// repeated code omitted
// Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
oabao = new OAuthBearerAuthenticationOptions();
app.UseOAuthBearerAuthentication(oabao);
// insert actual web API and we're off!
app.UseWebApi(config);
}
}
我的测试现在看起来像这样:
[TestMethod]
public async Task Test_SignIn()
{
Startup owinStartup = new Startup();
Action<IAppBuilder> owinStartupAction = new Action<IAppBuilder>(owinStartup.Configuration);
using (var server = TestServer.Create(owinStartupAction))
{
var req = server.CreateRequest("/authtoken");
req.AddHeader("Content-Type", "application/x-www-form-urlencoded");
// repeated code omitted
// Is the access token of an appropriate length?
string access_token = responseData["access_token"].ToString();
Assert.IsTrue(access_token.Length > 32);
AuthenticationTicket token = owinStartup.oabao.AccessTokenFormat.Unprotect(access_token);
// now I can check whatever I want on the token.
}
}
希望我的所有努力都能帮助其他人尝试做类似的事情。