3

我们的应用程序需要通过手机号码或谷歌登录。我们正计划通过 Twitter Digits 进行手机号码认证。

据我了解,注册和认证流程如下:

  1. 移动应用程序使用 Twitter Digits 或 Google 登录进行丰富的身份验证(用户执行丰富的身份验证而不是打开 Web 浏览器选项卡会带来更好的用户体验)。Twitter Digits / Google 登录返回身份令牌。

  2. 移动应用程序调用 AuthServer 来登录并提供身份令牌。

  3. 身份服务器使用 Digits 服务或 Google Auth 服务验证提供的身份令牌。

  4. 验证后,AuthServer 将尝试查找用户,如果不存在,它将创建一个。

  5. AuthServer 将访问令牌返回给移动应用程序。

现在,我正在寻找实施步骤#3-4 的选项。

目前,我所做的是修改令牌端点代码,将用户名作为电话号码或电子邮件地址和密码作为 Google/Twitter Digits ID 令牌发送。现在,由于身份验证服务器需要知道发送的密码实际上是一个需要通过第三方服务验证的令牌,因此我通过在 TokenHint 中发送服务名称“Digits”或“Google”来解决它。

这很好用,但我想知道支持我想要实现的目标的最干净的方法是什么。

4

1 回答 1

7

这很好用,但我想知道支持我想要实现的目标的最干净的方法是什么。

我个人会使用自定义授权类型:

[HttpPost("~/connect/token")]
[Produces("application/json")]
public IActionResult Exchange(OpenIdConnectRequest request)
{
    if (request.GrantType == "urn:ietf:params:oauth:grant-type:google_identity_token")
    {
        // Reject the request if the "assertion" parameter is missing.
        if (string.IsNullOrEmpty(request.Assertion))
        {
            return BadRequest(new OpenIdConnectResponse
            {
                Error = OpenIdConnectConstants.Errors.InvalidRequest,
                ErrorDescription = "The mandatory 'assertion' parameter was missing."
            });
        }

        // Create a new ClaimsIdentity containing the claims that
        // will be used to create an id_token and/or an access token.
        var identity = new ClaimsIdentity(OpenIdConnectServerDefaults.AuthenticationScheme);

        // Manually validate the identity token issued by Google,
        // including the issuer, the signature and the audience.
        // Then, copy the claims you need to the "identity" instance.

        // Create a new authentication ticket holding the user identity.
        var ticket = new AuthenticationTicket(
            new ClaimsPrincipal(identity),
            new AuthenticationProperties(),
            OpenIdConnectServerDefaults.AuthenticationScheme);

        ticket.SetScopes(
            OpenIdConnectConstants.Scopes.OpenId,
            OpenIdConnectConstants.Scopes.OfflineAccess);

        return SignIn(ticket.Principal, ticket.Properties, ticket.AuthenticationScheme);
    }

    return BadRequest(new OpenIdConnectResponse
    {
        Error = OpenIdConnectConstants.Errors.UnsupportedGrantType,
        ErrorDescription = "The specified grant type is not supported."
    });
}

请注意,您还必须在 OpenIddict 选项中启用它:

// Register the OpenIddict services.
services.AddOpenIddict()
    // Register the Entity Framework stores.
    .AddEntityFrameworkCoreStores<ApplicationDbContext>()

    // Register the ASP.NET Core MVC binder used by OpenIddict.
    // Note: if you don't call this method, you won't be able to
    // bind OpenIdConnectRequest or OpenIdConnectResponse parameters.
    .AddMvcBinders()

    // Enable the token endpoint.
    .EnableTokenEndpoint("/connect/token")

    // Enable the refresh token flow and a custom grant type.
    .AllowRefreshTokenFlow()
    .AllowCustomFlow("urn:ietf:params:oauth:grant-type:google_identity_token")

    // During development, you can disable the HTTPS requirement.
    .DisableHttpsRequirement();

发送令牌请求时,请确保使用权限grant_type并将您的 id_token 作为assertion参数发送,它应该可以工作。

以下是使用 Facebook 访问令牌的示例:

在实施令牌验证例程时要格外小心,因为这一步特别容易出错。验证所有内容非常重要,包括观众(否则,您的服务器将容易受到混淆代理攻击)。

于 2016-12-19T14:00:04.953 回答