L'ajout de la logique supplémentaire pour le Porteur de l'autorisation

Je tente de mettre en œuvre OWIN porteur du jeton d'autorisation, et sur la base cet article. Cependant, il y a une autre information dont j'ai besoin porteur du jeton que je ne sais pas comment la mettre.

Dans mon application, j'ai besoin d'en déduire le porteur du jeton de l'utilisateur (dire userid). Ceci est important parce que je ne veux pas un utilisateur autorisé d'être en mesure d'agir en tant qu'un autre utilisateur. Est-ce faisable? Est-il même la bonne approche? Si le code d'utilisateur est un guid, alors ce serait simple. C'est un entier dans ce cas.
Un utilisateur autorisé peut, potentiellement, d'usurper l'identité d'un autre juste en devinant /la force brute, ce qui est inacceptable.

En regardant ce code:

public void ConfigureOAuth(IAppBuilder app)
{
    OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
    {
        AllowInsecureHttp = true,
        TokenEndpointPath = new PathString("/token"),
        AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
        Provider = new SimpleAuthorizationServerProvider()
    };

    //Token Generation
    app.UseOAuthAuthorizationServer(OAuthServerOptions);
    app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
}

public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
{
    public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
    {
        context.Validated();
    }

    public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {
        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

        using (AuthRepository _repo = new AuthRepository())
        {
            IdentityUser user = await _repo.FindUser(context.UserName, context.Password);

            if (user == null)
            {
                context.SetError("invalid_grant", "The user name or password is incorrect.");
                return;
            }
        }

        var identity = new ClaimsIdentity(context.Options.AuthenticationType);
        identity.AddClaim(new Claim("sub", context.UserName));
        identity.AddClaim(new Claim("role", "user"));

        context.Validated(identity);
    }
}

Je pense qu'il est possible de remplacer l'autorisation et d'authentification pour accueillir ce dont j'ai besoin?

Vous pouvez utiliser ce qui suit pour obtenir le nom d'utilisateur d'un utilisateur stackoverflow.com/a/19506296/299327.

OriginalL'auteur Echiban | 2014-06-21

asp.net-web-api bearer-token c#oauth-2.0 owin

Il semble qu'il ya quelque chose qui manque dans votre code.

Vous n'êtes pas de la validation de votre client.

Vous devez mettre en œuvre ValidateClientAuthentication et de vérifier vos informations d'identification du client.

C'est ce que je fais:

public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
        string clientId = string.Empty;
        string clientSecret = string.Empty;

        if (!context.TryGetBasicCredentials(out clientId, out clientSecret)) 
        {
            context.SetError("invalid_client", "Client credentials could not be retrieved through the Authorization header.");
            context.Rejected();
            return;
        }

        ApplicationDatabaseContext dbContext = context.OwinContext.Get<ApplicationDatabaseContext>();
        ApplicationUserManager userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

        if (dbContext == null)
        {
            context.SetError("server_error");
            context.Rejected();
            return;
        }

        try
        {
            AppClient client = await dbContext
                .Clients
                .FirstOrDefaultAsync(clientEntity => clientEntity.Id == clientId);

            if (client != null && userManager.PasswordHasher.VerifyHashedPassword(client.ClientSecretHash, clientSecret) == PasswordVerificationResult.Success)
            {
                //Client has been verified.
                context.OwinContext.Set<AppClient>("oauth:client", client);
                context.Validated(clientId);
            }
            else
            {
                //Client could not be validated.
                context.SetError("invalid_client", "Client credentials are invalid.");
                context.Rejected();
            }
        }
        catch (Exception ex)
        {
            string errorMessage = ex.Message;
            context.SetError("server_error");
            context.Rejected();
        }
  }

Un bon article, plein de détails peuvent être trouvés ici.

Une encore meilleure explication peut être trouvée dans cette blog de la série.

Mise à JOUR:

J'ai fait quelques recherches et webstuff est droit.

Afin de passer errorDescription pour le client, nous devons Rejeté avant de l'erreur avec SetError:

context.Rejected();
context.SetError("invalid_client", "The information provided are not valid !");
return;

ou on peut l'étendre en passant sérialisé objet json dans la description:

context.Rejected();
context.SetError("invalid_client", Newtonsoft.Json.JsonConvert.SerializeObject(new { result = false, message = "The information provided are not valid !" }));
return;

L'ajout de la logique supplémentaire pour le Porteur de l'autorisation

Avec un javascript/jQuery client nous pourrions désérialiser le texte de la réponse et de lire le message étendu:

$.ajax({
    type: 'POST',
    url: '<myAuthorizationServer>',
    data: { username: 'John', password: 'Smith', grant_type: 'password' },
    dataType: "json",
    contentType: 'application/x-www-form-urlencoded; charset=utf-8',
    xhrFields: {
        withCredentials: true
    },
    headers: {
        'Authorization': 'Basic ' + authorizationBasic
    },  
    error: function (req, status, error) {
            if (req.responseJSON && req.responseJSON.error_description)
            {
               var error = $.parseJSON(req.responseJSON.error_description);
                    alert(error.message);
            }
    }
});

