基于DotNetOpenAuth实现OpenID 服务提供者

本文涉及的产品
.cn 域名,1个 12个月
简介:

EverBox网盘(www.everbox.com)是由盛大创新院推出的一款网盘产品,提供了超大的免费存储空间(可升级到 10GB),支持文件同步、文件分享、在线浏览照片、在线听音乐等功能,并提供 Windows 客户端程序。其中有一项是可以使用第三方的账号注册使用,也就是OAuth登陆,说的更具体的就是用OpenID了,谁需要EverBox的邀请可以给我留言或者QQ上找我。


image_thumb.png

OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散、自由等特性。 OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,同理,我们也可以通过这种方式来作为用户的身份认证。由于URI 是整个网络世界的核心,它为基于URI的用户身份认证提供了广泛的、坚实的基础。

OpenID 系统的第一部分是身份验证,即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证,这就意味着大家在每个网站都需要注册用户名和密码,即便你使用的是同样的密码。如果使用 OpenID (参见规范),你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。具体可以参考园友的文章 如何在ASP.NET中创建OpenID。

下面的部分我重点是在如何把自己网站的账号通过OpenID开放出来,类似于QQ,Gmail,baidu,盛大通行证账号的一键式登陆。

OpenID协议非常易于扩展,下面的图表展示了OpenID2.0草案的基本工作流程。它展示了在终端用户、Relying Party站点(一个示例站点)和OpenID服务提供者之间的交互过程(最常见的认证流程),更详细的信息参考OpenID使用手册。


openid_thumb.gif

国际化资源标识符对于OpenID中的XRI的支持是必不可少的一项,.NET 3.5之后的版本对国际化资源标识符支持很好了,国际化资源标识符支持Web 地址通常使用由一组非常有限的字符组成的通用资源标识符 (URI) 来表示。一般来说,这些地址中只能包含英文字母表中的大、小写字母、数字 0 到 9 以及少量其他包括逗号和连字符在内的 ASCII 符号。对于世界上使用非拉丁字母字符集(如日文和希伯莱文)的地区来说,这种语法不是很方便。设想一下诸如 www.BaldwinMuseumOfScience.com 的地址,如果您讲英语,这个地址便很容易理解和记忆。但是,如果您不会说英语,则这个 URL 看上去跟符号的随机排列没什么差别。如果您只会说英语,您能记住用中文写的一长串地址吗?国际化资源标识符(或 IRI)支持非 ASCII 字符,或者更准确的说是 Unicode/ISO 10646 字符。这意味着域名可以包含 Unicode 字符,即可以有这样的 URL:http://微軟香港.com。我们已将现有的 System.Uri 类扩展为根据 RFC 3987 提供 IRI 支持(请参见 faqs.org/rfcs/rfc3987.html)。对于当前的用户来说,除非他们特意选择启用 IRI 功能,否则不会看到 .NET Framework 2.0 的行为有任何变化。原因是我们要确保 3.5 版本与以前版本的应用程序兼容。如果选择采用,您必须做两项更改。首先,将下列元素添加到 machine.config 文件:


然后,指定是否应将国际化域名 (IDN) 分析应用到域名中,以及是否应该应用 IRI 分析规则。这可以在整个计算机范围的 machine.config 或单个应用程序的 app.config 中进行,如:复制代码

<uri> 
      <idn enabled="All" /> 
      <iriParsing enabled="true" /> 
   </uri> 
</configuration>

启用 IDN 可以将域名中的所有 Unicode 标签转换成其 Punicode 等同项。Punicode 名称只含有 ASCII 字符,而且总是以前缀“xn--”开头。这是因为 Internet 上目前部署的大多数 DNS 服务器仅支持 ASCII 字符。启用 IDN 只会影响 Uri.DnsSafeHost 属性的值。对于微軟香港.com 来说,它包含 xn--g5tu63aivy37i.com,而 Uri.Host 将包含 Unicode 字符。根据您所使用的 DNS 服务器,在 idn 元素的已启用属性中,有三种可能的 IDN 值供您使用:“All”会将 IDN 名称 (Punicode) 用于所有域名。
“AllExceptIntranet”会将 IDN 名称用于所有外部域名,而将 Unicode 名称用于所有内部域名。仅当 Intranet DNS 服务器支持 Unicode 名称时,这种情况才适用。“None”是默认值,它和 .NET Framework 2.0 的行为相符。 启用 IRI 分析 (iriParsing enabled = "true") 后,系统会根据 RFC 3987 中的最新 IRI 规则进行规范化和字符检查。当默认值为 false 时,则会根据 RFC 2396(请参见 faqs.org/rfcs/rfc2396.html)进行规范化和字符检查。要了解有关通用资源标识符和 Uri 类的更多信息,请参阅在线文档,地址为msdn2.microsoft.com/system.uri。

.NET下使用OpenID,有两种解决方案,第一个就是基于开源的社区解决方案 :dotnetopenauth. 网址为: http://www.dotnetopenauth.net/,第二个是基于微软的Windows身份验证基础(Windows Identity Foundation (WIF))。

