使用ms owin 搭建oauth2 server

http://www.asp.net/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server

有示例代码

关于token的加密解密

server 端

app.UseOAuthAuthorizationServer(new OAuthAuthorizationServerOptions
{

其中AccessTokenFormat可以设置身份的序列化和加密方式,遗憾的是不能用简单的json或xml,因为有循环引用

是一个实现了ISecureDataFormat<AuthenticationTicket>的类,AuthenticationTicket 中有循环引用,所以json不能

resource端

app.UseOAuthBearerAuthentication(new Microsoft.Owin.Security.OAuth.OAuthBearerAuthenticationOptions(){
    AccessTokenFormat=……
});

要设置成同样的处理方式

server端加密,resource端解密

关于Cookie中的Base64字符串

示例代码中,身份认证用的是mvc5新的identiy,而我的身份认证是自定义的(基于以前的一个网站)。cookie中存的是base64的字符,其中可能会存在加号(+)

用原本的Request.Cookie获取,加号取出来就是加号

但是通过IOwinContext取出来,+号变成了空格。

要注意对这部分进行处理

关于客户端和服务器端的交互

整个oauth,可以认为有3方

1、oauth认证服务(server)

2、api服务(resource)

3、要调用api的网站(client)

最终的目的是client获取resource的数据,但是resource的数据不是谁都可以随便取的,所以需要先经过server的认证和授权

如果用.net开发客户端和服务端,则按照例子中的,用DotNetOpenAuth.OAuth2这个,也挺方便

但我们搭建oauth,是要为其他网站服务的,不能仅适用于.net,所以有必要了解一下客户端的流程

首先,针对每一个第三方的客户端(网站或手机app之类的)都需要给他分配(或自己设定)

1、client id 字符串,能够唯一标识一个第三方应用

2、secret  对应的密钥

3、redirect uri  认证之后,认证服务会跳转会应用的页面,此页面接收返回的token

大体流程如下

1、客户端在需要认证的时候,跳转到认证服务器

http://server/OAuth/Authorize?client_id=…&redirect_uri=…&state=…&response_type=code

此时,页面会停留在认证服务器,要浏览器点确定按钮(如果没登录,会先跳转到登录页,登录后还回到这个页)

当用户点确定(同意授权)之后,会跳转会传来的redirect_uri这个参数对应的网址,

http://www.abc.com/test/authback

然后在后面会有参数

?code=….&state=….

其中state是你发给服务什么,服务就原样给你返回什么。

你可以,在发送给服务端之前,生成一些随机数,然后保存在cookie,当服务器返回后,与cookie中的比对,来确定在过程中是否有被劫持或进行过其他的改动。

code是关键性的东西,之后我们要写一些程序来向服务发起一个请求会用到此code

2、http://server/OAuth/Token发送post请求到这个地址,并且

form的值包括

redirect_uri=…&grant_type=authorization_code&code=…
其中code,就是上一步获取到的code,grant_type是固定值(这里只针对AuthorizationCodeGrant这种方式)
redirect_uri还是同样的那个地址(注意这里不能用不一样的地址,因为在注册应用的时候,只设定了这一个地址,所以对所有的返回应用的地址,都要使用这一个)
并且,要在header中传递
Authorization,值为 
 
clientid+冒号+secret(clientid+”:"+secret)
把这个结果用utf8编码方式转成base64字符串
Authorization这个header中的值为 "Basic "+base64字符串(注意有个空格)
如果一切正常,我们能够拿到一个json的返回值,包含了access token,refresh token,以及过期时间等
 
3、拿access token去api服务端获取数据
同样,我们在请求api的时候,需要设置header
Authorization 值为 "bearer "+accesstoken



关于过期时间和刷新


在第二步拿到的json,除了access token以外,还会有


expires_in 和 refresh_token


expires_in是秒


如果过期了,可以拿refresh_token重新获取一个


post请求http://server/OAuth/Token


head与第二步一样


form:


grant_type = refresh_token (固定值)


refresh_token(第二步拿到的字符串)


请求成功后,获取到json(与第二步格式一样)


server中owin的option里可以设置AuthorizationCode和AccessToken的时间,默认是5分钟和20分钟
				


				
时间: 2024-10-10 09:36:08 

		


		


	

	
	

		


		
使用ms owin 搭建oauth2 server的相关文章


								

		

			

                使用 OAuth2-Server-php 在 Yii 框架上搭建 OAuth2 Server
			

		

		

									

				Yii 有很多 extension 可以使用,在查看了 Yii 官网上提供的与 OAuth 相关的扩展后,发现了几个 OAuth2 的客户端扩展,但是并没有找到可以作为 OAuth2 Server 的扩展.因为 Yii 是组织良好的易于扩展的框架,所以完全可以集成其它的 PHP OAuth2 Server 实现方案.在 OAuth.net/2/ 官网上,提供了几个 PHP 实现的 OAuth2 Server.这里使用第一个 OAuth2-Server-php 来作为 Yii 框架的 OAuth2			

