c# 동적 - 베어러 인증에 추가 로직 추가




컨트롤 제어 (4)

OWIN 무기 토큰 인증을 구현하려고하는데이 기사를 기반으로 합니다 . 그러나 구현 방법을 모르는 무기명 토큰에 필요한 추가 정보가 하나 있습니다.

내 응용 프로그램에서는 무기명 토큰 사용자 정보 (예 : userid)에서 추론해야합니다. 권한이 부여 된 사용자가 다른 사용자로 행동하는 것을 원하지 않기 때문에 이는 중요합니다. 이게 가능합니까? 올바른 방법일까요? 만약 userid가 guid라면 이것은 간단 할 것이다. 이 경우 정수입니다. 권한이 부여 된 사용자는 추측 할 수있는 / 무차별 적으로 다른 사람을 가장 할 수 있습니다. 이는 용인 할 수 없습니다.

이 코드를 보면 :

public void ConfigureOAuth(IAppBuilder app)
{
    OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
    {
        AllowInsecureHttp = true,
        TokenEndpointPath = new PathString("/token"),
        AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
        Provider = new SimpleAuthorizationServerProvider()
    };

    // Token Generation
    app.UseOAuthAuthorizationServer(OAuthServerOptions);
    app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
}

public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider
{
    public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
    {
        context.Validated();
    }

    public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {
        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

        using (AuthRepository _repo = new AuthRepository())
        {
            IdentityUser user = await _repo.FindUser(context.UserName, context.Password);

            if (user == null)
            {
                context.SetError("invalid_grant", "The user name or password is incorrect.");
                return;
            }
        }

        var identity = new ClaimsIdentity(context.Options.AuthenticationType);
        identity.AddClaim(new Claim("sub", context.UserName));
        identity.AddClaim(new Claim("role", "user"));

        context.Validated(identity);
    }
}

나는 내가 필요로하는 것을 수용하기 위해 권한 부여 / 인증을 무시하는 것이 가능하다고 생각할 것입니다.


Answers

참고로 맞춤 오류 메시지를 설정하려면 context.Rejectedcontext.SetError 의 순서를 바꿔야합니다.

    // Summary:
    //     Marks this context as not validated by the application. IsValidated and HasError
    //     become false as a result of calling.
    public virtual void Rejected();

context.Rejected 를 배치하는 경우. context.SetError 다음에 속성 context.HasErrorcontext.HasError 됩니다 context.HasErrorfalse 로 재설정되므로 올바른 사용 방법은 다음과 같습니다.

    // Client could not be validated.
    context.Rejected();
    context.SetError("invalid_client", "Client credentials are invalid.");

LeftyX의 답변에 추가하기 만하면 컨텍스트가 거부 된 후 클라이언트에 보내는 응답을 완전히 제어 할 수 있습니다. 코드 주석에주의하십시오.

Greg P의 원래 답변을 기반으로 일부 수정

1 단계 : 미들웨어로 작동 할 클래스 만들기

using AppFunc = System.Func<System.Collections.Generic.IDictionary<string, System.Object>,
System.Threading.Tasks.Task>;

네임 스페이스 SignOnAPI.Middleware.ResponseMiddleware {

public class ResponseMiddleware 
{
    AppFunc _next;
    ResponseMiddlewareOptions _options;

    public ResponseMiddleware(AppFunc nex, ResponseMiddlewareOptions options)
    {
        _next = next;
    }

    public async Task Invoke(IDictionary<string, object> environment)
    {
        var context = new OwinContext(environment);

        await _next(environment);

        if (context.Response.StatusCode == 400 && context.Response.Headers.ContainsKey("Change_Status_Code"))
        {
            //read the status code sent in the response
            var headerValues = context.Response.Headers.GetValues("Change_Status_Code");

            //replace the original status code with the new one
            context.Response.StatusCode = Convert.ToInt16(headerValues.FirstOrDefault());

            //remove the unnecessary header flag
            context.Response.Headers.Remove("Change_Status_Code");
        }
    }
}

2 단계 : 확장 클래스 만들기 (생략 가능).

