详解.NET实现OAuth2.0四种模式（2）密码模式

密码模式是比较简单的一种模式&＃xff0c;其认证流程如下图所示&＃xff1a;

OAuth2.0设计的目的是限制某些资源的访问&＃xff0c;用户必须认证通过之后才能访问。我们在项目中加入一个简单的Controller&＃xff0c;作为资源示例。

右击项目&＃xff0c;添加一个Web API控制器类(v2.1)&＃xff0c;如下图所示&＃xff1a;

我们把这个类命名为ValuesController&＃xff0c;在这个类中只添加一个函数&＃xff1a;

public IHttpActionResult Get()
{return Ok(new string[] { "value1", "value2" });
}

完成编译之后&＃xff0c;我们可以在Postman中访问这个资源&＃xff1a;

显然&＃xff0c;这个资源并没有受到保护&＃xff0c;任何人不经过授权都可以访问。如果要让这个资源在授权之后才能访问&＃xff0c;做法非常简单&＃xff0c;就是在函数的头上加上[Authorize]&＃xff1a;

[Authorize]
public IHttpActionResult Get()
{return Ok(new string[] { "value1", "value2" });
}

这时候&＃xff0c;如果我们再去访问这个资源时&＃xff0c;将会被拒绝&＃xff1a;

如果要想访问此资源&＃xff0c;我们就需要通过认证。

首先&＃xff0c;在项目中加入一个名为Startup的类&＃xff0c;其代码如下所示&＃xff1a;

[assembly: OwinStartup(typeof(PasswordMode.Startup))]//让整个网站的入口为Startup这个类
namespace PasswordMode
{public class Startup{public void Configuration(IAppBuilder app){//配置OAuthConfigureOAuth(app);//配置网站路由等信息HttpConfiguration config &＃61; new HttpConfiguration();Register(config);//允许跨域访问app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);app.UseWebApi(config);}private void ConfigureOAuth(IAppBuilder app){OAuthAuthorizationServerOptions OAuthServerOptions &＃61; new OAuthAuthorizationServerOptions(){AllowInsecureHttp &＃61; true,//允许http而非https访问TokenEndpointPath &＃61; new PathString("/token"),//访问host/token获取AccessTokenAccessTokenExpireTimeSpan &＃61; TimeSpan.FromMinutes(30),//AccessToken在30分钟后过期Provider &＃61; new AuthorizationServerProvider()//AccessToken的提供类};app.UseOAuthAuthorizationServer(OAuthServerOptions);app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());}private static void Register(HttpConfiguration config){config.MapHttpAttributeRoutes();config.Routes.MapHttpRoute(name: "DefaultApi",routeTemplate: "api/{controller}/{id}",defaults: new { id &＃61; RouteParameter.Optional });var jsonFormatter &＃61; config.Formatters.OfType().First();jsonFormatter.SerializerSettings.ContractResolver &＃61; new CamelCasePropertyNamesContractResolver();}}
}

代码中的注释应该已经比较清楚。由于这个项目是一个空项目&＃xff0c;没有加入任何API或MVC的特性&＃xff0c;所以我们在Register函数中注册了这些属性。ConfigureOAuth函数是对OAuth2.0协议的配置&＃xff0c;如果使用密码模式&＃xff0c;就是按照上面代码中的配置。用户只需要输入用户名、密码&＃xff0c;然后访问host/token这个地址&＃xff0c;即可获取AccessToken。

下面是AuthorizationServerProvider类的实现代码&＃xff1a;

public class AuthorizationServerProvider : OAuthAuthorizationServerProvider
{public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context){context.Validated();}public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context){//允许跨域访问context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });//获取用户传入的用户名和密码string UserName &＃61; context.UserName;string Password &＃61; context.Password;//通过查数据库&＃xff0c;判断用户名和密码是否正确//以下只是一个示例&＃xff0c;用户名必须以test开头if (!UserName.StartsWith("test")){context.SetError("invalid_grant", "用户名或密码不正确");return;}//以下即为认证成功//通过查数据库&＃xff0c;得到一些用户的信息int userid &＃61; 13;string role &＃61; "管理员";string scope &＃61; "权限1,权限2";var identity &＃61; new ClaimsIdentity(context.Options.AuthenticationType);identity.AddClaim(new Claim("userid", userid.ToString()));identity.AddClaim(new Claim("role", role));identity.AddClaim(new Claim("scope", scope));context.Validated(identity);}
}

我们先在上下文中获取用户名和密码&＃xff0c;然后一般通过查数据库&＃xff0c;判断此用户名和密码是否正确。如果不正确&＃xff0c;认证就失败了。如果正确&＃xff0c;我们可以查数据库&＃xff0c;获取用户的角色、权限范围等信息。

完成上述代码的编写后&＃xff0c;密码模式就完成了。&＃xff08;是不是很简单&＃xff09;

我们用Postman测试&＃xff1a;

在返回结果中&＃xff0c;我们看到了access_token&＃xff0c;把它复制出来&＃xff0c;用在资源的访问上&＃xff1a;

我们在上述的代码中可以发现&＃xff0c;当我们拿到AccessToken之后&＃xff0c;所有标注[Authorize]的资源都可以访问了。但实际上&＃xff0c;我们的资源限制会更复制一些。例如我们只允许管理员身份的用户去访问&＃xff0c;或者只允许某个时间之前注册的用户&＃xff0c;或者像微信登录时询问的&＃xff0c;获取昵称的权限、获取头像的权限等等。对于这种需求&＃xff0c;我们可以在资源函数中进行处理。

首先&＃xff0c;我们在认证通过时&＃xff0c;通过查数据库&＃xff0c;得到了一些用户的属性&＃xff1a;

//通过查数据库&＃xff0c;得到一些用户的信息
int userid &＃61; 13;
string role &＃61; "管理员";
string scope &＃61; "权限1,权限2";var identity &＃61; new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim("userid", userid.ToString()));
identity.AddClaim(new Claim("role", role));
identity.AddClaim(new Claim("scope", scope));

我们可以在资源函数中根据这些属性进行判断&＃xff0c;是否允许用户继续访问。例如我们的资源函数可以改成这样&＃xff1a;

public IHttpActionResult Get()
{string userid &＃61; "";string role &＃61; "";string scope &＃61; "";foreach (Claim c in (this.User.Identity as ClaimsIdentity).Claims){switch (c.Type){case "userid":userid &＃61; c.Value;break;case "role":role &＃61; c.Value;break;case "scope":scope &＃61; c.Value;break;}}if (userid !&＃61; "13" || role !&＃61; "管理员" || !scope.Contains("权限1")){return Unauthorized();}return Ok(new string[] { "value1", "value2" });
}

这样的话&＃xff0c;只有用户ID为13&＃xff0c;并且角色为管理员&＃xff0c;同时又具有权限1这个访问权限的用户&＃xff0c;才能正常地获取资源。