De retour d'erreur sur pas valide ou a expiré jeton

Je suis en train de mettre en œuvre le protocole OAuth Porteur d'Authentification avec Owin. Quand pas valide ou a expiré jeton est transmis, l'implémentation par défaut est de vous connecter cela comme un avertissement, et il suffit de ne pas définir une Identité. J'ai toutefois voudrais rejeter la demande en entier avec une erreur dans ce cas. Mais comment pourrais-je faire cela?

Après en fouillant dans le code que j'ai découvert que dans le OAuthBearerAuthenticationHandler il analyse le jeton à l'aide d'un mécanisme de secours lorsque la condition AuthenticationTokenProvider ne pas analyser les billet (comme l'implémentation par défaut). Ce gestionnaire de journal d'un avertissement lorsque le jeton n'a pas pu être analysé pour tout billet ou quand il a expiré.

Mais je ne trouve pas de place pour brancher mon propre logique à ce qui se passe lorsque le jeton est pas valide ou a expiré. Je pourrais théoriquement vérifier cela sur mon propre dans le AuthenticationTokenProvider, mais alors je l'ai ré-écrire la logique (= copier) pour la création et la lecture du jeton. Aussi ce qui semble juste de sortir de la place, car cela semble être la seule responsable de la création et de l'analyse des jetons. Aussi, je ne vois pas un moyen de brancher mon propre mise en œuvre de la OAuthBearerAuthenticationHandler dans le OAuthBearerAuthenticationMiddleware.

Apparemment, mon meilleur et plus propre coup serait ré-écrire tout le middleware, mais cela semble très exagéré.

Que dois-je l'ignorer? Comment aurais-je aller sur ce le meilleur?

edit:

Pour obtenir des éclaircissements. Je sais que par définition pas une identité, la demande sera rejetée avec 401 non autorisé plus tard dans l'API Web. Mais personnellement, je vois cela comme vraiment mauvais style, silencieusement de la déglutition d'un faux jeton d'accès sans aucune notification. De cette façon, vous n'obtenez pas de savoir que votre jeton est de la merde, vous avez juste à savoir que vous n'êtes pas autorisés.

OriginalL'auteur user3137652 | 2014-04-03

.net c#oauth oauth-2.0 owin

J'ai eu un problème similaire, je pense que la réponse est à la fin, mais quelqu'un va venir ici avec un problème similaire:

J'ai utilisé ce package nuget pour valider l'authentification, mais je pense que n'importe quelle méthode peut aider: https://www.nuget.org/packages/WebApi.AuthenticationFilter. Vous pouvez lire sa documentation dans ce site https://github.com/mbenford/WebApi-AuthenticationFilter

AuthenticationFilter.cs

public class AuthenticationFilter : AuthenticationFilterAttribute{
public override void OnAuthentication(HttpAuthenticationContext context)
{
    System.Net.Http.Formatting.MediaTypeFormatter jsonFormatter = new System.Net.Http.Formatting.JsonMediaTypeFormatter();
    var ci = context.Principal.Identity as ClaimsIdentity;

    //First of all we are going to check that the request has the required Authorization header. If not set the Error
    var authHeader = context.Request.Headers.Authorization;
    //Change "Bearer" for the needed schema
    if (authHeader == null || authHeader.Scheme != "Bearer")
    {
        context.ErrorResult = context.ErrorResult = new AuthenticationFailureResult("unauthorized", context.Request,
            new { Error = new { Code = 401, Message = "Request require authorization" } });
    }
    //If the token has expired the property "IsAuthenticated" would be False, then set the error
    else if (!ci.IsAuthenticated)
    {
        context.ErrorResult = new AuthenticationFailureResult("unauthorized", context.Request,
            new { Error = new { Code = 401, Message = "The Token has expired" } });
    }
}}

