zoukankan      html  css  js  c++  java
  • 创建自己的OAuth2.0服务端(一)

    如果对OAuth2.0有任何的疑问,请先熟悉OAuth2.0基础的文章:http://www.cnblogs.com/alunchen/p/6956016.html

    1. 前言

    本篇文章时对 客户端的授权模式-授权码模式 的创建,当然你理解的最复杂的模式之后,其他模式都是在授权码模式上面做一些小改动即可。对于授权码模式有任何的疑问,请看上面提到的文章。

    注意:本文是创建OAuth的Server端,不是Client请求端。

    2. 开始授权码模式的概念、流程

    第2点其实就是复制了上一篇文章,为了提高阅读性,读过上一篇文章的可略过第2点。

    授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

    流程图:

    image

    图说明:

      (A)用户访问客户端,后者将前者导向认证服务器。

      (B)用户选择是否给予客户端授权。

      (C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

      (D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

      (E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

    下面是上面这些步骤所需要的参数。

    A步骤中,客户端申请认证的URI,包含以下参数:

    • response_type:表示授权类型,必选项,此处的值固定为"code"
    • client_id:表示客户端的ID,必选项
    • redirect_uri:表示重定向URI,可选项
    • scope:表示申请的权限范围,可选项
    • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

    例子:

    GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
            &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

    C步骤中,服务器回应客户端的URI,包含以下参数:

    • code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
    • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

    例子:

    HTTP/1.1 302 Found
    Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
              &state=xyz

    D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:

    • grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
    • code:表示上一步获得的授权码,必选项。
    • redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
    • client_id:表示客户端ID,必选项。

    例子:

    POST /token HTTP/1.1
    Host: server.example.com
    Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

    E步骤中,认证服务器发送的HTTP回复,包含以下参数:

    • access_token:表示访问令牌,必选项。
    • token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
    • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
    • refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
    • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

    例子:

    HTTP/1.1 200 OK
         Content-Type: application/json;charset=UTF-8
         Cache-Control: no-store
         Pragma: no-cache
    
         {
           "access_token":"2YotnFZFEjr1zCsicMWpAA",
           "token_type":"example",
           "expires_in":3600,
           "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
           "example_parameter":"example_value"
         }
    

    从上面代码可以看到,相关参数使用JSON格式发送(Content-Type: application/json)。此外,HTTP头信息中明确指定不得缓存。

    3. 开始写自己的OAuth2.0服务端代码(C#)

    如果有错误的地方,欢迎指正,作者也不保证完全正确。

    这里介绍的是C#,当然你可以用你自己的语言写,大同小异。(没用到第三方关于OAuth2.0的框架)

    作者在开始理解OAuth2.0的概念时,化了一段比较长的时间。从微信授权开始接触OAuth2.0的概念,后来写了一套第三方微信授权的小程序,慢慢消化OAuth2.0。

    说实在的,OAuth2.0安全在于,提供了code、access_token,来绑定我们的用户信息。并且code、access_token有过期的时间。所以,关键在于理解code与access_token的作用。

    开始代码,我们创建一个MVC的程序,这里叫做MyOAuth2Server。

    3.1开始授权验证

    第一步,开始授权验证,并且跳转到指定的授权页面。

    先上代码,然后再分析:

            /// <summary>
            /// 第一步,开始授权验证
             /// 指定到用户授权的页面
             /// </summary>
            /// <param name="client_id"></param>
            /// <param name="response_type"></param>
            /// <param name="redirect_uri"></param>
            /// <param name="state"></param>
            /// <param name="scope"></param>
            /// <returns></returns>
            public ActionResult Authorize(string client_id, string response_type, string redirect_uri, string scope, string state = "")
            {
                if ("code".Equals(response_type))
                {
                    //判断client_id是否可用
                    if (!_oAuth2ServerServices.IsClientIdValied(client_id))
                        return this.Json("client_id 无效", JsonRequestBehavior.AllowGet);
    
                    //保存用户请求的所有信息到指定容器(session)
                       Session.Add("client_id", client_id);
                    Session.Add("response_type", response_type);
                    Session.Add("redirect_uri", redirect_uri);
                    Session.Add("state", state);
                    Session.Add("scope", scope);
                    //重定向到用户授权页面(当然你可以自定义自己的页面)
                    return View("Authorize");
                }
                return View("Error");
            }

    客户端会授权会请求我们授权验证方法,

         首先,验证client_id是否可用,这里的client_id是为了保证安全性,确保请求端是服务端给予请求或者授权的权利。简单地说,就是请求端在用此服务端之前要申请唯一的一个client_id;

         然后,在把客户端传过来的信息保存在Session(你也可以保存在其他地方);

         最后,跳转到用户操作的,是否给予授权的页面(可以是点击一个确定授权的按钮,类似于微信授权。也可以是输入用户名&密码等的页面)。

    下面我们看一下 return View("Authorize"); 这句代码所返回给用户许可的页面:

    @{
        Layout = null;
    }
    <!DOCTYPE html>
    <html>
    <head>
        <meta name="viewport" content="width=device-width" />
        <title>授权验证</title>
    </head>
    <body>
        <div>
            你确定给用户授权吗?
            <form action="/OAuth2Server/Authenticate" method="post" id="login_form">
                <br /><br />
                <table class="form_field">
                    <tr>
                        <td class="right">
                            User:
                        </td>
                        <td>
                            <input type="text" name="user" id="user" style=" 12em;">
                        </td>
                    </tr>
                    <tr>
                        <td class="right">
                            Password:
                        </td>
                        <td>
                            <input type="password" name="password" id="password" style=" 12em;">
                        </td>
                    </tr>
                    <tr></tr>
                </table>
                <div class="action">
                    <input type="submit" value="授权" />
                </div>
                <br />
            </form>
        </div>
    </body>
    </html>

