L'utilisation d'Active Directory avec l'API Web pour SPA

Je suis seul bâtiment la page de l'application, et je voudrais savoir l'identité de l'utilisateur. Nous avons Active Directory dans notre intranet, mais je ne sais pas beaucoup sur elle. Je suis en mesure d'utiliser ce type de code pour vérifier le nom d'utilisateur et mot de passe.

using(PrincipalContext pc = new PrincipalContext(ContextType.Domain, "YOURDOMAIN"))
{
  bool isValid = pc.ValidateCredentials("myuser", "mypassword");
}

En fait, c'est tout ce que j'ai besoin de l'Active Directory côté de la chose. J'ai donc pu créer une certaine AuthorizationFilter avec ce code mais cela voudrait dire que le nom d'utilisateur et le mot de passe doit être dans chaque demande. Je voudrais envoyer le nom d'utilisateur et le mot de passe qu'une seule fois et ensuite utiliser certains jeton d'autorisation. Donc, il devrait y avoir un fournisseur de jeton à l'intérieur de mon côté serveur de l'application.

Je suis la construction de cette application à partir de zéro donc je peux l'utiliser plus tard .net technologies. J'ai trouvé qu'il y a quelques Owin middlewares qui sont la manipulation des jetons, des cookies et OAuth. Quelque chose pourrait que m'aider?

upvoted parce que votre réputation est 666. Pouah... Maintenant que vous êtes bon.

OriginalL'auteur Lukas Pirkl | 2013-12-09

  1. 21

    Quand j'étais à la recherche de quelque chose de complètement différent, j'ai trouvé cet incroyable projet sur CodePlex: https://angularapp.codeplex.com/ C'est exactement ce que je cherchais.

    Mise à jour:

    Le cadre de cette application, qui a été utile pour moi est le DomainUserLoginProvider

    public class DomanUserLoginProvider : ILoginProvider
{
    public bool ValidateCredentials(string userName, string password, out ClaimsIdentity identity)
    {
        using (var pc = new PrincipalContext(ContextType.Domain, _domain))
        {
            bool isValid = pc.ValidateCredentials(userName, password);
            if (isValid)
            {
                identity = new ClaimsIdentity(Startup.OAuthOptions.AuthenticationType);
                identity.AddClaim(new Claim(ClaimTypes.Name, userName));
            }
            else
            {
                identity = null;
            }

            return isValid;
        }
    }

    public DomanUserLoginProvider(string domain)
    {
        _domain = domain;
    }

    private readonly string _domain;
}

    LoginProvider est utilisé dans AccountController de mesures pour vérifier les informations d'identification. Aussi la AccessToken est créé ici.

    [HttpPost, Route("Token")]
public IHttpActionResult Token(LoginViewModel login)
{
    ClaimsIdentity identity;

    if (!_loginProvider.ValidateCredentials(login.UserName, login.Password, out identity))
    {
        return BadRequest("Incorrect user or password");
    }

    var ticket = new AuthenticationTicket(identity, new AuthenticationProperties());
    var currentUtc = new SystemClock().UtcNow;
    ticket.Properties.IssuedUtc = currentUtc;
    ticket.Properties.ExpiresUtc = currentUtc.Add(TimeSpan.FromMinutes(30));

    return Ok(new LoginAccessViewModel
    {
        UserName = login.UserName,
        AccessToken = Startup.OAuthOptions.AccessTokenFormat.Protect(ticket)
    });
}

    Dernier mais non le moindre, ajoutez la bonne middleware pour Owin pipeline.

    public partial class Startup
{
    static Startup()
    {
        OAuthOptions = new OAuthAuthorizationServerOptions();
    }

    public static OAuthAuthorizationServerOptions OAuthOptions { get; private set; }

    public static void ConfigureAuth(IAppBuilder app)
    {
        app.UseOAuthBearerTokens(OAuthOptions);
    }
}

    Sur le côté client, il vous suffit d'envoyer la demande avec les informations d'identification pour le Jeton d'action de AccountController et vous obtiendrez le jeton d'authentification. Enregistrez ce code dans le navigateur ("se Souvenir de moi") et réglez l'angle de dollars du service http pour attacher jeton à chaque demande. 

    services.factory('$auth', ['$q', '$http', '$path', function ($q, $http, $path) {       
    var tokenUrl = $path('api/Account/Token');

    function setupAuth(accessToken, remember) {
        var header = 'Bearer ' + accessToken;
        delete $http.defaults.headers.common['Authorization'];
        $http.defaults.headers.common['Authorization'] = header;
        sessionStorage['accessToken'] = accessToken;
        if (remember) {
            localStorage['accessToken'] = accessToken;
        }
        return header;
    }

    var self = {};

    self.login = function(user, passw, rememberMe) {
        var deferred = $q.defer();
        $http.post(tokenUrl, { userName: user, password: passw })
            .success(function (data) {
                var header = setupAuth(data.accessToken, rememberMe);
                deferred.resolve({
                    userName: data.userName,
                    Authorization: header
                });
            })
            .error(function() {
                deferred.reject();
            });

        return deferred.promise;
    };

    return self;
}]);
    Il serait bien si vous avez pris les parties pertinentes à partir du lien ci-dessus et a expliqué comment ce site/code résout votre problème d'origine.
    Merci pour le pointeur vers un Spa agréable app .Net, comme par Jason demande, pourriez-vous ajouter un peu de contexte sur la façon dont il vous a aidé.
    J'ai mis à jour la réponse avec le code qui a été la solution pour mon problème.

    OriginalL'auteur Lukas Pirkl

  2. 3

    Sûrement le OAuth est un moyen de aller, mais pourquoi ne pas envisager de bon vieux Formes d'Authentification? Il adapte le scénario parfaitement avec un fournisseur personnalisé, vous pouvez authentifier les utilisateurs dans l'AD et ensuite tous consécutives demandes des clients portent le cookie d'authentification qui peut être utilisée pour authentifier le serveur d'appels.

    Les Formes cookie dans ce scénario joue le rôle d'un "jeton" vous pensez.

    Comme vous l'avez mentionné, je dois écrire fournisseur d'appartenances personnalisé où presque chaque méthode sera pas implémentée. Cela peut provoquer certaines confusions quand d'autres développeurs vont se joindre au projet. Je déteste quand je dois dire que les explications comme "eh Bien, il ya beaucoup de throw new NotImplementedException() pour des raisons historiques." 🙂
    Le groupe builtin ActiveDirectoryMembershipProvider fera l'affaire, vous n'avez pas à écrire votre propre.

    OriginalL'auteur Wiktor Zychla