7

我试图找出一种方法让我的 API 能够将 Facebook 的用户与我的身份用户相关联。

应用程序上下文

我正在开发一个需要使用用户名/密码和 Facebook 登录的移动应用程序(在 Xamarin 中)。我已经设置了app.UseOpenIdConnectServer配置并创建了自定义Provider,因此我的应用程序已经在使用用户名/密码。

现在我正在尝试与 Facebook 进行集成,但没有找到可以实现这一目标的方法。

我正在考虑在 API 中创建一个服务,比如从 Facebook/api/auth/login-facebook/传递,access-token但我需要将access-token我的 API 应用程序返回到移动应用程序,以便移动应用程序可以调用所有其他需要授权的服务。

有什么帮助吗?

我想要得到的视觉方式:

  1. 用户在移动应用程序中按“使用 Facebook 登录”
  2. 移动应用程序调用从 Facebook/api/auth/login-facebook/传递access-token
  3. 在 API 应用程序中,我将检查access-tokenFacebook
  4. 如果用户不存在,我将使用 Facebook 返回给我的数据创建他,然后我将生成access-token授予对我的 API 应用程序的访问权限
  5. 如果用户存在,我将生成access-token授予对我的 API 应用程序的访问权限
  6. 返回access-token到移动应用程序,以便它可以调用其他服务

如果我的知识有误,我应该以其他方式进行此集成/登录,请随时告诉我!

4

1 回答 1

7

您描述的流程与去年标准化的“断言授权”流程非常相似。

要使用此流程,您通常必须从外部提供者(例如 JWT 或 SAML 断言)检索标准令牌,以便您自己的授权服务器可以验证它并提取它公开的声明。不幸的是,这不是您可以通过 Facebook 或大多数社交服务提供商做的事情。

新的 OAuth2 草案可能会在未来帮助改变这一点,但主要服务开始实施它可能需要一段时间。

好消息是,在此期间没有什么能阻止您创建自己的“Facebook 访问令牌”授权类型。以下是使用 ASOS beta6 实现断言授权的方法:

public override Task ValidateTokenRequest(ValidateTokenRequestContext context)
{
    // Reject the token request if it doesn't use grant_type=password, refresh_token
    // or urn:ietf:params:oauth:grant-type:facebook_access_token.
    if (!context.Request.IsPasswordGrantType() &&
        !context.Request.IsRefreshTokenGrantType() &&
         context.Request.GrantType != "urn:ietf:params:oauth:grant-type:facebook_access_token")
    {
        context.Reject(
            error: OpenIdConnectConstants.Errors.UnsupportedGrantType,
            description: "The specified grant type is not supported by this server.");

        return Task.FromResult(0);
    }

    // Reject the token request if the assertion parameter is missing.
    if (context.Request.GrantType == "urn:ietf:params:oauth:grant-type:facebook_access_token" &&
        string.IsNullOrEmpty(context.Request.Assertion))
    {
        context.Reject(
            error: OpenIdConnectConstants.Errors.InvalidRequest,
            description: "The assertion is missing.");

        return Task.FromResult(0);
    }

    // Since there's only one application and since it's a public client
    // (i.e a client that cannot keep its credentials private), call Skip()
    // to inform the server the request should be accepted without 
    // enforcing client authentication.
    context.Skip();

    return Task.FromResult(0);
}

public override Task HandleTokenRequest(HandleTokenRequestContext context)
{
    // Only handle grant_type=password and urn:ietf:params:oauth:grant-type:facebook_access_token
    // requests and let the OpenID Connect server middleware handle the refresh token requests.
    if (context.Request.IsPasswordGrantType())
    {
        // Skipped for brevity.
    }

    else if (context.Request.GrantType == "urn:ietf:params:oauth:grant-type:facebook_access_token")
    {
        // The assertion corresponds to the Facebook access token.
        var assertion = context.Request.Assertion;

        // Create a new ClaimsIdentity containing the claims that
        // will be used to create an id_token and/or an access token.
        var identity = new ClaimsIdentity(OpenIdConnectServerDefaults.AuthenticationScheme);

        // Validate the access token using Facebook's token validation
        // endpoint and add the user claims you retrieved here.
        identity.AddClaim(ClaimTypes.NameIdentifier, "FB user identifier");

        // Create a new authentication ticket holding the user identity.
        var ticket = new AuthenticationTicket(
            new ClaimsPrincipal(identity),
            new AuthenticationProperties(),
            OpenIdConnectServerDefaults.AuthenticationScheme);

        // Set the list of scopes granted to the client application.
        ticket.SetScopes(new[]
        {
            /* openid: */ OpenIdConnectConstants.Scopes.OpenId,
            /* email: */ OpenIdConnectConstants.Scopes.Email,
            /* profile: */ OpenIdConnectConstants.Scopes.Profile,
            /* offline_access: */ OpenIdConnectConstants.Scopes.OfflineAccess
        }.Intersect(context.Request.GetScopes()));

        context.Validate(ticket);
    }

    return Task.FromResult(0);
}

在此处输入图像描述

于 2016-08-18T12:18:51.153 回答