이 단계는 선택 사항이며 미들웨어에 전달할 수있는 옵션을 수락하도록 수정할 수 있습니다.

public static class ResponseMiddlewareExtensions
{
    //method name that will be used in the startup class, add additional parameter to accept middleware options if necessary
    public static void UseResponseMiddleware(this IAppBuilder app)
    {
        app.Use<ResponseMiddleware>();
    }
}

3 단계 : OAuthAuthorizationServerProvider 구현에서 GrantResourceOwnerCredentials 메소드 수정

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {

        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

        if (<logic to validate username and password>)
        {
            //first reject the context, to signify that the client is not valid
            context.Rejected();

            //set the error message
            context.SetError("invalid_username_or_password", "Invalid userName or password" );

            //add a new key in the header along with the statusCode you'd like to return
            context.Response.Headers.Add("Change_Status_Code", new[] { ((int)HttpStatusCode.Unauthorized).ToString() }); 
            return;
        }
    }

Step4 : 시작 클래스에서이 미들웨어 사용

public void Configuration(IAppBuilder app)
{
    app.UseResponseMiddleware();

    //configure the authentication server provider
    ConfigureOAuth(app);

    //rest of your code goes here....
}

코드에 누락 된 부분이있는 것 같습니다.
귀하의 고객을 확인하지 않았습니다.

ValidateClientAuthentication 을 구현하고 클라이언트의 자격 증명을 확인해야합니다.

이것이 제가하는 것입니다:

public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
        string clientId = string.Empty;
        string clientSecret = string.Empty;

        if (!context.TryGetBasicCredentials(out clientId, out clientSecret)) 
        {
            context.SetError("invalid_client", "Client credentials could not be retrieved through the Authorization header.");
            context.Rejected();
            return;
        }

        ApplicationDatabaseContext dbContext = context.OwinContext.Get<ApplicationDatabaseContext>();
        ApplicationUserManager userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();

        if (dbContext == null)
        {
            context.SetError("server_error");
            context.Rejected();
            return;
        }

        try
        {
            AppClient client = await dbContext
                .Clients
                .FirstOrDefaultAsync(clientEntity => clientEntity.Id == clientId);

            if (client != null && userManager.PasswordHasher.VerifyHashedPassword(client.ClientSecretHash, clientSecret) == PasswordVerificationResult.Success)
            {
                // Client has been verified.
                context.OwinContext.Set<AppClient>("oauth:client", client);
                context.Validated(clientId);
            }
            else
            {
                // Client could not be validated.
                context.SetError("invalid_client", "Client credentials are invalid.");
                context.Rejected();
            }
        }
        catch (Exception ex)
        {
            string errorMessage = ex.Message;
            context.SetError("server_error");
            context.Rejected();
        }
  }

자세한 내용을 담은 좋은 기사는 here 에서 찾을 수 here .
더 나은 설명은이 blog 시리즈에서 찾을 수 있습니다.

업데이트 :

나는 약간 파기를하고 webstuff 는 맞다.

SetError 사용하여 error를 설정하기 전에 errorDescription 을 클라이언트에 전달하기 위해 거부해야합니다.

context.Rejected();
context.SetError("invalid_client", "The information provided are not valid !");
return;

또는 설명에서 serialize 된 json 객체를 전달하여 확장 할 수 있습니다.

context.Rejected();
context.SetError("invalid_client", Newtonsoft.Json.JsonConvert.SerializeObject(new { result = false, message = "The information provided are not valid !" }));
return;

javascript/jQuery 클라이언트를 사용하여 텍스트 응답을 deserialize하고 확장 된 메시지를 읽을 수 있습니다.

$.ajax({
    type: 'POST',
    url: '<myAuthorizationServer>',
    data: { username: 'John', password: 'Smith', grant_type: 'password' },
    dataType: "json",
    contentType: 'application/x-www-form-urlencoded; charset=utf-8',
    xhrFields: {
        withCredentials: true
    },
    headers: {
        'Authorization': 'Basic ' + authorizationBasic
    },  
    error: function (req, status, error) {
            if (req.responseJSON && req.responseJSON.error_description)
            {
               var error = $.parseJSON(req.responseJSON.error_description);
                    alert(error.message);
            }
    }
});

훌륭한 대안을 찾았습니다 : Microsoft Web N-Gram

REST 인터페이스를 통해 직선적 인 GET 호출을 포함하여 여러 가지 방법으로 쿼리 할 수 ​​있습니다. 예를 들어 URL 호출 :

http://weblm.research.microsoft.com/weblm/rest.svc/bing-body/apr10/1/jp?u={YOUR_TOKEN}&p=red+panda

보고

-9.005

이것은 red panda 라는 구절의 red panda 가능성입니다.

또한 Google N-Grams보다 더 손쉽게 사용할 수 있습니다. 주어진 문구는 단순히 절대 빈도 만 출력하는 것이 아니라 공동 확률, 조건부 확률 및 심지어 가장 가능성이 높은 단어까지도 출력 할 수 있습니다.

면책 조항 : 저는 Microsoft 직원이 아니므로 방금 방금 굉장한 서비스를 찾았다 고 생각합니다.





c# asp.net-web-api oauth-2.0 owin bearer-token