DotNetOpenAuth Part 1 : Authorization 验证服务实现及关键源码解析
DotNetOpenAuth 是 .Net 环境下OAuth 开源实现框架。基于此,可以方便的实现 OAuth 验证(Authorization)服务、资源(Resource)服务。针对 DotNetOpenAuth,近期打算整理出三篇随笔:
DotNetOpenAuth Part 1 : OAuth2 Authorization 验证服务实现及关键源码解析
DotNetOpenAuth Part 2 : OAuth2 Resource 资源服务实现及关键源码解析
DotNetOpenAuth Part 3 : OAuth2 Client 访问实现几关键源码解析
本篇是这一系列的 Part 1。
OAuth Authorization 服务负责为用户下发 Access Token,而后用户用这一 Token 去请求资源和逻辑访问。Client 端发送来附带 ClientId 和 ClientSecret 的 request,Authorization 端验证请求的合法性,生成 Access Token 并下发,这就是OAuth 验证服务的主要职责。
【实现层面】
基于 DotNetOpenAuth 开发 Authorization 服务的主要工作是实现 IAuthorizationServerHost 接口,而其中关键要实现的方法有两个,它们分别是 GetClient 和 CreateAccessToken。
IClientDescription GetClient(string clientIdentifier);
由 Client 端发送来的标示 clientIdentifier 获取该 Client 在验证服务端的详细信息,以备做 ClientSecret 比对验证。这里 ClientDescription 的来源可以是验证服务端DB,也可以是其他可提供该数据的外部服务。
AccessTokenResult CreateAccessToken(IAccessTokenRequest accessTokenRequestMessage);
基于策略,生成 AccessToken,并返回给请求验证的 Client。
方法实现示意
GetClient,
public IClientDescription GetClient(string clientIdentifier)
{
if (string.Equals(clientIdentifier, "iSun", StringComparison.CurrentCulture))
{
var client = new Client() // Just initiate a Client instance, and in production it comes from DB or other service.
{
Name = "iSun",
ClientSecret = "",
ClientTypeValue =
}; return client;
} throw new ArgumentOutOfRangeException("clientIdentifier");
}
CreateAccessToken,
public AccessTokenResult CreateAccessToken(IAccessTokenRequest accessTokenRequestMessage)
{
var accessToken = new AuthorizationServerAccessToken(); accessToken.Lifetime = TimeSpan.FromMinutes();
accessToken.ResourceServerEncryptionKey = ... ...
accessToken.AccessTokenSigningKey = ... ... var result = new AccessTokenResult(accessToken);
return result;
}
实现了 IAuthorizationServerHost 接口下的两个关键方法,下面要做的仅仅是使用该 AuthorizationServerHost 实例初始化 AuthorizationServer 类,并调用其 HandleTokenRequestAsync 方法。
private readonly AuthorizationServer authorizationServer = new AuthorizationServer(new iSunAuthorizationServerHost(AuthService.Configuration)); public async Task<ActionResult> Token()
{
var response = await authorizationServer.HandleTokenRequestAsync(Request);
return response.AsActionResult();
}
【原理层面】
实现层面的介绍就是这些,是不是很简单?但仅知道这些显然不够,你始终还是不明 ... 但觉厉。DotNetOpenAuth Authorization 框架如何做到仅这两个方法就实现了验证服务呢?好在 DotNetOpenAuth 是开源项目,我们研究一下源码就会豁然开朗。先上一张 Authorization 内部调用的示意图(点击打开大图)。
如图所示,调用始自 AuthorizationServer.HandleTokenRequestAsync,后依次经步骤1 - 9,终于 AuthorizationServerHost.CreateAccessToken 调用。其中步骤7、8、9是整个 Token 下发过程中的关键方法调用。Step 7 GetClient 获取 request 端的详细信息,之后Step 8 IsValidClientSecret 验证 ClientSecret 合法性,若验证通过则Step 9 CreateAccessToken 并下发予请求的 Client 端。逻辑示意图如下(点击打开大图)。
关键步骤7、8、9源码片段如下:
调用 GetClient,并进行 ClientSecret Validation(DotNetOpenAuth.OAuth2.ChannelElements.ClientAuthenticationModule 中 TryAuthenticateClientBySecret 方法)。
