Добавление дополнительной логики к авторизации на предъявителя
Я пытаюсь реализовать авторизацию маркера на предъявителя OWIN и на основе этой статьи. Тем не менее, есть еще одна часть информации, которая мне нужна в токере-носителе, который я не знаю, как реализовать.
В моем приложении мне нужно вывести из информации пользователя токена носителя (например, userid). Это важно, потому что я не хочу, чтобы авторизованный пользователь мог действовать как другой пользователь. Это выполнимо? Это даже правильный подход? Если идентификатор пользователя является ориентиром, это будет простым. Это целое число в этом случае.
Авторизованный пользователь может потенциально выдать себя за другого, просто угадывая/грубую силу, что неприемлемо.
Глядя на этот код:
public void ConfigureOAuth(IAppBuilder app)
{
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
{
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
Provider = new SimpleAuthorizationServerProvider()
};
// Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
}
public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
{
public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
context.Validated();
}
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });
using (AuthRepository _repo = new AuthRepository())
{
IdentityUser user = await _repo.FindUser(context.UserName, context.Password);
if (user == null)
{
context.SetError("invalid_grant", "The user name or password is incorrect.");
return;
}
}
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim("sub", context.UserName));
identity.AddClaim(new Claim("role", "user"));
context.Validated(identity);
}
}
Я бы подумал, что можно переопределить авторизацию/аутентификацию для размещения того, что мне нужно?
Ответы
Ответ 1
Кажется, в вашем коде что-то не хватает.
Вы не проверяете своего клиента.
Вы должны реализовать ValidateClientAuthentication и проверить свои учетные данные клиента.
Это то, что я делаю:
public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
string clientId = string.Empty;
string clientSecret = string.Empty;
if (!context.TryGetBasicCredentials(out clientId, out clientSecret))
{
context.SetError("invalid_client", "Client credentials could not be retrieved through the Authorization header.");
context.Rejected();
return;
}
ApplicationDatabaseContext dbContext = context.OwinContext.Get<ApplicationDatabaseContext>();
ApplicationUserManager userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
if (dbContext == null)
{
context.SetError("server_error");
context.Rejected();
return;
}
try
{
AppClient client = await dbContext
.Clients
.FirstOrDefaultAsync(clientEntity => clientEntity.Id == clientId);
if (client != null && userManager.PasswordHasher.VerifyHashedPassword(client.ClientSecretHash, clientSecret) == PasswordVerificationResult.Success)
{
// Client has been verified.
context.OwinContext.Set<AppClient>("oauth:client", client);
context.Validated(clientId);
}
else
{
// Client could not be validated.
context.SetError("invalid_client", "Client credentials are invalid.");
context.Rejected();
}
}
catch (Exception ex)
{
string errorMessage = ex.Message;
context.SetError("server_error");
context.Rejected();
}
}
Хорошую статью, полную подробностей, можно найти здесь.
Еще лучшее объяснение можно найти в этой блоге.
UPDATE
Я сделал несколько копаний и webstuff прав.
Чтобы передать клиенту errorDescription, нам нужно отклонить, прежде чем мы установим ошибку с помощью SetError:
context.Rejected();
context.SetError("invalid_client", "The information provided are not valid !");
return;
или мы можем расширить его, передавая сериализованный объект json в описании:
context.Rejected();
context.SetError("invalid_client", Newtonsoft.Json.JsonConvert.SerializeObject(new { result = false, message = "The information provided are not valid !" }));
return;
![введите описание изображения здесь]()
С клиентом javascript/jQuery мы могли бы десериализовать текстовый ответ и прочитать расширенное сообщение:
$.ajax({
type: 'POST',
url: '<myAuthorizationServer>',
data: { username: 'John', password: 'Smith', grant_type: 'password' },
dataType: "json",
contentType: 'application/x-www-form-urlencoded; charset=utf-8',
xhrFields: {
withCredentials: true
},
headers: {
'Authorization': 'Basic ' + authorizationBasic
},
error: function (req, status, error) {
if (req.responseJSON && req.responseJSON.error_description)
{
var error = $.parseJSON(req.responseJSON.error_description);
alert(error.message);
}
}
});
Ответ 2
На стороне примечания, если вы хотите установить собственное сообщение об ошибке, вам придется поменять порядок context.Rejected и context.SetError.
// Summary:
// Marks this context as not validated by the application. IsValidated and HasError
// become false as a result of calling.
public virtual void Rejected();
Если вы поместите context.Rejected после context.SetError, то свойство context.HasError будет reset до false, поэтому правильный способ его использования:
// Client could not be validated.
context.Rejected();
context.SetError("invalid_client", "Client credentials are invalid.");
Ответ 3
Просто добавьте в ответ LeftyX, вот как вы можете полностью контролировать ответ, отправляемый клиенту после отклонения контекста. Обратите внимание на комментарии к коду.
Основываясь на исходном ответе Greg P с некоторыми изменениями
Шаг 1. Создайте класс, который будет действовать как ваше промежуточное ПО
using AppFunc = System.Func<System.Collections.Generic.IDictionary<string, System.Object>,
System.Threading.Tasks.Task>;
пространство имен SignOnAPI.Middleware.ResponseMiddleware
{
public class ResponseMiddleware
{
AppFunc _next;
ResponseMiddlewareOptions _options;
public ResponseMiddleware(AppFunc nex, ResponseMiddlewareOptions options)
{
_next = next;
}
public async Task Invoke(IDictionary<string, object> environment)
{
var context = new OwinContext(environment);
await _next(environment);
if (context.Response.StatusCode == 400 && context.Response.Headers.ContainsKey("Change_Status_Code"))
{
//read the status code sent in the response
var headerValues = context.Response.Headers.GetValues("Change_Status_Code");
//replace the original status code with the new one
context.Response.StatusCode = Convert.ToInt16(headerValues.FirstOrDefault());
//remove the unnecessary header flag
context.Response.Headers.Remove("Change_Status_Code");
}
}
}
Шаг 2. Создайте класс расширений (может быть опущен).
Этот шаг является необязательным, его можно изменить, чтобы принимать параметры, которые могут быть переданы промежуточному программному обеспечению.
public static class ResponseMiddlewareExtensions
{
//method name that will be used in the startup class, add additional parameter to accept middleware options if necessary
public static void UseResponseMiddleware(this IAppBuilder app)
{
app.Use<ResponseMiddleware>();
}
}
Шаг 3: измените метод GrantResourceOwnerCredentials в вашей реализации OAuthAuthorizationServerProvider
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });
if (<logic to validate username and password>)
{
//first reject the context, to signify that the client is not valid
context.Rejected();
//set the error message
context.SetError("invalid_username_or_password", "Invalid userName or password" );
//add a new key in the header along with the statusCode you'd like to return
context.Response.Headers.Add("Change_Status_Code", new[] { ((int)HttpStatusCode.Unauthorized).ToString() });
return;
}
}
Шаг 4: используйте это промежуточное программное обеспечение в классе запуска
public void Configuration(IAppBuilder app)
{
app.UseResponseMiddleware();
//configure the authentication server provider
ConfigureOAuth(app);
//rest of your code goes here....
}
