最近需要搭建一个框架提供接口需要支持手机APP、WebForm、WinForm的访问，于是想到使用WebApi，同时考虑到接口的安全认证问题，则采用了Owin OAuth授权认证，Owin OAuth有四种认证方式，这里采用了密码交换Token的认证方式。在这里记录一下整个框架完成的过程。微软已经对Owin OAuth有了很好的封装，并且创建WebApi项目时整个授权认证框架也一并创建好了。

产生刷新access_token的凭据refreshl_token主要由AuthenticationTokenProvider产生，在Providers目录新建RefreshOAuthProvider，并重写AuthenticationTokenProvider里的方法：using System;using System.Threading.Tasks;using Microsoft.Ow

众所周知WebApi的入参形式是很让人烦心的事情，[FromBody]、[FromUri]、参数实体封装（泛滥成灾），这些入参方式就是在墙奸程序员，至于框架的这种设计初衷无法去揣测，还好有伟大的程序员，无意中查到国外一大牛对此做了改造，表示感谢！SimplePostVariableParameterBinding.csusing log4net;using Newtonsoft.Js

用户的基本信息和access_token保存在Cookie，并进行MD5加密对比本地Cookie是否正确。为了方便测试刷新Token，服务端设置的access_token过期时间10秒，一般设置20分钟，可根据需要进行设置。采用的resource owner password credentials，其他三种授权模式大同小异。Demo中没有把授权服务和Api服务分开，这个也不难分离。