OAuth真是一個複雜的東東,即使你把OAuth規範倒背如流,在具體實現時也會無從下手。因此,Microsoft.Owin.Security.OAuth應運而生(它的實現代碼在Katana項目中),幫助開發者偷了不少工,減了不少料。
這篇博文試圖通過一個簡單的示例分享一下如何基於Microsoft.Owin.Security.OAuth,使用Client Credentials Grant授權方式給客戶端發放access token。
Client Credentials Grant的授權方式就是隻驗證客戶端(Client),不驗證用戶(Resource Owner),只要客戶端通過驗證就發access token。舉一個對應的應用場景例子,比如我們想提供一個“獲取網站首頁最新博文列表”的WebAPI給iOS App調用。由於這個數據與用戶無關,所以不涉及用戶登錄與授權,不需要Resource Owner的參與。但我們不想任何人都可以調用這個WebAPI,所以要對客戶端進行驗證,而使用OAuth中的 Client Credentials Grant (客戶端憑據授予)授權方式可以很好地解決這個問題。
具體實現方式如下:
1)用Visual Studio 2013/2015創建一個Web API項目,VS會生成一堆OAuth相關代碼。
2)打開Startup.Auth.cs ,精簡一下代碼,我們只需要實現以Client Credentials Grant授權方式拿到token,其它無關代碼全部清除,最終剩下如下代碼:
public partial class Startup { public void ConfigureAuth(IAppBuilder app) { var OAuthOptions = new OAuthAuthorizationServerOptions { //TokenEndpointPath是生成Token的終結點,這個不需要我們寫額外的邏輯了, //因爲Token的生成涉及到很多方面,例如序列化反序列加密解密等邏輯,所以框架默認 //已經幫我們做好了 TokenEndpointPath = new PathString("/token"), Provider = new CNBlogsAuthorizationServerProvider(), AccessTokenExpireTimeSpan = TimeSpan.FromDays(14), AllowInsecureHttp = true }; app.UseOAuthBearerTokens(OAuthOptions); } }
3)創建一個新的類 CNBlogsAuthorizationServerProvider,並繼承自 OAuthAuthorizationServerProvider,重載 OAuthAuthorizationServerProvider() 與 GrantClientCredentials() 這兩個方法。代碼如下:
public class CNBlogsAuthorizationServerProvider : OAuthAuthorizationServerProvider { public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context) { string clientId; string clientSecret; context.TryGetFormCredentials(out clientId, out clientSecret); if (clientId == "1234" && clientSecret == "5678") { context.Validated(clientId); } return base.ValidateClientAuthentication(context); } public override Task GrantClientCredentials(OAuthGrantClientCredentialsContext context) { var oAuthIdentity = new ClaimsIdentity(context.Options.AuthenticationType); oAuthIdentity.AddClaim(new Claim(ClaimTypes.Name, "iOS App")); var ticket = new AuthenticationTicket(oAuthIdentity, new AuthenticationProperties()); context.Validated(ticket); return base.GrantClientCredentials(context); } }
在 ValidateClientAuthentication() 方法中獲取客戶端的 client_id 與 client_secret 進行驗證。
在 GrantClientCredentials() 方法中對客戶端進行授權,授了權就能發 access token 。
這樣,OAuth的服務端代碼就完成了。這麼簡單?是的,就這麼簡單,因爲有了Microsoft.Owin.Security.OAuth。
4)然後寫客戶端調用代碼測試一下:
public class OAuthClientTest { private HttpClient _httpClient; public OAuthClientTest() { _httpClient = new HttpClient(); _httpClient.BaseAddress = new Uri("http://openapi.cnblogs.com"); } [Fact] public void Get_Accesss_Token_By_Client_Credentials_Grant() { var parameters = new Dictionary<string, string>(); parameters.Add("client_id", "1234"); parameters.Add("client_secret", "5678"); parameters.Add("grant_type", "client_credentials"); Console.WriteLine(_httpClient.PostAsync("/token", new FormUrlEncodedContent(parameters)) .Result.Content.ReadAsStringAsync().Result); } }
運行結果如下:
{"access_token":"8PqaWilv_SJT7vRXambP7Mebyaf3KO1GXYHsqA-oPMOQF6xk1YpluczOZGo-WwATU5YmGb0wSR0cUQMC8RSZfwO8nwom7yG11FIANhy2PNiqTg2CYdJF0sf0ggFs6it_i3mc_m1iEFCK2dLBPDJXPI24wngCPR0wP_zugZvyKv314BM0PQmnnwg3kLXR1DISKRbs5-i59VCtFSZgkM7A0w","token_type":"bearer","expires_in":1209599}
搞定!
【更新】
建議使用Basic Authentication傳遞clientId與clientSecret,服務端CNBlogsAuthorizationServerProvider中的TryGetFormCredentials()改爲TryGetBasicCredentials(),客戶端的調用代碼如下:
public class OAuthClientTest { private HttpClient _httpClient; public OAuthClientTest() { _httpClient = new HttpClient(); _httpClient.BaseAddress = new Uri("http://openapi.cnblogs.com"); } [Fact] public void Get_Accesss_Token_By_Client_Credentials_Grant() { var clientId = "1234"; var clientSecret = "5678"; _httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue( "Basic", Convert.ToBase64String(Encoding.ASCII.GetBytes(clientId + ":" + clientSecret))); var parameters = new Dictionary<string, string>(); parameters.Add("grant_type", "client_credentials"); Console.WriteLine(_httpClient.PostAsync("/token", new FormUrlEncodedContent(parameters)) .Result.Content.ReadAsStringAsync().Result); } }