我有这个场景:一个公司网站(MVC 4)和一个网上商店;添加 OAuth 2 SSO 功能。两个站点都有自己的成员,但 corp 站点(由我负责)也必须作为 OAuth 2 授权服务器,并将为每个成员存储一个网上商店用户 ID。商店请求以下端点:
身份验证端点
• 授权:
…/oauth2/authorize?client_id={CLIENT_ID}&state={STATE}&response_type=code&redirect_uri={REDIRECT_URI}
• token
…/oauth2/token?code={TOKEN}&client_id={CLIENT_ID}&client_secret={CLIENT_SECRET}&redirect_uri={REDIRECT_URI}&grant_type=authorization_code
…/oauth2/token?refresh_token={TOKEN}&client_id={CLIENT_ID}&client_secret={CLIENT_SECRET}&redirect_uri={REDIRECT_URI}&grant_type=refresh_token
API 端点
• getid(将返回带有成员(member)商店 ID 的 JSON):
…/oauth2/api/getid?access_token={TOKEN}
我没有使用 OAuth 的经验,所以我查看了 DotNetOpenAuth 示例并得出结论,我需要实现 OAuthAuthorizationServer ,但是修改样本以适应我的要求很困难,因为它似乎做得更多而且很复杂。
由于研究 DotNetOpenAuth 似乎非常耗时,我想问一下:修改 OAuthAuthorizationServer 示例是正确的方法吗?或者我应该尝试制作 native 实现或尝试在我的情况下更容易使用的不同 OAuth 库?
请评论我的总体规划:
-保持公司网站成员登录流程标准表单例份验证,直接登录 Controller
- 添加一个 OAuth Controller ,它将三个必需的端点作为操作实现
-当达到授权操作时,我验证客户端并重定向到通过redirect_uri传递的LogOn; 我认为
Authorize
ActionResult
来自 OAuthController.cs
来自 the sample是我应该开始调查的地方,并返回 AccountAuthorizeModel
.它是否正确? - 用户登录后,如果从授权端点到达登录页面,我将重定向到 redirect_uri 并附加代码; 我不知道从哪里开始。
PrepareApproveAuthorizationRequest
然后 PrepareResponse
?代码从哪里来?我应该在流程中的哪个位置在数据库中添加新的 ClientAuthorization? - 然后商店将使用代码从/token 端点获取或刷新 token ; 只需返回
HandleTokenRequest
? - 使用 token ,商店网站将能够获取成员(member)数据 JSON; 必须找出如何验证 token
现在,除了添加一个 Clients 表来存储客户端 ID 和 secret ,以及 ClientAuthorization 来跟踪谁被授权之外,我不知道是否使用了 DotNetOpenAuth 示例中的其他表以及何时使用:Nonce、SymmetricCryptoKey、User。
修改 OAuth2AuthorizationServer.cs 似乎很简单,我只需要添加真正的证书并确保客户端是从我的数据上下文中提取的。
谢谢!
最佳答案
我认为你在大多数方面都是对的。让我们评论他们:
var response = this.AuthServer.PrepareApproveAuthorizationRequest(AuthorizationRequest, User.Identity.Name); return this.AuthServer.Channel.PrepareResponse(response); finalResponse.AsActionResult();
我认为您不需要在数据库中保存任何有关授权过程的内容,并且代码由 DotNetOpenAuth 生成并发送到客户端到重定向的查询字符串中。
var resourceServer = new ResourceServer(new StandardAccessTokenAnalyzer(signing, encrypting));
AccessToken token = resourceServer.GetAccessToken(request, scopes);
使用此流程需要 nonce 和 crytoKeys 的存储提供程序。看看类 InMemoryCryptoKeyStore :
https://github.com/DotNetOpenAuth/DotNetOpenAuth/wiki/Security-scenarios
希望这可以帮助!
关于asp.net-mvc-4 - ASP.NET MVC DotNetOpenAuth 授权服务器操作方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19155216/