Oauth 验证用户授权登录 几点总结

WEBAPI Token认证实战
最新推荐文章于 2025-07-16 22:21:43 发布
最新推荐文章于 2025-07-16 22:21:43 发布
阅读量3.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: NET 文章标签: c# token 验证 oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shixin0510/article/details/78022475
本文介绍如何在WEBAPI项目中实现基于令牌的认证,包括项目搭建、配置及使用OAuth进行权限验证。

  大部分信息来源于网络      在此注明  谢谢  http://www.mamicode.com/info-detail-1156227.html 此片文章 为了防止文档丢失  拷贝文档内容 


基于令牌的认证

    我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。

    WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗?

    下面我们花个20分钟的时间来实现一个简单的WEB API token认证:

 

Step 1: 新建一个空的WEB API项目,项目名称就设置为WebApi

技术分享

技术分享

 

Step 2: 在Models目录下新建一个 Product 类 :

技术分享
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;

namespace WebApi.Models
{
    public class Product
    {
        public int Id { get; set; }
        public string Name { get; set; }
        public string Category { get; set; }
        public decimal Price { get; set; }
    }
}
技术分享

Step 3:在Controllers目录下新建一个 ProductsController 类

技术分享
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Web.Http;

using WebApi.Models;

namespace WebApi.Controllers
{
    [RoutePrefix("api/Products")]
    public class ProductsController : ApiController
    {
        Product[] products = new Product[]  
        {  
            new Product { Id = 1, Name = "Tomato Soup", Category = "Groceries", Price = 1 },  
            new Product { Id = 2, Name = "Yo-yo", Category = "Toys", Price = 3.75M },  
            new Product { Id = 3, Name = "Hammer", Category = "Hardware", Price = 16.99M }  
        };

        public IEnumerable<Product> GetAllProducts()
        {
            return products;
        }

        public Product GetProductById(int id)
        {
            var product = products.FirstOrDefault((p) => p.Id == id);
            if (product == null)
            {
                throw new HttpResponseException(HttpStatusCode.NotFound);
            }
            return product;
        }

        public IEnumerable<Product> GetProductsByCategory(string category)
        {
            return products.Where(p => string.Equals(p.Category, category,
                    StringComparison.OrdinalIgnoreCase));
        }
    }
}
技术分享

F5运行后就可以使用这个简单的WebApi了,测试api可以使用Postman工具:

技术分享

技术分享

    获取所有数据  http://localhost:1234/api/products

    获取内码为1的数据  http://localhost:1234/api/products/1

    查询category=的数据  http://localhost:1234/api/products?category=Groceries

 

    可以看到这个产品的API是公开访问的,没有任何验证,这样不是很安全,下一步我将加上token验证。

 

Step 4:安装所需的NuGet包:

打开NuGet包管理器控制台,然后输入如下指令:

Install-Package Microsoft.AspNet.WebApi.Owin -Version 5.1.2
Install-Package Microsoft.Owin.Host.SystemWeb -Version 2.1.0
Install-Package Microsoft.AspNet.Identity.Owin -Version 2.0.1
Install-Package Microsoft.Owin.Cors -Version 2.1.0
Install-Package EntityFramework -Version 6.0.0

Step 5:在项目根目录下添加Owin“Startup”类

技术分享
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Http;

using Owin;
using Microsoft.Owin;
using Microsoft.Owin.Security.OAuth;

[assembly: OwinStartup(typeof(WebApi.Startup))]
namespace WebApi
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            HttpConfiguration config = new HttpConfiguration();
            ConfigureOAuth(app);

            WebApiConfig.Register(config);
            app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
            app.UseWebApi(config);
        }

        public void ConfigureOAuth(IAppBuilder app)
        {
            OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
            {
                AllowInsecureHttp = true,
                TokenEndpointPath = new PathString("/token"),
                AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
                Provider = new SimpleAuthorizationServerProvider()
            };
            app.UseOAuthAuthorizationServer(OAuthServerOptions);
            app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
        }
    }
}
技术分享

