3

在我从 VS2013 中的模板创建的 webapi 应用程序中,我在 Startup.Auth.cs 文件中添加了自定义 OAuthBearerAuthenticationProvider 类:

public class CustomBearerAuthenticationProvider : OAuthBearerAuthenticationProvider
{
    public override Task ValidateIdentity(OAuthValidateIdentityContext context)
    {
        UserManager<ApplicationUser> userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
        var user = userManager.FindById(context.Ticket.Identity.GetUserId());
        var claims = context.Ticket.Identity.Claims;
        if (claims.FirstOrDefault(claim => claim.Type == "AspNet.Identity.SecurityStamp") == null 
            || claims.Any(claim => claim.Type == "AspNet.Identity.SecurityStamp" 
                && !claim.Value.Equals(user.SecurityStamp)))
        {
            context.Rejected();
        }
        return Task.FromResult<object>(null);
    }
}

我还添加了变量:

public static OAuthBearerAuthenticationOptions OAuthBearerOptions { get; private set; }

在 ConfigureAuth(IAppBuilder app) 方法中,我添加了以下代码行以使用自定义 OAuthBearerAuthenticationProvider 类:

OAuthBearerOptions = new OAuthBearerAuthenticationOptions();
OAuthBearerOptions.AccessTokenFormat = OAuthOptions.AccessTokenFormat;
OAuthBearerOptions.AccessTokenProvider = OAuthOptions.AccessTokenProvider;
OAuthBearerOptions.AuthenticationMode = OAuthOptions.AuthenticationMode;
OAuthBearerOptions.AuthenticationType = OAuthOptions.AuthenticationType;
OAuthBearerOptions.Description = OAuthOptions.Description;
OAuthBearerOptions.Provider = new CustomBearerAuthenticationProvider();
OAuthBearerOptions.SystemClock = OAuthOptions.SystemClock;

app.UseOAuthBearerAuthentication(OAuthBearerOptions);

我为实现我自己的不记名令牌验证的自定义逻辑所做的所有这些更改。由于某种原因,在 VS 2013 中从模板创建的 Webapi 应用程序中没有实现 SecurityStamp 验证。我认为这应该默认完成。

为了验证 SecurityStamp 验证概念,我更改了数据库中的 SecurityStamp,然后使用旧的不记名令牌从客户端调用了一些 webapi 方法,即包含旧的 SecurityStamp 声明。请注意,我的 webapi 控制器带有 [Authorize] 属性注释。在调用 ValidateIdentity(OAuthValidateIdentityContext context) 方法并执行 context.Rejected() 行之后,我期望 webapi 方法不应该在此之后调用,并且应该将 401 Unauthorized 响应发送回客户端。

但是这一切都没有发生。确实调用了 Webapi 方法,并且客户端确实成功地从服务器获取了敏感数据,而不应这样做,因为客户端发送到服务器进行身份验证和授权的旧不记名令牌在更改密码后必须无效。

我认为如果在 ValidateIdentity 方法中调用了 context.Rejected(),则不应调用任何 [Authorize] 修饰的 webapi 方法,并且客户端应该收到类似 401 Unauthorized 的响应。

我误解了整个事情吗?如果有人能解释一下它是如何工作的,好吗?为什么在调用 context.Rejected() 后,[Authorize] 注释控制器的 webapi 方法被调用并成功返回敏感数据?为什么没有发送 401 Unauthorized 响应?当 SecurityStamp 声明与当前数据库中的不同时,如何实现将 401 Unauthorized 响应发送回客户端的目标?

4

1 回答 1

2

最后,我能够找到事情如何运作的解释。这是孙宏业对他对 stackoverflow 问题的回答的评论: 你如何拒绝 Katana Bearer 令牌的身份

我在这里引用它:“UseOAuthBearerTokens 会将 Bearer 认证中间件和授权服务器中间件注册到管道中。如果您同时调用这两种方法,您将注册两个 Bearer auth 中间件。您只需调用 UseOAuthAuthorizationServer 来注册授权服务器。”

所以我替换了这行代码:

app.UseOAuthBearerTokens(OAuthOptions);

对此:

app.UseOAuthAuthorizationServer(OAuthOptions);

事情开始按他们应该的方式工作。IE。未调用 [Authorize] 注释控制器的 webapi 方法,并且在调用 context.Rejected() 后返回 401 Unauthorized 响应。

于 2015-02-02T18:14:35.347 回答