博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
使用ms owin 搭建oauth2 server
阅读量:6544 次
发布时间:2019-06-24

本文共 2171 字,大约阅读时间需要 7 分钟。

有示例代码

 

关于token的加密解密

server 端

app.UseOAuthAuthorizationServer(new OAuthAuthorizationServerOptions{

其中AccessTokenFormat可以设置身份的序列化和加密方式,遗憾的是不能用简单的json或xml,因为有循环引用

是一个实现了ISecureDataFormat<AuthenticationTicket>的类,AuthenticationTicket 中有循环引用,所以json不能

resource端

app.UseOAuthBearerAuthentication(new Microsoft.Owin.Security.OAuth.OAuthBearerAuthenticationOptions(){    AccessTokenFormat=……});

要设置成同样的处理方式

server端加密,resource端解密

 

关于Cookie中的Base64字符串

示例代码中,身份认证用的是mvc5新的identiy,而我的身份认证是自定义的(基于以前的一个网站)。cookie中存的是base64的字符,其中可能会存在加号(+)

用原本的Request.Cookie获取,加号取出来就是加号

但是通过IOwinContext取出来,+号变成了空格。

要注意对这部分进行处理

 

关于客户端和服务器端的交互

整个oauth,可以认为有3方

1、oauth认证服务(server)

2、api服务(resource)

3、要调用api的网站(client)

最终的目的是client获取resource的数据,但是resource的数据不是谁都可以随便取的,所以需要先经过server的认证和授权

如果用.net开发客户端和服务端,则按照例子中的,用DotNetOpenAuth.OAuth2这个,也挺方便

但我们搭建oauth,是要为其他网站服务的,不能仅适用于.net,所以有必要了解一下客户端的流程

 

首先,针对每一个第三方的客户端(网站或手机app之类的)都需要给他分配(或自己设定)

1、client id 字符串,能够唯一标识一个第三方应用

2、secret  对应的密钥

3、redirect uri  认证之后,认证服务会跳转会应用的页面,此页面接收返回的token

 

大体流程如下

1、客户端在需要认证的时候,跳转到认证服务器

此时,页面会停留在认证服务器,要浏览器点确定按钮(如果没登录,会先跳转到登录页,登录后还回到这个页)

当用户点确定(同意授权)之后,会跳转会传来的redirect_uri这个参数对应的网址,

然后在后面会有参数

?code=….&state=….

其中state是你发给服务什么,服务就原样给你返回什么。

你可以,在发送给服务端之前,生成一些随机数,然后保存在cookie,当服务器返回后,与cookie中的比对,来确定在过程中是否有被劫持或进行过其他的改动。

code是关键性的东西,之后我们要写一些程序来向服务发起一个请求会用到此code

 

2、发送post请求到这个地址,并且

form的值包括

redirect_uri=…&grant_type=authorization_code&code=…
其中code,就是上一步获取到的code,grant_type是固定值(这里只针对AuthorizationCodeGrant这种方式)
redirect_uri还是同样的那个地址(注意这里不能用不一样的地址,因为在注册应用的时候,只设定了这一个地址,所以对所有的返回应用的地址,都要使用这一个)
并且,要在header中传递
Authorization,值为
 
clientid+冒号+secret(clientid+”:"+secret)
把这个结果用utf8编码方式转成base64字符串
Authorization这个header中的值为 "Basic "+base64字符串(注意有个空格)
如果一切正常,我们能够拿到一个json的返回值,包含了access token,refresh token,以及过期时间等
 
3、拿access token去api服务端获取数据
同样,我们在请求api的时候,需要设置header
Authorization 值为 "bearer "+accesstoken
 

 

关于过期时间和刷新

在第二步拿到的json,除了access token以外,还会有

expires_in 和 refresh_token

expires_in是秒

如果过期了,可以拿refresh_token重新获取一个

post请求

head与第二步一样

form:

grant_type = refresh_token (固定值)

refresh_token(第二步拿到的字符串)

请求成功后,获取到json(与第二步格式一样)

 

server中owin的option里可以设置AuthorizationCode和AccessToken的时间,默认是5分钟和20分钟

转载于:https://www.cnblogs.com/czcz1024/p/4057479.html

你可能感兴趣的文章
windows下根据端口找pid
查看>>
asp.net 数据集导出Excel方法
查看>>
ArcEngine创建字段集
查看>>
HDU 4278 Faulty Odometer【进制转换】
查看>>
android studio 导入主题设置,代码风格(附带eclipse 主题代码样式)
查看>>
markdown 简单教程
查看>>
二叉树1
查看>>
【leetcode】402. Remove K Digits
查看>>
RESTful API 设计最佳实践
查看>>
用于构建 RESTful Web 服务的多层架构
查看>>
转载C#加密方法
查看>>
eclipse中类和方法添加作者日期说明
查看>>
Python 精要参考(第二版) 第二章 语法及代码约定
查看>>
新学期的合作
查看>>
Beginners MYSQL Database Tutorial# How to install MySQL on Ubuntu
查看>>
PHP之数组学习
查看>>
PHP判断远程文件是否存在
查看>>
JS 转义&反转义 HTML标签、特殊字符
查看>>
KVC集合操作符
查看>>
[转载]ext4文件系统的delalloc选项造成单次写延迟增加的分析
查看>>