问题标签 [owin.security]

我有一个使用我自己的会员系统的应用程序。它使用ASP.NET MVC 3，我将其更新为ASP.NET MVC 5。无法更改成员资格以使用像ASP.NET Identity这样的新成员。但是，对于身份验证方面，您认为将我的 auth-ticket 系统替换为 是一个好主意OWIN.Security吗？有什么我应该知道的陷阱吗？

我正在尝试使用authorization_code授权流程设置我的身份验证。我以前使用过它grant_type=password，所以我有点知道这些东西应该如何工作。但是在使用时grant_type=authorization_code，我不能让它返回任何东西invalid_grant

这是我的设置：

SampleAuthProvider 是以下类：https ://gist.github.com/anonymous/8a0079b705423b406c00

基本上，它只是记录每一步并验证它。我尝试了请求：

它正在经历：

• OnMatchEndpoint
• OnValidateClientAuthentication

就这样。我预计它会调用OnValidateTokenRequest和OnGrantAuthorizationCode下一个，但它没有。我不知道为什么。

请求中的xxxx' 不是占位符，我这样尝试过。也许中间件会自行进行一些检查并因此拒绝请求？redirect_uri我尝试了with的变体http，没有任何协议，没有斜杠......

它也适用于自定义grant_type. 所以如果我太绝望了，我想我可以用它来模拟authorization_code，但我宁愿不必那样做。

TL;博士

我使用后的OAuthAuthorizationServerProvider回报。{"error":"invalid_grant"}OnValidateClientAuthenticationgrant_type=authorization_code

• 为什么停在那里？
• 我怎样才能使整个该死的事情发挥作用？

谢谢你的帮助！

编辑

正如 RajeshKannan 所指出的，我在配置中犯了一个错误。我没有提供AuthorizationCodeProvider实例。但是，这并没有完全解决问题，因为在我的情况下，代码不是由 发布的AuthorizationCodeProvider，我不能只是反序列化它。我对我开始工作的解决方法感到满意。

我正在使用一个奇怪的信用卡支付网关，我将加密的交易信息发送到银行网站。用户在那里输入卡信息。我在银行设置了两个 URL（PaymentSuccess 和 PaymentFailure），它们在付款处理后返回。付款和退款，正确和错误的所有工作都按设计进行，除了......

从银行回来后我无法注销用户：AuthenticationManager.SignOut()静默失败，没有例外，没有错误只是让当前用户仅在 IE 中登录。相同的代码在 Chrome、Firefox、Opera、Safari 中运行良好。

该代码应该将已登录的用户从系统中注销，但不会：

I'm using Microsoft.Owin.Security in my application (ASP.NET MVC v 5.2.0 on .NET 4.5). But just the security part of OWIN nothing else. When a user wants to access to a protected URL, in local, the request get redirected to the login page. But when I publish the app on server, I get this window instead of redirecting:

my login and log-off methods are:

and here is my startup:

I also have this line in global.asax::Application_Start method:

and these configuration in web.config:

and finally I'm running the application on a Windows 2008 R2 machine with IIS 7.5. Do you have any idea what should I do to make OWIN work correctly on my server, just like my local?

UPDATE: To be clear:

Assume I have these actions:

One for anonymous users, and another for logged-in users (which are well decorated with attributes). Anonymous users, can access AnonymousAction easily without any error or misbehavior. But when they (I mean Anonymous users) want to access UsersAction, instead of getting redirected to login page, they will see the window I mentioned above.

我的 ASPNET 5 应用程序启动中有以下堆栈：

最后的调用添加OAuthBearerAuthenticationMiddleware到中间件管道，这个类覆盖了CreateHandler()返回类的新实例的方法OAuthBearerAuthenticationHandler。

OAuthBearerAuthenticationHandlerclass 是处理不记名令牌的类，这就是我试图进入的地方。问题是我只能在Startup.Configure()方法处设置断点，而且这个方法只在应用程序启动时运行一次。

即使在这种情况下，我也确实开始OAuthBearerAuthenticationHandler使用从 CodePlex 下载的原始 Katana 源代码并加载适当的符号，但由于某种原因，这些符号不会为我提供有关OAuthBearerAuthenticationHandler该类的信息。

我真的需要看看该类内部发生了什么，特别是该AuthenticateCoreAsync()方法，但我不知道如何捕获请求并通过管道堆栈并到达该类，因为Startup.Configure()它只被调用一次并且在我的情况下我只有当我提供不记名令牌时才会出现问题。我希望我足够清楚以获得答案:)

I want to add authorization to my project based on this tutorial. I've got the part of retrieving an access token working. But when using the token to access a protected resource API I get a 401 unauthorized error.

The request has an authorization header with scheme Bearer and containing the access token. Like in the tutorial the API is protected with the [Authorize] attribute. During startup I setup Bearer Authentication with

UseOAuthBearerAuthentication(new Microsoft.Owin.Security.OAuth.OAuthBearerAuthenticationOptions())

It is not clear to me why the request is unauthorized. What can I check to find the cause of this problem?

我们计划在我们公司构建一个 OAuth2 授权服务器，并且我们正在尝试找出实现它的正确解决方案。目前我们正在考虑使用 ThinkTecture IdentityServer3 或普通的 Microsoft.Owin.Security.OAuth 包。我们在选择时考虑的一件事是谁已经在使用它。不幸的是，我在 ThinkTecture 网站上找不到任何有关 IdentityServer3 客户的信息，在其他任何地方都没有。有谁知道，如果有大玩家，谁依赖这个库/框架？

如果有人对上述两种解决方案中的哪一种更好有任何其他指导，那对我们也很有价值。

干杯

我们通过“新”和“旧”门户在同一个 AAD B2C租户中注册了两个应用程序。

使用“旧”应用程序凭据进行的身份验证工作正常。使用“新”应用程序凭据 - 出现错误：

IDX10500：签名验证失败。无法解析 SecurityKeyIdentifier：'SecurityKeyIdentifier（IsReadOnly = False，Count = 1，Clause[0] = System.IdentityModel.Tokens.NamedKeySecurityKeyIdentifierClause）'

将 Microsoft.Owin.Security.ActiveDirector 库（保护 ASP.Net Web API）与在 AAD B2C租户中注册的应用程序一起使用是否正确。

PS我的问题是基于这篇文章。

我使用 Microsoft.Owin.Security、Microsoft.Owin.Security.OpenIDConnect 和 Microsoft.Owin.Security.Cookies 库。它工作正常，我可以创建一个安全 cookie。但在安全 cookie 中是域AAA.de。如何将 cookie 中的域更改为.AAA.de？

这是我用来登录用户的代码。

谢谢你的帮助。

I have a web app which runs under service.domain.de. For authentication in this app I use Azure AD B2C. In the azure security cookie is for the domain service.domain.de . What can I do to get the security cookie for the domain .domain.de? So with the domain .domain.de the cookie is for the domain.de and all subdomains. The service I wrote in ASP.Net and used Microsoft.Owin.Security library (OpenId).