AuthenticationFailureResult.cs

public class AuthenticationFailureResult : IHttpActionResult{
private object ResponseMessage;
public AuthenticationFailureResult(string reasonPhrase, HttpRequestMessage request, object responseMessage)
{
    ReasonPhrase = reasonPhrase;
    Request = request;
    ResponseMessage = responseMessage;
}

public string ReasonPhrase { get; private set; }

public HttpRequestMessage Request { get; private set; }

public Task<HttpResponseMessage> ExecuteAsync(CancellationToken cancellationToken)
{
    return Task.FromResult(Execute());
}

private HttpResponseMessage Execute()
{
    HttpResponseMessage response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
    System.Net.Http.Formatting.MediaTypeFormatter jsonFormatter = new System.Net.Http.Formatting.JsonMediaTypeFormatter();
    response.Content = new System.Net.Http.ObjectContent<object>(ResponseMessage, jsonFormatter);
    response.RequestMessage = Request;
    response.ReasonPhrase = ReasonPhrase;
    return response;
}}

Réponse exemples:

{"Error":{"Code":401,"Message":"Request require authorization"}}

{"Error":{"Code":401,"Message":"The Token has expired"}}

Polices et de l'inspiration de la documentation:

//github.com/mbenford/WebApi-AuthenticationFilter

//www.asp.net/web-api/overview/security/authentication-filters

Le seul problème est qu'il ya beaucoup d'autres raisons IsAuthorized peut être faux au lieu de expiré

OriginalL'auteur jleon

Ouais, je n'ai pas trouver la "bonne" solution pour ce faire,

Aussi, je ne vois pas un moyen de brancher mon propre mise en œuvre de la
OAuthBearerAuthenticationHandler dans le
OAuthBearerAuthenticationMiddleware.

Apparemment, mon meilleur et plus propre coup serait ré-écrire l'ensemble de la
middleware, mais cela semble également très exagéré.

D'accord, mais c'est ce que j'ai fait (avant de lire ton post). Je copie & collé trois owin classes, et fait en sorte qu'il met bien en Owins contexte, qui peut ensuite être vérifiées par d'autres gestionnaires.

