我有两个申请
已按照计划进行身份验证
现在,在Cleint App的服务器端,我需要验证没有请求每个令牌的令牌。
到目前为止,我已经编写了以下代码来创建POC。
======================== OWIN配置========
[assembly: OwinStartup(typeof(WebApi.App_Start.Startup))]
namespace WebApi.App_Start
{
public class Startup
{
public void Configuration(IAppBuilder app)
{
HttpConfiguration config = new HttpConfiguration();
ConfigureOAuth(app);
WebApiConfig.Register(config);
app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
app.UseWebApi(config);
}
public void ConfigureOAuth(IAppBuilder app)
{
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
{
AllowInsecureHttp = false,
TokenEndpointPath = new PathString("/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
Provider = new SimpleAuthorizationServerProvider(),
};
// Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthentication(new
OAuthBearerAuthenticationOptions());
}
}
}
==============================oAuth Provided========================
public class SimpleAuthorizationServerProvider: OAuthAuthorizationServerProvider
{
public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
context.Validated();
}
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });
using (AuthRepository _repo = new AuthRepository())
{
IdentityUser user = _repo.FindUser(context.UserName, context.Password);
if (user == null)
{
context.SetError("invalid_grant", "The user name or password is incorrect.");
return;
}
}
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim("sub", context.UserName));
identity.AddClaim(new Claim("role", "user"));
context.Validated(identity);
}
}
请帮助
谢谢
@Paul
答案 0 :(得分:3)
请建议我如何在每个请求中验证令牌,因为我不这样做 知道OWIN用来生成令牌的密钥。
您当前的设置(如果您已将app.UseOAuthBearerAuthentication()添加到owin管道中)将通过在您的每个请求中传递的承载令牌对用户进行身份验证。
然后可以通过HttpContext.Current.User找到当前用户。
使用Authorize属性来确定在某些端点上授权了哪些用户。
这是一个允许角色为“ user”的用户访问的示例
[Authorize(Roles="user")]
public class ValuesController : ApiController
{
}
编写代码以验证客户端应用程序上的令牌是正确的,否则应该 在验证服务器上。
否,您不会在客户端中验证令牌,如果您的用户凭据错误,您将根本不会获得令牌。这就是您所需要知道的。 而且,为什么还要在客户端中验证令牌?
我打算转移所有用户管理代码,例如注册用户, 将密码更改为身份验证服务器,以便我们可以将其重新用于 不同的客户端应用程序-这是正确的设计实践吗?
重用令牌提供者很常见。为什么要为每种应用发明轮子?建立一个伟大的,或使用第三方,并在您的应用程序中重复使用它。
答案 1 :(得分:2)
使用JSON Web Tokens(JWT)和声明身份,而不是需要跟踪已发行令牌的随机令牌。
JWT就像是受信任的权威机构颁发的护照。护照已签名/盖章,您可以验证该护照是由此受信任的机构签发的,并且尚未被篡改。这就是说,可以验证令牌中存在的访问权限声明的完整性,而无需在任何地方保持状态。信任应用程序和授权机构之间唯一需要进行的通信是授权机构公钥(用于对令牌进行签名)的初始(安全)下载。
还建议您使用标准的声明架构,例如OpenID Connect(http://openid.net/specs/openid-connect-core-1_0.html#StandardClaims)
有关该主题的一本好书,可以使我对所有这些概念有很多了解,可以在这里找到:A Guide to Claims-Based Identity and Access Control。
答案 2 :(得分:0)
一种验证令牌未被篡改的方法是使用非对称密钥对对其进行签名,Identity Server使用这种方法,如here所示。
在这种情况下,如果您要进行自己的身份验证,则需要自己实施此身份验证,并可能检查自定义中间件中的每个请求令牌是否有效。
答案 3 :(得分:0)
如果您在create中使用sendback,save,localStorage并且关于JWT令牌的所有事情都正确,则必须知道其中有很多方法.Net,您可以控制每个请求。
服务器端控制:
如果您使用的是Web API Core,则可以在内核中创建在运行时以pipline运行的Middleware,还可以提供上下文并检查请求的令牌,以进行更多信息检查: This。
如果使用Asp.net MVC,则可以在MVC中使用ActionFilter(Asp.Net-Core也具有更高级的ActionFilter),每个请求都将继续进行,您可以检查每个有关此信息的更多信息,请检查This。
客户端控制:
localstorage中,以便浏览器根据请求检查数据,它们的优点是Expireation,并且在token保存在localstorage中,您和浏览器可以使用它来获取更多信息,请检查:This。祝你好运。