J'ai lu l'article, et la seule chose que je ne comprends pas, c'est comment dans le monde l'a fait l'auteur est venu avec l'Autorisation: de Base NDJmZjVkYWQzYzI3NGM5N2EzYTdjM2Q0ngi2n2jindi6y2xpzw50mtizndu2. J'ai alors regardé le lien github de l'auteur publié et a finalement vu le côté client. Oauth2 de la magie à la rescousse! Grâce leftyx
Si vous avez besoin de plus d'info il y a un nouveau lien dans ma réponse. Taisser blog sur owin et api web est grand et plein d'infos utiles. des acclamations.
si j'ai besoin de passer 2 les valeurs de retour, puis-je appeler SetError deux fois?
Je l'ai étendu ma réponse avec quelques infos qui pourraient vous aider.
merci!

OriginalL'auteur LeftyX

10

Sur une note de côté, si vous souhaitez définir un message d'erreur personnalisé, vous aurez à inverser l'ordre de la context.Rejected et context.SetError.
```
    //Summary:
    //    Marks this context as not validated by the application. IsValidated and HasError
    //    become false as a result of calling.
    public virtual void Rejected();
```
Si vous placez context.Rejected après context.SetError alors la propriété context.HasError sera remis à faux c'est donc la bonne façon de l'utiliser est:
```
    //Client could not be validated.
    context.Rejected();
    context.SetError("invalid_client", "Client credentials are invalid.");
```
Putain ce que c'réellement fait le tour. Je suis surpris de voir comment le Copier-Coller est répandu à travers .NET de la communauté. Je vous remercie pour votre réponse unique.
Pouvons-nous envoyer un 401 ou 403 erreur? Le seul code d'erreur que je vois est de 400
Peu importe ce que j'essaie et ça fait des jours à essayer plusieurs combinaisons et de http.post Angulaire 6 la demande, je reçois toujours un "Bad Request" littéral de chaîne et ne peut pas obtenir la vraie json error_description. La chose étrange est que je le vois sous Réseau dans l'onglet "Réponse" et il fonctionne aussi sous AngularJS, mais pas Angulaire 6. Toute aide?

OriginalL'auteur webStuff

Juste à ajouter sur LeftyX réponse, voici comment vous pouvez complètement contrôler la réponse est envoyée au client une fois que le contexte est rejetée. Attention aux commentaires de code.

Basé sur Greg P d'origine de réponse, avec quelques modifications

Etape 1: Créer une classe qui va agir comme votre middleware

using AppFunc = System.Func<System.Collections.Generic.IDictionary<string, System.Object>,
System.Threading.Tasks.Task>;

espace de noms SignOnAPI.Middleware.ResponseMiddleware
{

public class ResponseMiddleware 
{
    AppFunc _next;
    ResponseMiddlewareOptions _options;

    public ResponseMiddleware(AppFunc nex, ResponseMiddlewareOptions options)
    {
        _next = next;
    }

    public async Task Invoke(IDictionary<string, object> environment)
    {
        var context = new OwinContext(environment);

        await _next(environment);

        if (context.Response.StatusCode == 400 && context.Response.Headers.ContainsKey("Change_Status_Code"))
        {
            //read the status code sent in the response
            var headerValues = context.Response.Headers.GetValues("Change_Status_Code");

            //replace the original status code with the new one
            context.Response.StatusCode = Convert.ToInt16(headerValues.FirstOrDefault());

            //remove the unnecessary header flag
            context.Response.Headers.Remove("Change_Status_Code");
        }
    }
}

Etape 2 : Créer les extensions de la classe (Peut être omis).

Cette étape est facultative, peut être modifié pour accepter les options qui peuvent être transmis à la middleware.

public static class ResponseMiddlewareExtensions
{
    //method name that will be used in the startup class, add additional parameter to accept middleware options if necessary
    public static void UseResponseMiddleware(this IAppBuilder app)
    {
        app.Use<ResponseMiddleware>();
    }
}

Etape 3: Modifier GrantResourceOwnerCredentials méthode dans votre OAuthAuthorizationServerProvider mise en œuvre

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {

        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

        if (<logic to validate username and password>)
        {
            //first reject the context, to signify that the client is not valid
            context.Rejected();

            //set the error message
            context.SetError("invalid_username_or_password", "Invalid userName or password" );

            //add a new key in the header along with the statusCode you'd like to return
            context.Response.Headers.Add("Change_Status_Code", new[] { ((int)HttpStatusCode.Unauthorized).ToString() }); 
            return;
        }
    }

Etape 4: Utilisez ce middleware dans le démarrage de classe

public void Configuration(IAppBuilder app)
{
    app.UseResponseMiddleware();

    //configure the authentication server provider
    ConfigureOAuth(app);

    //rest of your code goes here....
}

OriginalL'auteur Giridhar Karnik

Vous devez vous connecter pour publier un commentaire.