Authorization_code subvention de flux sur Owin.De sécurité.OAuth: retourne invalid_grant

Je suis en train de configurer mon authentification à l'aide de la authorization_code subvention de flux. Je l'avais déjà travailler avec grant_type=password, donc je sais comment les choses est censé fonctionner. Mais lors de l'utilisation de grant_type=authorization_code, je ne pouvais pas le faire revenir à autre chose que de invalid_grant

Voici ma configuration:

app.UseOAuthAuthorizationServer(new OAuthAuthorizationServerOptions
{
    AllowInsecureHttp = true,
    TokenEndpointPath = new PathString("/auth/token"),
    AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(5),
    Provider = new SampleAuthProvider()
});

app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions
{
    AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Active,
    AuthenticationType = "Bearer"
});

SampleAuthProvider est la classe suivante: https://gist.github.com/anonymous/8a0079b705423b406c00

Fondamentalement, c'est juste la journalisation de chaque étape et de le valider. J'ai essayé la requête:

POST http://localhost:12345/auth/token
grant_type=authorization_code&code=xxxxxx&client_id=xxxxx&redirect_uri=https://xxxx.com/
Content-Type: application/x-www-form-urlencoded

Il la traverse:

  • OnMatchEndpoint
  • OnValidateClientAuthentication

Et c'est tout. Je m'attendais à appeler OnValidateTokenRequest et OnGrantAuthorizationCodeprochaine, mais il n'a tout simplement pas. Je n'ai aucune idée pourquoi.

La xxxx's dans la demande ne sont pas des espaces réservés, je l'ai essayé comme ça. Peut-être que le middleware fait quelques vérifications sur son propre et rejette la demande à cause de qui? J'ai essayé des variantes de la redirect_uri avec http, sans protocole, sans slash...

Il fonctionne aussi correctement avec un custom grant_type. Ainsi si j'ai trop désespéré, je suppose que je peux l'utiliser pour simuler authorization_code, mais je préfère ne pas avoir à le faire.

TL;DR

Mon OAuthAuthorizationServerProvider retourne {"error":"invalid_grant"}après OnValidateClientAuthentication lors de l'utilisation de grant_type=authorization_code.

  • Pourquoi est-il s'en arrêter là?
  • Comment puis-je faire la fichue chose de travail?

Merci pour votre aide!

Modifier

Comme l'a souligné RajeshKannan, j'ai fait une erreur dans ma configuration. Je n'ai pas fournir une AuthorizationCodeProvider instance. Pourtant, cela n'a pas de résoudre complètement le problème, étant donné que dans mon cas, le code n'est pas délivré par le AuthorizationCodeProvider, et je ne peux pas juste le désérialiser. Je avez répondu avec la solution de contournement que j'ai obtenu de travail.

OriginalL'auteur dgn | 2014-07-01

  1. 9

    Voici ce que j'ai eu à travailler. Je ne suis pas complètement à l'aise avec cette solution, mais il fonctionne et doit aider les autres à résoudre leurs problèmes.

    Donc, le problème est que je n'ai pas mis le AuthorizationCodeProvider de la propriété. Lorsqu'une demande avec grant_type=authorization_code est reçu, le code doit être validé par le code du fournisseur. Le cadre suppose que le code a été adopté par le code fournisseur, mais ce n'est pas mon cas. Je l'obtenir à partir d'un autre serveur et envoyer le code de retour pour validation.

    Dans le cas standard, où vous êtes aussi à la délivrance du code, le lien fourni par RajeshKannan décrit tout ce que vous avez à faire.

