OAuth真是一個複雜的東東,即使你把OAuth規範倒背如流,在具體實現時也會無從下手。因此,Microsoft.Owin.Security.OAuth應運而生(它的實現程式碼在Katana專案中),幫助開發者偷了不少工,減了不少料。
這篇博文試圖通過一個簡單的示例分享一下如何基於Microsoft.Owin.Security.OAuth,使用Client Credentials Grant授權方式給客戶端發放access token。
Client Credentials Grant的授權方式就是隻驗證客戶端(Client),不驗證使用者(Resource Owner),只要客戶端通過驗證就發access token。舉一個對應的應用場景例子,比如我們想提供一個“獲取網站首頁最新博文列表”的WebAPI給iOS App呼叫。由於這個資料與使用者無關,所以不涉及使用者登入與授權,不需要Resource Owner的參與。但我們不想任何人都可以呼叫這個WebAPI,所以要對客戶端進行驗證,而使用OAuth中的 Client Credentials Grant 授權方式可以很好地解決這個問題。
具體實現方式如下:
1)用Visual Studio 2013/2015建立一個Web API專案,VS會生成一堆OAuth相關程式碼。
2)開啟Startup.Auth.cs ,精簡一下程式碼,我們只需要實現以Client Credentials Grant授權方式拿到token,其它無關程式碼全部清除,最終剩下如下程式碼:
public partial class Startup { public void ConfigureAuth(IAppBuilder app) { var OAuthOptions = new OAuthAuthorizationServerOptions { TokenEndpointPath = new PathString("/token"), Provider = new CNBlogsAuthorizationServerProvider(), AccessTokenExpireTimeSpan = TimeSpan.FromDays(14), AllowInsecureHttp = true }; app.UseOAuthBearerTokens(OAuthOptions); } }
3)建立一個新的類 CNBlogsAuthorizationServerProvider,並繼承自 OAuthAuthorizationServerProvider,過載 OAuthAuthorizationServerProvider() 與 GrantClientCredentials() 這兩個方法。程式碼如下:
public class CNBlogsAuthorizationServerProvider : OAuthAuthorizationServerProvider { public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context) { string clientId; string clientSecret; context.TryGetFormCredentials(out clientId, out clientSecret); if (clientId == "1234" && clientSecret == "5678") { context.Validated(clientId); } return base.ValidateClientAuthentication(context); } public override Task GrantClientCredentials(OAuthGrantClientCredentialsContext context) { var oAuthIdentity = new ClaimsIdentity(context.Options.AuthenticationType); oAuthIdentity.AddClaim(new Claim(ClaimTypes.Name, "iOS App")); var ticket = new AuthenticationTicket(oAuthIdentity, new AuthenticationProperties()); context.Validated(ticket); return base.GrantClientCredentials(context); } }
在 ValidateClientAuthentication() 方法中獲取客戶端的 client_id 與 client_secret 進行驗證。
在 GrantClientCredentials() 方法中對客戶端進行授權,授了權就能發 access token 。
這樣,OAuth的服務端程式碼就完成了。這麼簡單?是的,就這麼簡單,因為有了Microsoft.Owin.Security.OAuth。
4)然後寫客戶端呼叫程式碼測試一下:
public class OAuthClientTest { private HttpClient _httpClient; public OAuthClientTest() { _httpClient = new HttpClient(); _httpClient.BaseAddress = new Uri("http://openapi.cnblogs.com"); } [Fact] public void Get_Accesss_Token_By_Client_Credentials_Grant() { var parameters = new Dictionary<string, string>(); parameters.Add("client_id", "1234"); parameters.Add("client_secret", "5678"); parameters.Add("grant_type", "client_credentials"); Console.WriteLine(_httpClient.PostAsync("/token", new FormUrlEncodedContent(parameters)) .Result.Content.ReadAsStringAsync().Result); } }
執行結果如下:
{"access_token":"8PqaWilv_SJT7vRXambP7Mebyaf3KO1GXYHsqA-oPMOQF6xk1YpluczOZGo-WwATU5YmGb0wSR0cUQMC8RSZfwO8nwom7yG11FIANhy2PNiqTg2CYdJF0sf0ggFs6it_i3mc_m1iEFCK2dLBPDJXPI24wngCPR0wP_zugZvyKv314BM0PQmnnwg3kLXR1DISKRbs5-i59VCtFSZgkM7A0w","token_type":"bearer","expires_in":1209599}
搞定!
【更新】
建議使用Basic Authentication傳遞clientId與clientSecret,服務端CNBlogsAuthorizationServerProvider中的TryGetFormCredentials()改為TryGetBasicCredentials(),客戶端的呼叫程式碼如下:
public class OAuthClientTest { private HttpClient _httpClient; public OAuthClientTest() { _httpClient = new HttpClient(); _httpClient.BaseAddress = new Uri("http://openapi.cnblogs.com"); } [Fact] public void Get_Accesss_Token_By_Client_Credentials_Grant() { var clientId = "1234"; var clientSecret = "5678"; _httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue( "Basic", Convert.ToBase64String(Encoding.ASCII.GetBytes(clientId + ":" + clientSecret))); var parameters = new Dictionary<string, string>(); parameters.Add("grant_type", "client_credentials"); Console.WriteLine(_httpClient.PostAsync("/token", new FormUrlEncodedContent(parameters)) .Result.Content.ReadAsStringAsync().Result); } }
【參考資料】
ASP.Net MVC: Creating an OAuth client credentials grant type token endpoint