 

Step 6:删除Global.asax 

我们已经设置了Setup类,就不需要Global了,删掉干净;

 

Step 7:在项目根目录下添加验证类 SimpleAuthorizationServerProvider,为了简单用户的验证部分我们省略掉;

技术分享
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;

using System.Threading;
using System.Threading.Tasks;
using Microsoft.Owin;
using Microsoft.Owin.Security.OAuth;
using System.Security.Claims;

namespace WebApi
{
    public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
    {
        public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        {
            context.Validated();
        }

        public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
        {

            context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

            /*
             * 对用户名、密码进行数据校验,这里我们省略
            using (AuthRepository _repo = new AuthRepository())
            {
                IdentityUser user = await _repo.FindUser(context.UserName, context.Password);

                if (user == null)
                {
                    context.SetError("invalid_grant", "The user name or password is incorrect.");
                    return;
                }
            }*/

            var identity = new ClaimsIdentity(context.Options.AuthenticationType);
            identity.AddClaim(new Claim("sub", context.UserName));
            identity.AddClaim(new Claim("role", "user"));

            context.Validated(identity);

        }
    }
}
技术分享

 

Step 7:让CORS起作用

在ASP.NET Web API中启用OAuth的Access Token验证非常简单,只需在相应的Controller或Action加上[Authorize]标记

修改ProductsController类

技术分享
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Web.Http;

using WebApi.Models;

namespace WebApi.Controllers
{

    public class ProductsController : ApiController
    {
        Product[] products = new Product[]  
        {  
            new Product { Id = 1, Name = "Tomato Soup", Category = "Groceries", Price = 1 },  
            new Product { Id = 2, Name = "Yo-yo", Category = "Toys", Price = 3.75M },  
            new Product { Id = 3, Name = "Hammer", Category = "Hardware", Price = 16.99M }  
        };

        [Authorize]
        [Route("")]
        public IEnumerable<Product> GetAllProducts()
        {
            return products;
        }

        [Authorize]
        public Product GetProductById(int id)
        {
            var product = products.FirstOrDefault((p) => p.Id == id);
            if (product == null)
            {
                throw new HttpResponseException(HttpStatusCode.NotFound);
            }
            return product;
        }

        [AllowAnonymous]
        public IEnumerable<Product> GetProductsByCategory(string category)
        {
            return products.Where(p => string.Equals(p.Category, category,
                    StringComparison.OrdinalIgnoreCase));
        }
    }
}
技术分享

 

现在我们再次直接GET http://localhost:23477/api/products/ 会返回401错误,请求被拒绝

技术分享

 

获取token, POST   http://localhost:23477/token

参数BODY x-www-form-urlencoded 格式:

grant_type=password

username=admin 

password=123456

技术分享

返回200状态,内容为:

技术分享
{
  "access_token": "eLjAu3Alm2YWjJKXmX_fLY07P6vbIzxasFECkDap3KIE0Ydp7IGhTgrzWLtPdgrK46rfAB-OmJSG5C8Bh-PkfG3XrGS0uDea2KBXyoWSR11evTGJiVIyXny3Ih2DkH04qH2T_Ar4kIjcAngPtUnsEVex26tV4QHIrjCq5SlkOdfdAa9Pnl98QVwYH47yO-zlc55bwMgpR2J4fQLyNzWVHNZpH3DbOcHQ3Yenemr6XhM",
  "token_type": "bearer",
  "expires_in": 86399
}
技术分享

只要在http请求头中加上Authorization:bearer Token就可以成功访问API就成功了:

GET   http://localhost:23477/api/products/

Authorization : bearer eLjAu3Alm2YWjJKXmX_fLY07P6vbIzxasFECkDap3KIE0Ydp7IGhTgrzWLtPdgrK46rfAB-OmJSG5C8Bh-PkfG3XrGS0uDea2KBXyoWSR11evTGJiVIyXny3Ih2DkH04qH2T_Ar4kIjcAngPtUnsEVex26tV4QHIrjCq5SlkOdfdAa9Pnl98QVwYH47yO-zlc55bwMgpR2J4fQLyNzWVHNZpH3DbOcHQ3Yenemr6XhM

