基于OWIN ASP.NET WebAPI 使用OAUTH2授权服务的几点优化

最新推荐文章于 2022-07-30 14:58:11 发布
转载 最新推荐文章于 2022-07-30 14:58:11 发布 · 104 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/Irving/p/4943145.html

前面在ASP.NET WEBAPI中集成了Client Credentials GrantResource Owner Password Credentials Grant两种OAUTH2模式,今天在调试Client Credentials Grant想到如下几点

  • 建议TryGetBasicCredentials认证 validate client credentials should be stored securely (salted, hashed, iterated),参考PDF设计
  • 增加token额外字段
  • 增加scope授权字段
  • 持久化Token
  • 刷新Token后失效老的Token
  • 自定义验证【重启IIS池Token失效,验证权限】

优化点

1.启用TryGetBasicCredentials认证:Basic Authentication传递clientId与clientSecret,服务端中的TryGetFormCredentials()改为TryGetBasicCredentials()
2.增加token额外字段:需要重写TokenEndpoint方法 http://stackoverflow.com/questions/26357054/return-more-info-to-the-client-using-oauth-bearer-tokens-generation-and-owin-in ,一般无特殊要求,不建议加
3.参数中传soap字段,以空格分隔的权限列表,若不传递此参数,代表请求用户的默认权限
4.重写AccessTokenProvider中CreateAsync方法,生成Token值持久化相关信息到DB
5.重写AccessTokenProvider中ReceiveAsync方法,验证Token是否有效

服务实现

配置Startup

集成Autofac 

 
 
 
 
启用不记名验证 

 
 
  
 
 
 
 
服务端 

 
 
  



 
 
 
 
Token生成与验证 

 
 
  
 
 
 
 
有赞API文档
 
 
无意看到有赞的API文档:http://open.koudaitong.com/doc,大致分为三个部分。
 
 
1.基于OAUTH2授权【几种授权模式全实现】
 
 
2.基于签名的方式【HMAC】
 
 
3.各种语言的SDK
 
 
大致设计比较规范,后续时间再参考规范基于ASP.NET WEBAPI 集成优化OAUTH2与HMAC部分。


 

转载于:https://www.cnblogs.com/Irving/p/4943145.html

                

        




    

    
  



    



                



	

		

			

				
					
ASP.NET WebApi 如何使用 OAuth2.0 认证

				
			

			

				

					yangshuquan的专栏
				

				

					05-11
					
					2232
					
				

			

		

		

			
				
OAuth2.0 和 JWT 在使用 Token 进行身份验证时有相似之处,如果只是拿来用于颁布 Token 的话,二者没区别,如本例,但实际上它们是完全不同的两种东西,OAuth2.0 是授权认证的框架,JWT 则是认证验证的方式方法(轻量级概念)。OAuth2.0 更多用在使用第三方账号登录的情况(比如使用 weibo,qq,github 等登录某个 app)其优势在于可以实现用户授权而无需透露密码,同时提供了更安全和灵活的授权机制,更好地保护用户数据和系统安全。

			
		

	



                

            
              



	

		

			

				
					
webapi基于Owin中间件的oauth2.0身份认证

				
			

			

				

					10-07
				

			

		

		

			
				
基于Owin中间件的OAuth2.0身份认证为.NET WebAPI提供了安全且灵活的授权机制。通过这个框架,开发者可以轻松地集成身份验证和授权服务,保护API资源,同时为用户提供无缝的登录体验。在实践中,理解OAuth2.0的工作...

			
		

	



              


  
              

                


	

		

			

				
					
基于Microsoft.Owin.Security.OAuth实现OAuth 2.0所有应用场景,可集成单点登录功能

				
			

			

				

					05-31
				

			

		

		

			
				
基于Microsoft.Owin.Security.OAuth实现OAuth 2.0所有应用场景,可集成单点登录功能

			
		

	





	

		

			

				
					
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法

				
			

			

				

					02-16
				

			

		

		

			
				
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情:
https://www.cnblogs.com/wgx0428/p/12315546.html

			
		

	



		

			
		



	

		

			

				
					
ASP.NET Core实现OAuth2.0的AuthorizationCode模式

				
			

			

				

					a963508700的博客
				

				

					11-23
					
					568
					
				

			

		

		

			
				
前言
在上一篇中实现了resource owner password credentials和client credentials模式:http://www.cnblogs.com/skig/p/6079457.html ,而这篇介绍实现AuthorizationCode模式。
OAuth2.0授权框架文档说明参考:https://tools.ietf.org/html/rfc674...

