oAuth ASP.NET Fournisseur d'appartenances

Il y a aucune liste de ressources recommandées pour la mise en œuvre d'un fournisseur d'appartenances personnalisé qui utilise oAuth? L'objectif serait d'avoir les utilisateurs à accéder à mon ASP.NET application MVC à l'aide de leurs informations d'identification d'authentification oAuth. Une fois l'utilisateur authentifié, alors je dirais comme d'un levier intégré ASP.NET les fonctionnalités d'autorisation.

Grâce.

InformationsquelleAutor Eric Tobia | 2009-07-30
  1. 45

    Je ne suis pas sûr de ce que vous cherchez est OAuth.

    OAuth est de déléguer l'autorisation, par le biais de l'utilisation de jetons. En fonction de ce que vous faites, vous avez deux scénarios:

    1. Votre application veut utiliser certains des utilisateurs de données, hébergée par un fournisseur de dire que twitter ou google). Dans ce cas, votre demande pourrait être un consommateur - en bref, l'utilisateur aurait besoin d'ouvrir une session et d'accord pour autoriser votre application d'avoir accès à leurs données sur le fournisseur, et vous serait donné un jeton d'accès qui peut être utilisé pour accéder à ces ressources protégées.
    2. Alternativement, vous disposez d'une application, avec des utilisateurs qui ont des ouvertures de session etc. Et que vous souhaitez apporter (c'est à dire que vous êtes le fournisseur), l'accès à certaines informations confidentielles de vos utilisateurs pour les applications 3ème partie (les consommateurs), sans exposer vos informations d'identification des utilisateurs de ces services.

    Pour plus d'informations sur le protocole OAuth - découvrez le OAuth.Net site web. Il y a actuellement 3 implémentations du protocole OAuth disponible pour .Net.

    En raison de la façon OAuth fonctionne, je ne peux pas vraiment imaginer comment vous pourriez avoir une "OAuth" fournisseur d'appartenances - Il est vraiment destiné pour la sécurisation de l'API, et souvent le but est de déléguer l'autorisation à un niveau plus granulaire c'est à dire donner un consommateur demande d'accès à des utilisateurs de données du carnet d'adresses, sans les laisser accéder à des archives de courriel, calendrier, etc. - ce qui ne rentre pas bien avec un effectif de rôle à la base du modèle de sécurité.

    Je devine ce que vous êtes vraiment à la recherche pour est OpenId c'est à dire la façon dont vous vous authentifiez avec Stackoverflow lui-même. Je suggère la lecture de la Stackoverflow OpenId étude de cas ici et probablement le meilleur OpenId pour la mise en œuvre .Net est actuellement partie de DotNetOpenAuth projet (ce qui a été officiellement appelé DotNetOpenId, le site google code du projet est ici).

    • Simplement déposer dans un commentaire que DotNetOpenAuth peut maintenant être trouvé ici: dotnetopenauth.net
    • je pense que vous mettez des gens avec cette réponse. S'il est vrai pour la plupart des gens sont à l'aide d'oAuth pour l'autorisation de la 3e partie des Api, il n'est pas déraisonnable d'envisager un SSO appartenance personnalisé asp.net solution avec par exemple Google Apps domaine où l'autorisation jeton est utilisé comme asp.net l'authentification (cookie) jeton de sorte qu'il peut être utilisé pour la suite des rappels à l'API de Google. J'ai exactement ce scénario où mon MVC application est d'appeler les api dans mon google apps.domaine. oAuth est à la fois l'Authentification ET l'Autorisation.
    • Cette réponse a été créé avant OAuth 2 dans sa forme actuelle (3 ans!) - Je voudrais dire à ce point dans le temps c'était correct. Ces jours, je pense que le monde ne l'a retourné, et la plupart des gens sont ignorants de OpenID, envisager OAuth comme un mécanisme d'authentification, et ne sont pas nécessairement au courant de beaucoup des idées de base derrière OAuth (délégué d'authentification/de façon à sécuriser l'accès à l'API).
    • Je tiens également à souligner que le conseil est généralement pas pertinent de ces jours que Microsoft navire de soutien pour OAuth et OpenID "dans la boîte" pour v4.5 de ASP.Net - que par leur spiel "OAuth et OpenID vous permettent de créer des sites qui permettent aux utilisateurs de se connecter avec les informations d'identification à partir d'autres sites, y compris Google, Yahoo, Facebook, Twitter et Windows Live." - Je pense que cela porte atteinte à l'/mal communique qu'à l'aide d'OAuth dans cette voie est seulement une très petite partie de ce que OAuth est... bien assez utile dans certaines situations 🙂
    InformationsquelleAutor Bittercoder
  2. 6

    Je pense que vous pourriez être à la recherche pour DotNetOpenAuth. Je ne l'ai pas utilisé, donc je ne peux pas vous dire à coup sûr si elle inclut un fournisseur d'appartenances, mais je m'attends à ce qu'il fait. Si non, il est open source, ce qui devrait vous aider avec ce que vous essayez de le faire de toute façon.

    InformationsquelleAutor CoderDennis
  3. 2

    vous devriez jeter un oeil https://github.com/rustd/ASPNETTemplates qui a le défaut de modèles de projet asp.net qui démontrent l'enregistrement à l'aide de l'authentification OAUth et puis l'extension de l'universel fournisseurs(webforms modèle, mais vous pouvez faire de même pour mvc) pour faire de rôles etc

    InformationsquelleAutor pranav rastogi
  4. 1

    Bibliothèques avons parcouru un long chemin depuis que vous avez posté cette question... j'ai commencé à utiliser cette bibliothèque pour Oauth il a déjà mis en place Facebook, Twitter, PayPal et Google+ intégration:

    OAuth2 Connexions Sociales - Facebook, Google, Twitter, PayPal ASP.NET MVC C# bibliothèque open source

    Aussi, si la compatibilité descendante n'est pas question pour vous, Microsoft a commencé à soutenir populaire OAuth fournisseurs... consultez cet article:

    Microsoft OAuth2 OWIN/Katana intégration avec Facebook et Google+

    InformationsquelleAutor nikib3ro