public static class OAuthBearerAuthenticationExtensions
{
public static IAppBuilder UseOAuthBearerAuthenticationExtended(this IAppBuilder app, OAuthBearerAuthenticationOptions options)
{
if (app == null)
throw new ArgumentNullException(nameof(app));
app.Use(typeof(OAuthBearerAuthenticationMiddlewareExtended), app, options);
app.UseStageMarker(PipelineStage.Authenticate);
return app;
}
}
internal class OAuthBearerAuthenticationHandlerExtended : AuthenticationHandler<OAuthBearerAuthenticationOptions>
{
private readonly ILogger _logger;
private readonly string _challenge;
public OAuthBearerAuthenticationHandlerExtended(ILogger logger, string challenge)
{
_logger = logger;
_challenge = challenge;
}
protected override async Task<AuthenticationTicket> AuthenticateCoreAsync()
{
try
{
//Find token in default location
string requestToken = null;
string authorization = Request.Headers.Get("Authorization");
if (!string.IsNullOrEmpty(authorization))
{
if (authorization.StartsWith("Bearer ", StringComparison.OrdinalIgnoreCase))
{
requestToken = authorization.Substring("Bearer ".Length).Trim();
}
}
//Give application opportunity to find from a different location, adjust, or reject token
var requestTokenContext = new OAuthRequestTokenContext(Context, requestToken);
await Options.Provider.RequestToken(requestTokenContext);
//If no token found, no further work possible
if (string.IsNullOrEmpty(requestTokenContext.Token))
{
return null;
}
//Call provider to process the token into data
var tokenReceiveContext = new AuthenticationTokenReceiveContext(
Context,
Options.AccessTokenFormat,
requestTokenContext.Token);
await Options.AccessTokenProvider.ReceiveAsync(tokenReceiveContext);
if (tokenReceiveContext.Ticket == null)
{
tokenReceiveContext.DeserializeTicket(tokenReceiveContext.Token);
}
AuthenticationTicket ticket = tokenReceiveContext.Ticket;
if (ticket == null)
{
_logger.WriteWarning("invalid bearer token received");
Context.Set("oauth.token_invalid", true);
return null;
}
//Validate expiration time if present
DateTimeOffset currentUtc = Options.SystemClock.UtcNow;
if (ticket.Properties.ExpiresUtc.HasValue &&
ticket.Properties.ExpiresUtc.Value < currentUtc)
{
_logger.WriteWarning("expired bearer token received");
Context.Set("oauth.token_expired", true);
return null;
}
//Give application final opportunity to override results
var context = new OAuthValidateIdentityContext(Context, Options, ticket);
if (ticket != null &&
ticket.Identity != null &&
ticket.Identity.IsAuthenticated)
{
//bearer token with identity starts validated
context.Validated();
}
if (Options.Provider != null)
{
await Options.Provider.ValidateIdentity(context);
}
if (!context.IsValidated)
{
return null;
}
//resulting identity values go back to caller
return context.Ticket;
}
catch (Exception ex)
{
_logger.WriteError("Authentication failed", ex);
return null;
}
}
protected override Task ApplyResponseChallengeAsync()
{
if (Response.StatusCode != 401)
{
return Task.FromResult<object>(null);
}
AuthenticationResponseChallenge challenge = Helper.LookupChallenge(Options.AuthenticationType, Options.AuthenticationMode);
if (challenge != null)
{
OAuthChallengeContext challengeContext = new OAuthChallengeContext(Context, _challenge);
Options.Provider.ApplyChallenge(challengeContext);
}
return Task.FromResult<object>(null);
}
}
public class OAuthBearerAuthenticationMiddlewareExtended : AuthenticationMiddleware<OAuthBearerAuthenticationOptions>
{
private readonly ILogger _logger;
private readonly string _challenge;
///<summary>
///Bearer authentication component which is added to an OWIN pipeline. This constructor is not
///            called by application code directly, instead it is added by calling the the IAppBuilder UseOAuthBearerAuthentication
///            extension method.
///
///</summary>
public OAuthBearerAuthenticationMiddlewareExtended(OwinMiddleware next, IAppBuilder app, OAuthBearerAuthenticationOptions options)
: base(next, options)
{
_logger = AppBuilderLoggerExtensions.CreateLogger<OAuthBearerAuthenticationMiddlewareExtended>(app);
_challenge = string.IsNullOrWhiteSpace(Options.Challenge) ? (!string.IsNullOrWhiteSpace(Options.Realm) ? "Bearer realm=\"" + this.Options.Realm + "\"" : "Bearer") : this.Options.Challenge;
if (Options.Provider == null)
Options.Provider = new OAuthBearerAuthenticationProvider();
if (Options.AccessTokenFormat == null)
Options.AccessTokenFormat = new TicketDataFormat(
Microsoft.Owin.Security.DataProtection.AppBuilderExtensions.CreateDataProtector(app, typeof(OAuthBearerAuthenticationMiddleware).Namespace, "Access_Token", "v1"));
if (Options.AccessTokenProvider != null)
return;
Options.AccessTokenProvider = new AuthenticationTokenProvider();
}
///<summary>
///Called by the AuthenticationMiddleware base class to create a per-request handler.
///
///</summary>
///
///<returns>
///A new instance of the request handler
///</returns>
protected override AuthenticationHandler<OAuthBearerAuthenticationOptions> CreateHandler()
{
return new OAuthBearerAuthenticationHandlerExtended(_logger, _challenge);
}
}