先简要介绍一下WIF,Windows身份验证基础 (先前代号为 Geneva 框架) 是微软.NET框架的一个新拓展,它帮助开发者构建具有声明意识的应用程序(这将使您的应用程序的用户认证客观化),改善开发者生产力,增强应用程序安全性,提供协同合作性。基于可协同合作的标准协议,WIF以及基于声明的身份验证模式,可以使得在云端或非云端的ASP.NET与WCF的应用程序,实现单点登陆,个性化,联合化,强验证,身份验证委托,以及其他验证功能。

使用WIF,无论应用程序托管于非云端还是Windows Azure,开发者可以使用单一的编程模式来处理身份验证。 因为您只需学习一种模式和一套工具,您的生产力得到了提高,并且如果改变托管的环境,您也可以迅速的上手。因为不论应用程序托管于哪里,模式是不变的,所以使用WIF可以更便捷的将非云端应用程序迁移至Windows Azure(从身份验证的角度),反之亦然。

基于WIF来提供OpenID服务可以参考codeplex上的一个项目http://startersts.codeplex.com/,网站上有很详细的文档,不过相对来说配置比较麻烦点。

下面我们具体介绍基于dotnetopenauth的服务提供者,首先从http://www.dotnetopenauth.net/下载,在例子中有两个Provider(OpenIdProviderMvc、OpenIdProviderWebform)。例子中使用ReadOnlyXmlMembershipProvider,很容易的替换掉这个MembershipProvider为你的用户系统MembershipProvider,就可以将你的用户系统改造成OpenID服务。

默认的示例里头只返回给 Relying Party很少信息. 一般只有两个,一个是:FriendlyIdentifierForDisplay ,就是用户名,一个是ClaimedIdentifier, 是用户的标识.。一般我们还要抓到用户的Email,和个性图标.等等一些有用的东西.但是默认的是不返回的。先看看可以返回什么信息. DotNetOpenAuth中有一个WellKnownAttributes 类, 这个类中定义了一系列可以返回的信息

如何向外提供这些信息呢? 请看下面的示例代码 :

[Authorize]
public ActionResult SendAssertion() {
    IAuthenticationRequest authReq = PendingAuthenticationRequest;
    PendingAuthenticationRequest = null; // clear session static so we don't do this again
    if (authReq == null) {
        throw new InvalidOperationException("There's no pending authentication request!");
    }
 
    if (authReq.IsDirectedIdentity) {
        authReq.LocalIdentifier = Models.User.GetClaimedIdentifierForUser(User.Identity.Name);
    }
    if (!authReq.IsDelegatedIdentifier) {
        authReq.ClaimedIdentifier = authReq.LocalIdentifier;
    }
 
    // Respond to AX/sreg extension requests.
    //// Real web sites would have code here
    ClaimsResponse sregResponse = null;
    var sregRequest = authReq.GetExtension<ClaimsRequest>();
    if (sregRequest != null)
    {
        MembershipUser user = Membership.GetUser();
        if (user != null)
        {
            sregResponse = sregRequest.CreateResponse();
            //sregResponse.BirthDate = user.
            sregResponse.Email = user.Email;
            sregResponse.FullName = user.UserName;
 
        }
        authReq.AddResponseExtension(sregResponse);
    }          
 
    authReq.IsAuthenticated = this.UserControlsIdentifier(authReq);
    return OpenIdProvider.PrepareResponse(authReq).AsActionResult();
}

本文来自云栖社区合作伙伴“doNET跨平台”,了解相关信息可以关注“opendotnet”微信公众号

目录
相关文章
|
小程序 JavaScript
小程序云开发获取openid及出现openid是undefind的坑
小程序云开发获取openid及出现openid是undefind的坑
151 0
|
2月前
|
Rust API Go
API 网关 OpenID Connect 实战:单点登录(SSO)如此简单
单点登录(SSO)可解决用户在多系统间频繁登录的问题,OIDC 因其标准化、简单易用及安全性等优势成为实现 SSO 的优选方案,本文通过具体步骤示例对 Higress 中开源的 OIDC Wasm 插件进行了介绍,帮助用户零代码实现 SSO 单点登录。
|
5月前
|
存储 中间件 数据安全/隐私保护
中间件中OAuth 2.0 和 OpenID Connect
【6月更文挑战第4天】
240 5
|
存储 NoSQL 数据库
Oauth2协议中如何对accessToken进行校验
Oauth2协议中如何对accessToken进行校验
336 0
|
6月前
|
Java Nacos Maven
服务注册、发现和远程调用
服务注册、发现和远程调用
70 0
|
数据库 数据安全/隐私保护
SecurityOauth2-openId
SecurityOauth2-openId
|
Java Maven
把提供者注册到Eureka
上一篇已经记录了搭建Eureka的方法:搭建Eureka注册中心 创建一个maven项目 添加依赖
SpringCloud整合 Oauth2+Gateway+Jwt+Nacos 实现授权码模式的服务认证(一)
SpringCloud整合 Oauth2+Gateway+Jwt+Nacos 实现授权码模式的服务认证(一)
SpringCloud整合 Oauth2+Gateway+Jwt+Nacos 实现授权码模式的服务认证(一)
|
移动开发 安全 API
微信支付APPID MCHID APIKEY等配置方法
微信支付(扫码支付)是需要申请商户的,而且必须得有营业执照才可以申请。 微信商户平台需要绑定已认证的微信公众号,这是必须得绑定,不绑定不行,个人订阅号也是不可以的。
1913 0
微信支付APPID MCHID APIKEY等配置方法