protected static ClientAuthenticationResult TryAuthenticateClientBySecret(IAuthorizationServerHost authorizationServerHost,
string clientIdentifier, string clientSecret) {
Requires.NotNull(authorizationServerHost, "authorizationServerHost"); if (!string.IsNullOrEmpty(clientIdentifier)) {
var client = authorizationServerHost.GetClient(clientIdentifier); // Step 7: GetClient returns IClientDescription
if (client != null) {
if (!string.IsNullOrEmpty(clientSecret)) {
if (client.IsValidClientSecret(clientSecret)) { // Step 8: Validate ClientSecret
return ClientAuthenticationResult.ClientAuthenticated;
} else { // invalid client secret
return ClientAuthenticationResult.ClientAuthenticationRejected;
}
}
}
}
}
ClientDescription.IsValidClientSecret 方法(DotNetOpenAuth.OAuth2.ClientDescription 中 IsValidClientSecret 方法)。
public virtual bool IsValidClientSecret(string secret) {
Requires.NotNullOrEmpty(secret, "secret");
return MessagingUtilities.EqualsConstantTime(secret, this.secret);
}
调用 CreateAccessToken 代码片段,若 Client 验证未通过,则返回 InvalidRequest(line 23)(DotNetOpenAuth.OAuth2.AuthorizationServer 中方法 HandleTokenRequestAsync)。
AccessTokenRequestBase requestMessage = await this.Channel.TryReadFromRequestAsync<AccessTokenRequestBase>(request, cancellationToken);
if (requestMessage != null) {
// Step 9: Call AuthorizationServerHost.CreateAccessToken to generate Token
var accessTokenResult = this.AuthorizationServerServices.CreateAccessToken(requestMessage);
ErrorUtilities.VerifyHost(accessTokenResult != null, "IAuthorizationServerHost.CreateAccessToken must not return null."); IAccessTokenRequestInternal accessRequestInternal = requestMessage;
accessRequestInternal.AccessTokenResult = accessTokenResult; var successResponseMessage = this.PrepareAccessTokenResponse(requestMessage, accessTokenResult.AllowRefreshToken);
successResponseMessage.Lifetime = accessTokenResult.AccessToken.Lifetime;
......
responseMessage = successResponseMessage;
} else {
// Validation failed, return error with InvalidRequest
responseMessage = new AccessTokenFailedResponse() { Error = Protocol.AccessTokenRequestErrorCodes.InvalidRequest };
}
【小结】
应用 DotNetOpenAuth 框架开发 OAuth 验证服务比较容易,但如果不了解其实现原理,开发过程中不免心虚,遇到问题也不能快速解决。所以,不仅知其然,知其所以然还是很重要的。(此篇所示代码多为示意用途,若想下载Demo,参考资料2处有详细代码,我在本篇就不贴出了。需要 DotNetOpenAuth 源码和 Sample 的,可前往官网 http://www.dotnetopenauth.net/)
参考资料:
1、[OAuth]基于DotNetOpenAuth实现Client Credentials Grant http://www.cnblogs.com/dudu/p/oauth-dotnetopenauth-client-credentials-grant.html
2、DotNetOpenAuth实践之搭建验证服务器 http://www.cnblogs.com/idefav2010/p/DotNetOpenAuth.html
3、http://www.dotnetopenauth.net/
DotNetOpenAuth Part 1 : Authorization 验证服务实现及关键源码解析的更多相关文章
- Java生鲜电商平台-秒杀系统微服务架构设计与源码解析实战
Java生鲜电商平台-秒杀系统微服务架构设计与源码解析实战 Java生鲜电商平台- 什么是秒杀 通俗一点讲就是网络商家为促销等目的组织的网上限时抢购活动 比如说京东秒杀,就是一种定时定量秒杀,在规定 ...
- netty服务端启动--ServerBootstrap源码解析
netty服务端启动--ServerBootstrap源码解析 前面的第一篇文章中,我以spark中的netty客户端的创建为切入点,分析了netty的客户端引导类Bootstrap的参数设置以及启动 ...
