4

我有这个场景:一个公司网站(MVC 4)和一个网上商店;添加 OAuth 2 SSO 功能。两个站点都有自己的成员,但 corp 站点(由我负责)也必须作为 OAuth 2 授权服务器,并将为每个成员存储一个网上商店用户 ID。商店请求以下端点:

身份验证端点

• 授权:

    …/oauth2/authorize?client_id={CLIENT_ID}&state={STATE}&response_type=code&redirect_uri={REDIRECT_URI}

• 令牌

    …/oauth2/token?code={TOKEN}&client_id={CLIENT_ID}&client_secret={CLIENT_SECRET}&redirect_uri={REDIRECT_URI}&grant_type=authorization_code

    …/oauth2/token?refresh_token={TOKEN}&client_id={CLIENT_ID}&client_secret={CLIENT_SECRET}&redirect_uri={REDIRECT_URI}&grant_type=refresh_token

API 端点

• getid(将返回带有会员商店 ID 的 JSON):

    …/oauth2/api/getid?access_token={TOKEN}

我没有使用 OAuth 的经验,所以我查看了 DotNetOpenAuth 示例并得出结论,我需要实现OAuthAuthorizationServer,但是修改示例以满足我的要求很困难,因为它似乎做得更多而且很复杂。

由于研究 DotNetOpenAuth 似乎非常耗时,我想问一下:修改 OAuthAuthorizationServer 示例是正确的方法吗?或者我应该尝试制作本机实现或尝试在我的情况下更容易使用的不同 OAuth 库?

请评论我的总体计划:

-保持公司网站成员登录流程标准表单身份验证,直接登录控制器

- 添加一个 OAuth 控制器,它将三个必需的端点作为操作实现

-当达到授权操作时,我验证客户端并重定向到通过redirect_uri传递的LogOn;我认为Authorize ActionResult来自样本OAuthController.cs的from是我应该开始调查的地方,并返回一个. 这个对吗?AccountAuthorizeModel

- 用户登录后,如果从授权端点到达登录页面,我将重定向到 redirect_uri 并附加代码;我不知道从哪里开始。PrepareApproveAuthorizationRequest那么PrepareResponse?代码从哪里来?我应该在流程中的哪个位置在数据库中添加新的 ClientAuthorization?

- 然后商店将使用代码从 /token 端点获取或刷新令牌;简单地返回HandleTokenRequest

- 使用令牌,商店网站将能够获取会员数据 JSON;必须找出如何验证令牌

现在,除了添加一个 Clients 表来存储客户端 ID 和机密,以及 ClientAuthorization 来跟踪谁被授权之外,我不知道是否使用了 DotNetOpenAuth 示例中的其他表以及何时使用:Nonce、SymmetricCryptoKey、User。

修改 OAuth2AuthorizationServer.cs 似乎很简单,我只需要添加真正的证书并确保客户端是从我的数据上下文中提取的。

谢谢!

4

1 回答 1

4

我认为你在大多数方面都是对的。让我们评论他们:

  • OAuth 服务器应该有 2 个端点(不是 3 个),因为请求令牌和刷新令牌会到达同一个端点(TokenEndpoint)。

  • 这取决于您是要实现不同的身份验证服务器(或控制器),还是要在授权服务器内实现身份验证职责。如果它们分开,则身份验证服务器应负责显示登录、身份验证并使用 OpenID 协议与授权服务器通信(DotNetOpenAuth 也支持)。

  • 一旦用户通过身份验证,授权服务器应该以某种方式存储用户身份的数据,并使用 DotNetOpenAuth 函数返回授权码(如果使用此 Oauth 流程):

    var response = this.AuthServer.PrepareApproveAuthorizationRequest(AuthorizationRequest, User.Identity.Name); 返回 this.AuthServer.Channel.PrepareResponse(response); finalResponse.AsActionResult();

我认为您不需要在数据库中保存任何有关授权过程的内容,并且代码由 DotNetOpenAuth 生成并发送到客户端到重定向的查询字符串中。

  • 然后,客户端应该获取代码 (ProcessUserAuthorization) 并调用 TokenEndpoint。这个端点只是返回 HandleTokenRequest,它在内部调用了一些 OAuthAuthorizationServer 函数,例如 CreateAccessToken。

  • 一旦客户端拥有访问令牌,它应该调用资源,将令牌发送到 HTTP 标头“授权”。资源服务器负责验证令牌。

    var resourceServer = new ResourceServer(new StandardAccessTokenAnalyzer(signing, encrypting));

     AccessToken token = resourceServer.GetAccessToken(request, scopes);

使用此流程需要 nonce 和 crytoKeys 的存储提供程序。看看类 InMemoryCryptoKeyStore :

https://github.com/DotNetOpenAuth/DotNetOpenAuth/wiki/Security-scenarios

希望这可以帮助!

于 2013-10-03T13:56:29.937 回答