技术分享

 

这样我们就完成了简单的WEB API的token验证~

不过这个程序有个问题,如果GetProductById也加上验证那么根据ID获取product的接口 http://localhost:23477/api/products/1 会报错

需要修改成 http://localhost:23477/api/products?id=1 

不知道是哪里出的问题

技术分享

技术分享


下面 这段追优快云别人问题的描述解决的 请求调用的问题 

 在请求里  我用的 火狐的 debug 进行请求 一直出现


{
    "error": "unsupported_grant_type"
}

传说中的这个错误 没用过 始终不知道原因 

    翻各种 文章 找到了 先获取 token   怎么获取呢  那么涉及到 必须在内容中传输用户名 密码 和 类型 

   grant_type=password&username=uname&password=pwd  在内容里面加上这一段  进行post 请求 且只能进行post 请求



加上这个进行请求之后 就可以获取到access 的token  

   不知道上面那些参数的你连问题在哪你都不知道    请大家注意 知识是为了分享 为了传播给更多的技术爱好者看

   那么我们得到了 token 怎么使用呢  

  我们在请求头 加上   



Authorization : bearer eLjAu3Alm2YWjJKXmX_fLY07P6vbIzxasFECkDap3KIE0Ydp7IGhTgrzWLtPdgrK46rfAB-OmJSG5C8Bh-

