使用DotNetOpenAuth搭建OAuth2.0授权框架——Demo代码简单说明

简介: 前段时间随意抽离了一部分代码作为OAuth2的示例代码,若干处会造成困扰,现说明如下: 1 public class OAuthController : Controller 2 { 3 private static string _authorizeUrl = ConfigurationManager.

前段时间随意抽离了一部分代码作为OAuth2的示例代码,若干处会造成困扰,现说明如下:

 1 public class OAuthController : Controller
 2     {
 3         private static string _authorizeUrl = ConfigurationManager.AppSettings["AuthorizeUrl"];
 4         private static string[] _queryParameters = new string[] { "client_id", "redirect_uri", "state", "response_type", "scope" };
 5         private readonly AuthorizationServer _authorizationServer = new AuthorizationServer(new OAuth2AuthorizationServer());
 6         
 7         [AcceptVerbs(HttpVerbs.Get)]
 8         public ActionResult Authorize(string userkey)
 9         {
10             var pendingRequest = this._authorizationServer.ReadAuthorizationRequest(Request);
11             if (pendingRequest == null)
12             {
13                 throw new HttpException((int)HttpStatusCode.BadRequest, "Missing authorization request.");
14             }
15 
16             if (string.IsNullOrEmpty(userkey))
17             {
18                 string url = _authorizeUrl, callback = Request.Url.GetLeftPart(UriPartial.Path);
19                 StringBuilder querystring = new StringBuilder(string.Format("client_id={0}&", HttpUtility.UrlEncode(this.Request.QueryString["client_id"]))), callbackQuery = new StringBuilder();
20                 foreach (string key in this.Request.QueryString.Keys)
21                 {
22                     if (!_queryParameters.Contains(key))
23                         querystring.Append(string.Format("{0}={1}&", key, HttpUtility.UrlEncode(this.Request.QueryString[key])));
24                     else
25                         callbackQuery.Append(string.Format("{0}={1}&", key, HttpUtility.UrlEncode(this.Request.QueryString[key])));
26                 }
27                 if (callbackQuery.Length > 0)
28                 {
29                     callback += ("?" + callbackQuery.ToString().TrimEnd('&'));
30                     querystring.Append(string.Format("callback={0}&", HttpUtility.UrlEncode(callback)));
31                 }
32                 if (querystring.Length > 0)
33                 {
34                     url += ("?" + querystring.ToString().TrimEnd('&'));
35                 }
36                 return Redirect(url);
37             }
38             else
39             {
40                 using (var db = new OAuthDbContext())
41                 {
42                     var client = db.Clients.FirstOrDefault(o => o.ClientIdentifier == pendingRequest.ClientIdentifier);
43                     if (client == null)
44                         throw new AuthorizeException("40143", "不受信任的商户");
45                     else
46                     {
47                         var user = DESCrypt.Decrypt(userkey, client.ClientSecret);
48                         var approval = this._authorizationServer.PrepareApproveAuthorizationRequest(pendingRequest, user);
49                         var response = this._authorizationServer.Channel.PrepareResponse(approval);
50                         return response.AsActionResult();
51                     }
52                 }
53             }
54         }
55 
56         public ActionResult Index()
57         {
58             ViewBag.Body = "Welcome To OAuth2.0";
59             return View();
60         }
61     }

这是授权服务端的主要代码。AuthorizeUrl和userkey分别表示什么意思?

这里涉及到我所在公司的具体情况,简单地说,用户授权的具体逻辑是由另外单独的站点(AuthorizeUrl表示,为方便描述,称为A站点)引导,所以这里的代码主要起到一个跳转的作用。我们看DotNetOpenAuth的官方Demo,会发现授权服务端有登录页面、授权页面等等,其实本质是一样的,只是拆分成两个站点。除了OAuth参数,此处可能会传递其它参数,所以使用_queryParameters来区分,并分别构建两部分查询字符串,OAuth参数会附加到callback地址参数上,用户授权后会从A站点跳回该地址(此处就是该action所表示的地址),然后返回浏览器授权码。

关于userkey,大家看到有个解密的步骤(第47行),so,这肯定是考虑到安全问题。公司的业务逻辑大多采用userid标示用户,为自增长int类型,用户通过A站点授权后通过浏览器callback时,userid可以在地址栏中被捕捉到,假如复制该地址并随意更改userid值,就很有可能在对应用户未授权的情况下获得其访问权限。所以我们不允许直接传递userid,而是经过一层对称加密,这就是userkey的由来。如果授权逻辑并未拆分成独立站点,那么就不存在这种情况了。

 

后续我可能会再补充若干内容,由于工作较忙,只对有朋友提出疑问的地方做一说明;若有其它问题,请告知,我会不定期更新。

目录
相关文章
|
2月前
|
Java API 数据库
如何使用Spring Boot构建RESTful API,以在线图书管理系统为例
【10月更文挑战第9天】本文介绍了如何使用Spring Boot构建RESTful API,以在线图书管理系统为例,从项目搭建、实体类定义、数据访问层创建、业务逻辑处理到RESTful API的实现,详细展示了每个步骤。通过Spring Boot的简洁配置和强大功能,开发者可以高效地开发出功能完备、易于维护的Web应用。
71 3
|
6月前
|
缓存 安全 Java
【权限管理系统】Spring security(三)---认证过程(原理解析,demo)
【权限管理系统】Spring security(三)---认证过程(原理解析,demo)
|
存储 安全 前端开发
几行代码搞定 Spring Cloud OAuth2 授权码模式3个页面定制
几行代码搞定 Spring Cloud OAuth2 授权码模式3个页面定制
|
7月前
|
安全 Java 数据库
后端进阶之路——Spring Security构建强大的身份验证和授权系统(四)
后端进阶之路——Spring Security构建强大的身份验证和授权系统(四)
|
算法 Java 数据库
一张流程图带你学会SpringBoot结合JWT实现登录功能(二)
一张流程图带你学会SpringBoot结合JWT实现登录功能
160 0
|
SQL 算法 安全
一张流程图带你学会SpringBoot结合JWT实现登录功能(一)
一张流程图带你学会SpringBoot结合JWT实现登录功能
199 0
|
存储 前端开发 数据安全/隐私保护
十五.SpringCloud+Security+Oauth2实现微服务授权 -前端登录实战
SpringCloud+Security+Oauth2实现微服务授权 -前端登录实战
|
存储 SQL 安全
十一.SpringCloud+Security+Oauth2实现微服务授权 - 授权服务配置
SpringCloud+Security+Oauth2实现微服务授权 - 授权服务配置
|
JSON Java 数据库连接
SpringBoot 集成cas5.3 实现自定义认证策略
如果CAS框架提供的方案还是不能满足我们的需要,比如我们不仅需要用户名和密码,还要验证其他信息,比如邮箱,手机号,但是邮箱,手机信息在另一个数据库,还有在一段时间内同一IP输入错误次数限制等。这里就需要我们自定义认证策略,自定义CAS的web认证流程。
1044 0
|
存储 安全 Java
OAuth2在项目中使用完成的功能说明|学习笔记
快速学习OAuth2在项目中使用完成的功能说明
OAuth2在项目中使用完成的功能说明|学习笔记