		

	

				

		

			

                使用 OAuth2-Server-php 搭建 OAuth2 Server
			

		

		

									

				Yii 有很多 extension 可以使用,在查看了 Yii 官网上提供的与 OAuth 相关的扩展后,发现了几个 OAuth2 的客户端扩展,但是并没有找到可以作为 OAuth2 Server 的扩展.因为 Yii 是组织良好的易于扩展的框架,所以完全可以集成其它的 PHP OAuth2 Server 实现方案.在 OAuth.net/2/ 官网上,提供了几个 PHP 实现的 OAuth2 Server.这里使用第一个 OAuth2-Server-php 来作为 Yii 框架的 OAuth2			

		

	

				

		

			

                使用Owin中间件搭建OAuth2.0认证授权服务器
			

		

		

									

				前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验.至于为何需要OAuth2.0.为何是Owin.什么是Owin等问题,不再赘述.我假定读者是使用Asp.Net,并需要搭建OAuth2.0服务器,对于涉及的Asp.Net Identity(Claims Based Authentication).Owin.OAuth2.0等知识点已有基本了解.若不了解,请先参考以下文章: MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN			

		

	

				

		

			

                ASP.NET Linux部署(2) - MS Owin + WebApi + Mono + Jexus
			

		

		

									

				原文:ASP.NET Linux部署(2) - MS Owin + WebApi + Mono + Jexus ASP.NET Linux部署(2) - MS Owin + WebApi + Mono + Jexus 本文承接我的上一篇博文: ASP.NET 5 Linux部署,那篇文章主要是针对最新的ASP.NET 5的,但在随后的研究中,我对这种娱乐型的部署依然不是非常满意,当然其主要原因是因为ASP.NET 5 依然处于RC版本,并不十分成熟. 但可以预见到的是,就算本月ASP.NET 5			

		

	

				

		

			

                Spring Cloud 微服务中搭建 OAuth2.0 认证授权服务
			

		

		

									

				在使用 Spring Cloud 体系来构建微服务的过程中,用户请求是通过网关(ZUUL 或 Spring APIGateway)以 HTTP 协议来传输信息,API 网关将自己注册为 Eureka 服务治理下的应用,同时也从 Eureka 服务中获取所有其他微服务的实例信息.搭建 OAuth2 认证授权服务,并不是给每个微服务调用,而是通过 API 网关进行统一调用来对网关后的微服务做前置过滤,所有的请求都必须先通过 API 网关,API 网关在进行路由转发之前对该请求进行前置校验,实现对微服			

		

	

				

		

			

                用VLC搭建流媒体server
			

		

		

									

				VLC开元项目相当强大,我们既能够将其作为播放核心用于二次开发,又能够将其作为高性能的流媒体server.今篇博客主要讲用VLC搭建流媒体server. VLC搭建流媒体server步骤非常easy:选择输入数据.选择输出格式.选择编码器.选择流通量.输入数据来源非常多,能够是本地文件,能够是网络流,能够是音频.甚至图片.编码器选择主要是选择音频编码器.视频编码器用以确定声音输出质量和图像质量.输出格式较多,能够是本地文件,能够是网络流,也能够是组播:流通量眼下保留.实际没有多少用处. 以下我用			

		

	

				

		

			

                从0开始搭建SQL Server AlwaysOn 第一篇(配置域控)
			

		

		

									

				从0开始搭建SQL Server AlwaysOn 第一篇(配置域控) 网上的 AlwaysOn可以说是非常的多,也可以说是非常的千篇一律,而且很多都是搭建非常顺利的,没有坑的,难道搭建 AlwaysOn真的可以这麽顺利吗?????? 由于公司使用的是最新的Windows Server 2012 R2,网上用的都是Windows Server 2008 R2 ,2012 R2和2008 R2在故障转移集群界面菜单和AD 服务管理工具 已经有较大变化,有一些步骤跟Windows Server 20			

		

	

				

		

			

                在Windows Server 2012 R2中搭建SQL Server 2012故障转移集群
			

		

		

									

				需要说明的是我们搭建的SQL Server故障转移集群(SQL Server Failover Cluster)是可用性集群,而不是负载均衡集群,其目的是为了保证服务的连续性和可用性,而不是为了提高服务的性能. SQL Server始终在负载均衡集群方面都缺少自己的产品,多由第三方厂家提供,但SQL Server故障转移集群却由来已久,在SQL Server 2012还提供了一个可用性组(AlwaysOn High Availability Groups)的新特性,我们知道微软的故障转移集群(W			

		

	

				

		

			

                CAS3.5.x(x&gt;1)支持OAuth2 server
			

		

		

									

				原文地址: http://my.oschina.net/sayi/blog/200278 目录[-] OAuth support 关于接入的一些背景: step1. 应用配置,获得client_id和client_secret step2. Oauth client 构造url,获取authorization_code step3. 授权码交换access_token step4. 根据access_token获取用户信息 总结 OAuth support CAS3.5.x提供了oauth的支持