Ensuite, j'ai écrit ma propre autorisation de filtre, qui sera appliqué à l'échelle mondiale:

public class AuthorizeAttributeExtended : AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(HttpActionContext actionContext)
{
var tokenHasExpired = false;
var owinContext = OwinHttpRequestMessageExtensions.GetOwinContext(actionContext.Request);
if (owinContext != null)
{
tokenHasExpired = owinContext.Environment.ContainsKey("oauth.token_expired");
}
if (tokenHasExpired)
{
actionContext.Response = new AuthenticationFailureMessage("unauthorized", actionContext.Request,
new
{
error = "invalid_token",
error_message = "The Token has expired"
});
}
else
{
actionContext.Response = new AuthenticationFailureMessage("unauthorized", actionContext.Request,
new
{
error = "invalid_request",
error_message = "The Token is invalid"
});
}
}
}
public class AuthenticationFailureMessage : HttpResponseMessage
{
public AuthenticationFailureMessage(string reasonPhrase, HttpRequestMessage request, object responseMessage)
: base(HttpStatusCode.Unauthorized)
{
MediaTypeFormatter jsonFormatter = new JsonMediaTypeFormatter();
Content = new ObjectContent<object>(responseMessage, jsonFormatter);
RequestMessage = request;
ReasonPhrase = reasonPhrase;
}
}

mon WebApiConfig:

config.Filters.Add(new AuthorizeAttributeExtended());

Comment mon configureOAuth ressemble:

public void ConfigureOAuth(IAppBuilder app)
{
app.UseExternalSignInCookie(DefaultAuthenticationTypes.ExternalCookie);
OAuthBearerOptions = new OAuthBearerAuthenticationOptions()
{
};
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
{
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromSeconds(10),
Provider = new SimpleAuthorizationServerProvider(),
RefreshTokenProvider = new SimpleRefreshTokenProvider(),
AuthenticationMode =  AuthenticationMode.Active
};
FacebookAuthOptions = new CustomFacebookAuthenticationOptions();
app.UseFacebookAuthentication(FacebookAuthOptions);
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthenticationExtended(OAuthBearerOptions);
}

Je vais essayer & obtenir ce à la branche principale de l'authentification oAuth middleware, il semble évident de cas d'utilisation, à moins que quelque chose m'échappe.

OriginalL'auteur Erti-Chris Eelmaa

0

Si l'authentification échoue (ce qui signifie le jeton est expiré), alors que la couche n'est pas définie par l'utilisateur, comme vous l'avez dit. C'est la couche d'autorisation (plus tard) pour rejeter l'appel. Donc, pour votre scénario, votre API Web aurait besoin de refuser l'accès à un visiteur anonyme. L'utilisation de la [Autoriser] autorisation de filtre d'attribut.

Je vous remercie pour votre réponse, mais ce n'est pas une réponse à ma question. Je suis venu demander sur la façon de rejeter invalide jeton d'accès. Je comprends que l'API de Web elle-même rejette avec un 401 non autorisé, mais je considère qu'il est très mauvais style. Si pas VALIDE ou a EXPIRÉ jeton d'accès est passé, la réponse doit être une notification que le jeton d'accès n'est pas VALIDE ou a EXPIRÉ - pas que l'utilisateur est tout simplement pas autorisé.
Je serais heureux si vous pouviez supprimer votre réponse, car il ne répond pas à ma question. J'ai édité ma question et de préciser que je suis conscient de cela, et que ce n'est pas ce que je veux.
Désolé que vous n'aimez pas la réponse, mais c'est de la bonne conception. L'authentification est distincte de l'autorisation. Dan Roth de Microsoft a même des points dans cette version récente session: channel9.msdn.com/Events/Build/2014/3-603
Je n'ai jamais soutenu que, je sais que l'authentification et l'autorisation sont deux choses différentes. Mais je veux simplement rejeter valide de tentatives d'authentification avec un message d'erreur, pas silencieusement à les avaler. Il est également inutile de journal d'un avertissement (comme la mise en œuvre), si je ne peux pas réagir correctement.
Il est bon d'avoir le code supplémentaire pour discerner la raison de la 401. Nous avons besoin de distinguer entre expiré, invalides et des autorisations insuffisantes

OriginalL'auteur Brock Allen

Vous devez vous connecter pour publier un commentaire.