·您现在的位置: 云翼网络 >> 文章中心 >> 网站建设 >> 网站建设开发 >> ASP.NET网站开发 >> 使用DotNetOpenAuth搭建OAuth2.0授权框架——Demo代码简单说明
- asp.net三种页面跳转方法
- 安全的设置DropDownList等列表类控件的SelectedValue值
- C#基本知识点-Readonly和Const的区别
- ASP.NET - Substitution Web 服务器控件概述
- 简单的反射
- 微软简化Visual Studio 非程序员也能开发软件
- Asp.net(C#)多文件上传
- 开发ASP.NET下的MP3小偷程序
- [Asp.net 5] Localization-Asp.net运行时多语言
- 页面制作之开发调试工具(1)
- IIS发布网站出错解决方案
- 菜鸟爬坑--Redis学习与探索(二):Redis的数据类型
- quartz.net时间表达式-----Cron表达式详解
- ASP.NET中最简单的自定义控件
- .NET基于任务的异步模式(Task-basedAsynchronousPattern,TAP)asyncawait
- ASP.NET 2.0快速入门(6):ASP.NET 2.0 成员管理
- ASP.NET MVC3入门教程之环境搭建
- ASP.NET超时设置
- ASP.NET提供文件下载函数
- c# 实现文件批量压缩
- 3.C#/.NET编程中的常见异常(持续更新)
- ASP.NET 1.1 没有出现在 IIS 6.0 中的 Web 服务扩展列表中的解决方法
- 编写更好的C#代码
- ASP.NET十分有用的页面间传值方法
- helios架构详解(二)客户端架构和cluster
- HttpWebRequest 请求数据
- 改造一下C# Substring()函数
- OutputCache属性详解(三)— VaryByHeader,VaryByCustom
- [C#]AssemblyHelper
- [Asp.net 5] Options-配置文件之后的配置
使用DotNetOpenAuth搭建OAuth2.0授权框架——Demo代码简单说明
作者:佚名 ASP.NET网站开发编辑:admin 更新时间:2022-07-23
前段时间随意抽离了一部分代码作为OAuth2的示例代码,若干处会造成困扰,现说明如下:
1 public class OAuthController : Controller
2 {
3 PRivate static string _authorizeUrl = ConfigurationManager.AppSettings["AuthorizeUrl"];
4 private static string[] _queryParameters = new string[] { "client_id", "redirect_uri", "state", "response_type", "scope" };
5 private readonly AuthorizationServer _authorizationServer = new AuthorizationServer(new OAuth2AuthorizationServer());
6
7 [AcceptVerbs(HttpVerbs.Get)]
8 public ActionResult Authorize(string userkey)
9 {
10 var pendingRequest = this._authorizationServer.ReadAuthorizationRequest(Request);
11 if (pendingRequest == null)
12 {
13 throw new HttpException((int)HttpStatusCode.BadRequest, "Missing authorization request.");
14 }
15
16 if (string.IsNullOrEmpty(userkey))
17 {
18 string url = _authorizeUrl, callback = Request.Url.GetLeftPart(Uripartial.Path);
19 StringBuilder querystring = new StringBuilder(string.Format("client_id={0}&", HttpUtility.UrlEncode(this.Request.QueryString["client_id"]))), callbackQuery = new StringBuilder();
20 foreach (string key in this.Request.QueryString.Keys)
21 {
22 if (!_queryParameters.Contains(key))
23 querystring.Append(string.Format("{0}={1}&", key, HttpUtility.UrlEncode(this.Request.QueryString[key])));
24 else
25 callbackQuery.Append(string.Format("{0}={1}&", key, HttpUtility.UrlEncode(this.Request.QueryString[key])));
26 }
27 if (callbackQuery.Length > 0)
28 {
29 callback += ("?" + callbackQuery.ToString().TrimEnd('&'));
30 querystring.Append(string.Format("callback={0}&", HttpUtility.UrlEncode(callback)));
31 }
32 if (querystring.Length > 0)
33 {
34 url += ("?" + querystring.ToString().TrimEnd('&'));
35 }
36 return Redirect(url);
37 }
38 else
39 {
40 using (var db = new OAuthDbContext())
41 {
42 var client = db.Clients.FirstOrDefault(o => o.ClientIdentifier == pendingRequest.ClientIdentifier);
43 if (client == null)
44 throw new AuthorizeException("40143", "不受信任的商户");
45 else
46 {
47 var user = DESCrypt.Decrypt(userkey, client.ClientSecret);
48 var approval = this._authorizationServer.PrepareApproveAuthorizationRequest(pendingRequest, user);
49 var response = this._authorizationServer.Channel.PrepareResponse(approval);
50 return response.AsActionResult();
51 }
52 }
53 }
54 }
55
56 public ActionResult Index()
57 {
58 ViewBag.Body = "Welcome To OAuth2.0";
59 return View();
60 }
61 }
这是授权服务端的主要代码。AuthorizeUrl和userkey分别表示什么意思?
这里涉及到我所在公司的具体情况,简单地说,用户授权的具体逻辑是由另外单独的站点(AuthorizeUrl表示,为方便描述,称为A站点)引导,所以这里的代码主要起到一个跳转的作用。我们看DotNetOpenAuth的官方Demo,会发现授权服务端有登录页面、授权页面等等,其实本质是一样的,只是拆分成两个站点。除了OAuth参数,此处可能会传递其它参数,所以使用_queryParameters来区分,并分别构建两部分查询字符串,OAuth参数会附加到callback地址参数上,用户授权后会从A站点跳回该地址(此处就是该action所表示的地址),然后返回浏览器授权码。
关于userkey,大家看到有个解密的步骤(第47行),so,这肯定是考虑到安全问题。公司的业务逻辑大多采用userid标示用户,为自增长int类型,用户通过A站点授权后通过浏览器callback时,userid可以在地址栏中被捕捉到,假如复制该地址并随意更改userid值,就很有可能在对应用户未授权的情况下获得其访问权限。所以我们不允许直接传递userid,而是经过一层对称加密,这就是userkey的由来。如果授权逻辑并未拆分成独立站点,那么就不存在这种情况了。
后续我可能会再补充若干内容,由于工作较忙,只对有朋友提出疑问的地方做一说明;若有其它问题,请告知,我会不定期更新。
- 上一篇文章: 初始ASP.NET数据控件【续DataList】
- 下一篇文章: 抛弃jQuery深入原生的JavaScript