Authorization  名称 

 bearer+空格+token 内容  

然后在去请求你的api接口 就可以顺利的取到数据 

 所有我们的请求只需要前期加上验证  输入用户名和密码  就是你请求token 的地方 带上你的用户名和密码 在后台进行验证

那么我们就可以确认用户是否可以获取 token 的验证   


在这里可以打开你的用户列表 查询数据库的用户列表 或者一些固定的授权的用户进行授权 

  那么我们就可以对用户进行 授权了 如果没有获取到授权的用户 是无法拿到token的 那么 无法进行请求 

      有什么不会 请留言 

                    知无不言言无不尽        知识是哪来共享的



Oauth2.0登录鉴权验证
02-24
Oauth2.0,第三方登录鉴权验证教程。
模拟OAuth2 单点登录
09-05
用户登录后,会生成一个包含用户信息和权限的JWT,然后在所有关联的应用之间传递这个JWT,实现一次登录多处生效。 4. **SSO与OAuth2的结合**: 将OAuth2与SSO结合,可以创建一个统一的认证中心,其他应用通过OAuth...
火狐显示Invalid OAuth parameter:service解决方案
慢谈人生
04-09 5676
火狐显示Invalid OAuth parameter:service解决方案
火狐登录账号显示错误请求Invalid OAuth parameter: service
uiun_的博客
03-10 7222
现在国际服的火狐浏览器修改使用国内的账号服务器,需要先在搜索框输入about:config 中改变三项配置,然后重启浏览器,才能正常使用国内的火狐账号服务器。identity.fxaccounts.contextParam 输入 fx_desktop_v3。identity.fxaccounts.oauth.enabled 输入 false。identity.fxaccounts.autoconfig.uri 输入。转自贴吧大神告诉的方法。
告别重复登录!手把手教你用OAuth2实现丝滑单点登录
最新发布
fan__tasy的博客
07-16 1067
单点登录(Single Sign On),简称SSO,定义是在多个应用系统中,用户只需登录一次就可以访问所有相互信任的应用系统。Oauth是一个开发标准(协议),该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用,实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据,Oauth2 是 Oauth协议的下一版本,但不向下兼容Oauth 1.0;一、应用场景。
OAuth认证原理与第三方登录
poppy一直在的博客
11-29 1588
1.背景 以下例子引用知乎“OAuth 授权的工作原理是怎样的?足够安全吗?”中李天放的回答 假如你在某个网站A上使用微博进行第三方登录,那么你可以想象新浪微博就是你的家。偶尔你会想让一些人(第三方应用)去你的家里帮你做一些事,或取点东西。你可以复制一把钥匙(用户名和密码)给他们,但这里有三个问题:  (1)别人拿了钥匙后可以去所有的房间  (2)别人拿到你的钥匙后也许会不小心丢到,甚至
OAuth2.0授权系统实现单点登录
01-13
2. 当用户尝试访问其他子系统时,子系统不会再次要求用户登录,而是检查是否存在有效的SSO会话。 3. 如果会话存在,子系统通过与主系统的交互验证会话,通常是通过安全的通信协议如HTTPS。 4. 主系统确认会话有效后...
帝国cms oauth2.0 单点登录sso
04-28
在IT行业中,单点登录(Single Sign-On,简称SSO)是一种身份验证机制,它允许用户通过一次登录即可访问多个相互关联的应用系统,无需为每个系统分别进行认证。这里的“帝国cms”指的是EmpireCMS,一个广泛应用的...
oauth2 单点登录 认证授权
01-15
OAuth2框架下实现单点登录(SSO)通常涉及以下几个关键组件: 1. **资源服务器(Resource Server)**:存储和管理用户资源的应用系统,需要保护这些资源,只允许经过授权的客户端访问。 2. **认证服务器...
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
1. **配置授权服务器**:授权服务器是负责处理用户登录授权和令牌发放的组件。在Spring Cloud中,我们可以使用`@EnableAuthorizationServer`注解来启用这个功能,并配置所需的客户端详情和服务端点。 2. **配置...
WEBAPI 增加身份验证OAUTH 2.0方式)
Admans的专栏
04-08 7093
1,在Webapi项目下添加如下引用:Microsoft.AspNet.WebApi.OwinOwinMicrosoft.Owin.Host.SystemWebMicrosoft.Owin.Security.OAuthMicrosoft.Owin.Security.CookiesMicrosoft.AspNet.Identity.OwinMicrosoft.Owin.Cors2, 在项目下新建St...
Winform宿主Asp.Net WebApi中Owin 自定义Token请求参数
elie_yang的博客
07-28 2248
此后继续Owin框架的功能流程不变;其中grant_type和username、password为固定的参数,且grant_type固定为"password",否则请求token成功;步骤2把如上两个文件粘贴到项目中,重命名如MyOAuthAuthorizationServerHandler和。例如选用BearerToken验证利用Asp.NetOwin实现基本套路为(宿主Winform程序为例)重点来了,如果希望改变获取Token的参数,该如何处理呢?其他相关依赖包自动下载;......
firefox浏览器打不开localhost页面,报Request Error (invalid_request)错误
jwyde的专栏
05-24 4185
firefox浏览器打不开本地tomcat的localhost请求页面,报Request Error (invalid_request)错误, 解决方法:发现是firefox设置了代理, 将代理去掉,问题得以解决,步骤如下:                         打开firefox选项设置                              在高级 设置上网 将代理设置为
Oauth2 提示Unsupported grant type
qq_43604221的博客
06-13 1404
Oauth2 提示Unsupported grant type错误
Firefox 如何对发送的参数进行调试
HONEY MOOSE
10-17 861
在网页或者 API 进行调试的时候,尤其是在 OAuth 调试的时候,我们希望能够调试发送到 API 的数据,这个时候如何进行调试呢? 使用 Firefox 不是十分清楚如何使用 Chrome 进行调试,但是经过一些摸索,我们可以尝试使用 Firefox 进行调试。 假设我们要访问一个 API 的网址:http://localhost:8080/search/user 正常访问的时候,我们获得是 401 的错误,这是因为这个网址需要授权。 所以,我们希望在 Firefox 调试的时候添加上
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 18万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值