Obtenir IPrincipal de OAuth Porteur du Jeton dans OWIN

J'ai ajouté avec succès l'authentification OAuth pour mon WebAPI 2 projet à l'aide d'OWIN. - Je recevoir des jetons et de les utiliser dans l'en-Tête HTTP pour accéder aux ressources.

Maintenant je veux utiliser ces jetons aussi sur d'autres canaux pour l'authentification ne sont pas la norme des requêtes HTTP que le OWIN modèle est fait pour. Par exemple, je suis en utilisant les WebSockets où le client doit envoyer le Porteur OAuth Jeton d'authentification.

Sur le côté serveur, je reçois le jeton à travers le WebSocket. Mais comment puis-je maintenant, mettez ce jeton dans la OWIN pipeline pour extraire le IPrincipal et ClientIdentifier-il? Dans la WebApi 2 modèle, tout cela est abstrait pour moi, il n'y a rien que j'ai à faire pour le faire fonctionner.

Donc, en gros, j'ai le jeton comme une chaîne et que vous voulez utiliser OWIN à l'accès à l'utilisateur des informations codées dans le jeton.

Je vous remercie d'avance pour l'aide.

InformationsquelleAutor Sebastian Rösch | 2013-12-14
  1. 28

    J'ai trouvé une partie de la solution dans ce post de blog: http://leastprivilege.com/2013/10/31/retrieving-bearer-tokens-from-alternative-locations-in-katanaowin/

    J'ai donc créé mon propre Fournisseur comme suit:

    public class QueryStringOAuthBearerProvider : OAuthBearerAuthenticationProvider
{
    public override Task RequestToken(OAuthRequestTokenContext context)
    {
        var value = context.Request.Query.Get("access_token");

        if (!string.IsNullOrEmpty(value))
        {
            context.Token = value;
        }

        return Task.FromResult<object>(null);
    }
}

    Puis j'avais besoin de l'ajouter à mon Application au Démarrage.Auth.cs comme ceci:

    OAuthBearerOptions = new OAuthBearerAuthenticationOptions()
{
   Provider = new QueryStringOAuthBearerProvider(),
   AccessTokenProvider = new AuthenticationTokenProvider()
   {
       OnCreate = create,
       OnReceive = receive
   },
};

app.UseOAuthBearerAuthentication(OAuthBearerOptions);

    Avec une coutume AuthenticationTokenProvider, je peux récupérer toutes les autres valeurs à partir du jeton tôt dans le pipeline:

    public static Action<AuthenticationTokenCreateContext> create = new Action<AuthenticationTokenCreateContext>(c =>
{
    c.SetToken(c.SerializeTicket());
});

public static Action<AuthenticationTokenReceiveContext> receive = new Action<AuthenticationTokenReceiveContext>(c =>
{
    c.DeserializeTicket(c.Token);
    c.OwinContext.Environment["Properties"] = c.Ticket.Properties;
});

    Et maintenant, par exemple dans mon WebSocket Virage, je peux les récupérer ClientId et d'autres comme ceci:

    IOwinContext owinContext = context.GetOwinContext();
if (owinContext.Environment.ContainsKey("Properties"))
{
    AuthenticationProperties properties = owinContext.Environment["Properties"] as AuthenticationProperties;
    string clientId = properties.Dictionary["clientId"];
...
 }
    InformationsquelleAutor Sebastian Rösch
  2. 9

    Par défaut, OWIN utilisation ASP.NET la machine clé de la protection des données à protéger le jeton d'accès OAuth lorsqu'il est hébergé sur IIS. Vous pouvez utiliser MachineKey classe System.Web.dll pour ôter la protection de l'jetons.

    public class MachineKeyProtector : IDataProtector
{
    private readonly string[] _purpose =
    {
        typeof(OAuthAuthorizationServerMiddleware).Namespace,
        "Access_Token",
        "v1"
    };

    public byte[] Protect(byte[] userData)
    {
       throw new NotImplementedException();
    }

    public byte[] Unprotect(byte[] protectedData)
    {
        return System.Web.Security.MachineKey.Unprotect(protectedData, _purpose);
    }
}

    Ensuite, la construction d'un TicketDataFormat pour obtenir le AuthenticationTicket objet où vous pouvez obtenir le ClaimsIdentity et AuthenticationProperties.

    var access_token="your token here";
var secureDataFormat = new TicketDataFormat(new MachineKeyProtector());
AuthenticationTicket ticket = secureDataFormat.Unprotect(access_token);

    Pour ôter la protection d'autres OAuth jetons, il vous suffit de changer la _purpose de contenu. Pour des informations détaillées, voir OAuthAuthorizationServerMiddleware classe ici:
    http://katanaproject.codeplex.com/SourceControl/latest#src/Microsoft.Owin.Security.OAuth/OAuthAuthorizationServerMiddleware.cs

    if (Options.AuthorizationCodeFormat == null)
{
    IDataProtector dataProtecter = app.CreateDataProtector(
        typeof(OAuthAuthorizationServerMiddleware).FullName,
        "Authentication_Code", "v1");

    Options.AuthorizationCodeFormat = new TicketDataFormat(dataProtecter);
}
if (Options.AccessTokenFormat == null)
{
    IDataProtector dataProtecter = app.CreateDataProtector(
        typeof(OAuthAuthorizationServerMiddleware).Namespace,
        "Access_Token", "v1");
    Options.AccessTokenFormat = new TicketDataFormat(dataProtecter);
}
if (Options.RefreshTokenFormat == null)
{
    IDataProtector dataProtecter = app.CreateDataProtector(
        typeof(OAuthAuthorizationServerMiddleware).Namespace,
        "Refresh_Token", "v1");
    Options.RefreshTokenFormat = new TicketDataFormat(dataProtecter);
}
    • donc, cela signifie que vous auriez à utiliser le même protecteur sur le webapi et l'application d'autres (dire que certains autonome signalR application console)?
    • Et que dire de l'auto-hoseted owin application, où nous n'avons pas accès au Système.Le Web?
    • Ensuite, vous devez utiliser le DPAPI DataProtector au lieu de la MachineKeyDataProtector.
    • Oui, exactement comme ce que j'ai expliqué dans la réponse suivante
    InformationsquelleAutor Johnny Qian
  3. 1

    en plus de johnny-qian réponse, à l'aide de cette méthode est la meilleure pour créer DataProtector. johnny-qian réponse, dépend d'IIS et échoue sur auto-hébergé scénarios.

    using Microsoft.Owin.Security.DataProtection;
var dataProtector = app.CreateDataProtector(new string[]   {
     typeof(OAuthAuthorizationServerMiddleware).Namespace,
     "Access_Token",
     "v1"
});
    InformationsquelleAutor Mahmoud Moravej
  4. 0

    Qu'est-ce que votre jeton comme, est-il chiffrer la chaîne ou une chaîne formatée, c'est quoi le format?

    J'ai mon code:

    public static Action<AuthenticationTokenReceiveContext> receive = new Action<AuthenticationTokenReceiveContext>(c =>
{
        if (!string.IsNullOrEmpty(c.Token))
        {

            c.DeserializeTicket(c.Token);
            //c.OwinContext.Environment["Properties"] = c.Ticket.Properties;
        }
});

    La c.Le billet est toujours null.

    InformationsquelleAutor Nguyen Tu Pham