			
		

	





	

		

			

				
					
ASP.NET WebApi OWIN 实现 OAuth 2.0

				
			

			

				

					cxu123321的博客
				

				

					05-06
					
					1502
					
				

			

		

		

			
				
ASP.NET WebApi OWIN 实现 OAuth 2.0

OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。

OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下...

			
		

	





	

		

			

				
					
ASP.NET WebAPI OWIN OAuth2.0授权自定义处理及错误解决方法

				
			

			

				

					
				

			

		

		

			
				
ASP.NET WebAPI 结合 OWIN OAuth2.0 授权机制是一个强大的认证和授权方式,它允许开发者以一种标准、简洁的方式实现Web服务的安全性。自定义返回结果及错误处理能力是构建健壮Web应用所必需的,以确保开发者可以提供...

			
		

	





	

		

			

				
					
使用基于自定义令牌的身份验证保护ASP.NET Web API

				
			

			

				

					04-11
				

			

		

		

			
				
ASP.NET Web API中,我们可以使用`OAuth2`或`JWT(JSON Web Tokens)`来实现这种机制。自定义令牌的创建通常涉及到以下几个步骤:  1. **认证服务**:开发一个API端点(如`/token`),用于处理用户的登录请求,...

			
		

	





	

		

			

				
					
手把手教你AspNetCore WebApi认证与授权的方法

				
			

			

				

					10-14
				

			

		

		

			
				
主要介绍了手把手教你AspNetCore WebApi认证与授权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

			
		

	





	

		

			

				
					
使用OAuth2客户端凭据保护的ASP.NET Core WebAPI

				
			

			

				

					04-11
				

			

		

		

			
				
使用JWTToken利用IdentityServer4 / OAuth2访问.NET Core Web API。

			
		

	





	

		

			

				
					
Asp.NET WebApi+Redis实现单用户登录实战演练

				
			

			

				

					weixin_30376509的博客
				

				

					01-23
					
					508
					
				

			

		

		

			
				
一、课程介绍

本次分享课程属于《C#高级编程实战技能开发宝典课程系列》中的一部分,阿笨后续会计划将实际项目中的一些比较实用的关于C#高级编程的技巧分享出来给大家进行学习,不断的收集、整理和完善此系列课程!
1.1、本高级系列课程适合人群如下:
1、有一定的NET开发基础并对ASP.NET WebApi、Redis、技术有一定了解和认识。
2、喜欢阿笨的干货分享课程的童鞋们。
1.2...

			
		

	





	

		

			

				
					
Asp.Net WEBAPI 增加身份验证 (OAUTH 2.0方式)

				
			

			

				

					Vic的博客
				

				

					05-08
					
					3655
					
				

			

		

		

			
				
WEBAPI 增加身份验证 (OAUTH 2.0方式)把第四点钟11行到18行改成你自己的验证代码就行了GitHub上也有源代码供你下载

			
		

	





	

		

			

				
					
ASP.NET Core WebApi基于JWT实现接口授权验证

				
			

			

				

					weixin_30510153的博客
				

				

					07-14
					
					3910
					
				

			

		

		

			
				
一、ASP.Net Core WebApi JWT课程前言

我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递...

			
		

	





	

		

			

				
					
OAuth2:搭建授权服务

				
			

			

				

					Leon_Jinhai_Sun的博客
				

				

					07-30
					
					3693
					
				

			

		

		

			
				
OAuth2:搭建授权服务

			
		

	





	

		

			

				
					
基于ASP.NET Core Data Protection生成验证token

				
			

			

				

					weixin_34232363的博客
				

				

					02-13
					
					140
					
				

			

		

		

			
				
ASP.NET Core Data Protection 不仅提供了非对称加密能力,而且提供了灵活的秘钥存储方式以及一致的加解密接口(Protect与Unprotect)。Session中用到了它,Cookie验证中用到了它,OpenIdConnect中也用到了它。。。当然你也可以在应用开发中使用它,比如这篇博文中就是用它生成激活帐户的验证token。
首先在 Startup.Configure...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值