    C'est ici que vous devez définir la propriété:

    app.UseOAuthAuthorizationServer(new OAuthAuthorizationServerOptions
{
    TokenEndpointPath = new PathString(Paths.TokenPath),
    Provider = new SampleAuthProvider(),
    AuthorizationCodeProvider = new MyAuthorizationCodeProvider ()
}

    Et la déclaration de la MyAuthorizationCodeProvider classe:

    internal class MyAuthorizationCodeProvider : AuthenticationTokenProvider
{
    public override async Task ReceiveAsync(
        AuthenticationTokenReceiveContext context)
    {
        object form;
        //Definitely doesn't feel right
        context.OwinContext.Environment.TryGetValue(
                "Microsoft.Owin.Form#collection", out form); 
        var redirectUris = (form as FormCollection).GetValues("redirect_uri");
        var clientIds = (form as FormCollection).GetValues("client_id");
        if (redirectUris != null && clientIds != null)
        {
            //Queries the external server to validate the token
            string username = await MySsoService.GetUserName(context.Token,
                                                             redirectUris[0]);
            if (!string.IsNullOrEmpty(username))
            {
                var identity = new ClaimsIdentity(new List<Claim>()
                {
                    //I need the username in  GrantAuthorizationCode
                    new Claim(ClaimTypes.NameIdentifier, username) 
                }, DefaultAuthenticationTypes.ExternalBearer);

                var authProps = new AuthenticationProperties();

                //Required. The request is rejected if it's not provided
                authProps.Dictionary.Add("client_id", clientIds[0]); 

                //Required, must be in the future
                authProps.ExpiresUtc = DateTimeOffset.Now.AddMinutes(1); 

                var ticket = new AuthenticationTicket(identity, authProps);
                context.SetTicket(ticket);
            }
        }
    }
}
    Bonjour @scénario, avez-vous réussi à trouver une meilleure façon? Je suis avec le même problème
    Désolé, j'ai arrêté de travailler sur ce projet, donc je n'ai pas d'autres mises à jour sur ce sujet. Cette solution a bien fonctionné. L'API est juste conçu avec d'autres cas d'utilisation à l'esprit. Peut-être dans les futures mises à jour qui sera faisable sans codé en dur clés, des moulages et co.

    OriginalL'auteur dgn

  2. 1

    Assurez-vous que vous avez configuré votre serveur d'autorisation d'options.
    Je pense que vous devez fournir à votre autoriser un point de détails:

     AuthorizeEndpointPath = new PathString(Paths.AuthorizePath)

    Dans le lien ci-dessous, le code d'autorisation de la subvention sera expliqué en détail et listes de la méthode qui ont été impliqués dans le code d'autorisation de la subvention du cycle de vie.

    Owin serveur d'autorisation Oauth

    Merci de votre réponse qui m'a mis sur la bonne voie. J'ai édité la question pour expliquer ce que je devais changer. Mais il se sent juste bizarre. Ai-je raté un moyen plus facile d'obtenir les paramètres de la requête et de les transmettre au Fournisseur? Ou peut-être que je ne suis pas censé communiquer avec mon Serveur d'authentification unique comme ça?

    OriginalL'auteur RajeshKannan

  3. 1

    J'ai eu le même message d'erreur. Des choses qui me manquait:

    • Spécifier OAuthAuthorizationServerOptions.AuthorizationCodeProvider selon la la documentation.
    • Spécifier le même client_id comme un paramètre lors d'une demande pour le jeton d'extrémité comme vous l'avez fait quand vous avez reçu le authorization_code.
    • Remplacer OAuthAuthorizationServerProvider.ValidateClientAuthentication et dans l'appel de cette méthode context.TryGetFormCredentials. Ceci définit la propriété context.ClientId à la valeur de la client_id GET-paramètre. Cette propriété doit être défini, sinon vous obtiendrez le invalid_grant erreur. Aussi, appelez context.Validated().

    Après avoir fait toutes les ci-dessus, j'ai enfin pu échanger le authorization_code à un access_token au jeton de point de terminaison.

    OriginalL'auteur Gebb

  4. 0

    Grâce scénario, Mon code était manquant à la suite de deux valeurs requises. Posté ici au cas où d'autres trouvent cela utile:

                //Required. The request is rejected if it's not provided
            authProps.Dictionary.Add("client_id", clientIds[0]); 

            //Required, must be in the future
            authProps.ExpiresUtc = DateTimeOffset.Now.AddMinutes(1);

    OriginalL'auteur mkaj