- 微服务配置中心 Apollo 源码解析——Admin 发送发布消息
内容参考:https://www.toutiao.com/a6643383570985386509/ 摘要: 原创出处http://www.iocoder.cn/Apollo/admin-server ...
- Netty5服务端源码解析
Netty5源码解析 今天让我来总结下netty5的服务端代码. 服务端(ServerBootstrap) 示例代码如下: import io.netty.bootstrap.ServerBootst ...
- Spring-cloud & Netflix 源码解析:Eureka 服务注册发现接口 ****
http://www.idouba.net/spring-cloud-source-eureka-client-api/?utm_source=tuicool&utm_medium=refer ...
- Netty 4源码解析:服务端启动
Netty 4源码解析:服务端启动 1.基础知识 1.1 Netty 4示例 因为Netty 5还处于测试版,所以选择了目前比较稳定的Netty 4作为学习对象.而且5.0的变化也不像4.0这么大,好 ...
- 原创:用python把链接指向的网页直接生成图片的http服务及网站(含源码及思想)
原创:用python把链接指向的网页直接生成图片的http服务及网站(含源码及思想) 总体思想: 希望让调用方通过 http调用传入一个需要生成图片的网页链接生成一个网页的图片并返回图片链接 ...
- Netty源码解析---服务端启动
Netty源码解析---服务端启动 一个简单的服务端代码: public class SimpleServer { public static void main(String[] args) { N ...
- Java生鲜电商平台-SpringCloud微服务架构中网络请求性能优化与源码解析
Java生鲜电商平台-SpringCloud微服务架构中网络请求性能优化与源码解析 说明:Java生鲜电商平台中,由于服务进行了拆分,很多的业务服务导致了请求的网络延迟与性能消耗,对应的这些问题,我们 ...
随机推荐
- yyy loves Easter_Egg I(恶心的字符串模拟)
题目背景 Soha的出题效率着实让人大吃一惊.OI,数学,化学的题目都出好了,物理的题还没有一道.于是,Huntfire,absi2011,redbag对soha进行轮番炸,准备炸到soha出来,不料 ...
- LR--用栈实现移进--归约分析(demo)
1.考虑文法 \(E->E+E\) \(E->E*E\) \(E->id\) 2.最右推导 不难看出,这个文法是而二义的,所以有多个最右推导 3.移进归约 用一个栈存文法符号,用输入 ...
- BZOJ 5248: [2018多省省队联测]一双木棋(对抗搜索)
Time Limit: 20 Sec Memory Limit: 512 MBSubmit: 439 Solved: 379[Submit][Status][Discuss] Descriptio ...
- Solr 同义词搜索
1. 进入solr配置目录 cd /usr/local/solr/solrhome/collection1/conf vi schema.xml 增加配置节 <fieldType name=& ...
- Java操作Redis(一)
一.创建项目,导入依赖 <dependency> <groupId>redis.clients</groupId> <artifactId>jedis& ...
- 学在Java之前
java基础 下载JDK JDK(Java Development Kit Java开发工具包) 官方网址: www.oracle.com 参阅oracle.html ...
- C语言——第一章,1.4程序开发过程
1.4程序开发过程 一,开发过程 1,分析问题,设计一种解决问题的途径(方案)★ 2,写出源代码 (*.c) 3,编译→(连接) *.obj→(*.exe) 4,运行*.exe (可执行程序) 二 ...
- MongoDB成为最受开发人员期待的数据库系统
本文翻译之MongoDB官方博客,原文地址:https://www.mongodb.com/blog/post/stack-overflow-research-developers-mongodb-m ...
- SQLSERVER字符串处理函数
sqlserver提供了一系列字符串处理函数:substring.left.right.len.charindex.patindex.replace.replicate.stuff.upper.low ...
- pentestbox更新msf
pentestbox成功升级msf 1. 输入 msfupdate 进行软件更新 2. 在[*] Updating gems...,软件报错,提示找不到文件路径,输入以下两条命令,尝试单独安装 g ...