    从上面可以看到,用户确定授权后会提交信息到Authenticate方法,下面我们看看Authenticate到底是做了什么。

    3.2验证并返回code到请求端

    我们这里是用户名与密码验证,当然你也可以用其他验证。(比如用户点击一个授权允许的按钮就可以了)

         首先,在OAuth2.0服务端上验证用户输入的用户名与密码是否正确;

         然后,生成code,并且设定code的生存时间,默认是30秒。(code只能用一次,之后要删除);

         再绑定code与用户信息(用户唯一键);

         最后,重定向回redirect_uri请求的地址,并且返回code与state。(state是请求端那边想要用于处理一些业务逻辑所用到的,当然可以为空)

    上代码

            /// <summary>
            /// 第二步,用户确认授权后的操作。
             /// 用户确认授权后,则返回code、access_token,并重定向到redirect_uri所指定的页面
             /// </summary>
            /// <returns></returns>
            public ActionResult Authenticate()
            {
                var username = Request["user"] ?? "";
                var password = Request["password"] ?? "";
    
                //取得重定向的信息
                var redirect_uri = Session["redirect_uri"] ?? "";
                var state = Session["state"] ?? "";
                string code = TokenCodeUtil.GetCode();
    
                //验证用户名密码
                if (!_oAuth2ServerServices.IsUserValied(username, password))
                    return this.Json("用户名或密码不正确", JsonRequestBehavior.AllowGet);
    
                //保存code到DB/Redis,默认存在30秒
                _oAuth2ServerServices.SaveCode(code);
                //绑定code与userid,因为后面查询用户信息的时候要用到,默认存在30秒
                _oAuth2ServerServices.BingCodeAndUser(username, code);
                //重定向
                string url = string.Format(HttpUtility.UrlDecode(redirect_uri.ToString()) + "?code={0}&state={1}", code, state);
                Response.Redirect(url);
    
                return null;
            }

    上面,已经完成了code的使命,并且返回到了请求端。

    下面,我们来看看怎么获取token。

    3.3获取token

    在请求端获取到code之后,请求端要获取token,因为获取了token请求端才能获取到用户信息等资料。

         首先,把token设置成不能保持cache的状态,为了保证安全性;

         然后,判断是获取token还是刷新token的状态;

         再验证code是否过期,验证client_id、client_secret是否正确;

         再生成token,把token存入容器(DB、Redis、Memory等)中;

         在通过code来获取用户的信息,把用户信息(主键)与token做绑定;

         最后,把code删除(code只能用一次,如果想再获取token只能第一步开始重新做),返回token。

    上代码:

            /// <summary>
            /// 获取或刷新token。
             /// token可能保存在DB/Redis等
             /// </summary>
            /// <param name="code"></param>
            /// <param name="grant_type"></param>
            /// <param name="client_id"></param>
            /// <param name="client_secret"></param>
            /// <returns></returns>
            public ActionResult GetToken(string code, string grant_type, string client_id, string client_secret)
            {
                Response.ContentType = "application/json";
                Response.AddHeader("Cache-Control", "no-store");
    
                //获取token
                if (grant_type == "authorization_code")
                {
                    //判断code是否过期
                    if (!_oAuth2ServerServices.IsCodeValied(code, DateTime.Now))
                        return this.Json("code 过期", JsonRequestBehavior.AllowGet);
                    //判断client_id与client_secret是否正确
                    if (!_oAuth2ServerServices.IsClientValied(client_id, client_secret))
                        return this.Json("client_id、client_secret不正确", JsonRequestBehavior.AllowGet);
                    //新建token
                    string access_token = TokenCodeUtil.GetToken();
                    //保存token,默认是30分钟
                    _oAuth2ServerServices.SaveToken(access_token);
                    //通过code获取userid,然后用token与userid做绑定,最后把code设置成消失(删除)
                    string userId = _oAuth2ServerServices.GetUserIdFromCode(code);
                    if (string.IsNullOrEmpty(userId))
                        return this.Json("code过期", JsonRequestBehavior.AllowGet);
                    _oAuth2ServerServices.BingTokenAndUserId(access_token, userId);
                    _oAuth2ServerServices.RemoveCode(code);
    
                    //返回token
                    return this.Json(access_token, JsonRequestBehavior.AllowGet);
                }
                //刷新token
                else if (grant_type == "refresh_token")
                {
                    //新建token
                    string new_access_token = TokenCodeUtil.GetToken();
                    //替换保存新的token,默认是30分钟
    
                    //返回新建的token
                    return this.Json(new_access_token, JsonRequestBehavior.AllowGet);
                }
                return this.Json("error grant_type=" + grant_type, JsonRequestBehavior.AllowGet);
            }

    3.4通过token获取用户信息

    上面请求端已经获取到了token,所以这里只需要验证token,token验证通过就直接返回用户信息。

    验证token包括验证是否存在、验证是否过期。

            /// <summary>
            /// 通过token获取用户信息
            /// </summary>
            /// <param name="oauth_token"></param>
            /// <returns></returns>
            public ActionResult UserInfo(string oauth_token)
            {
                if(!_oAuth2ServerServices.IsTokenValied(oauth_token, DateTime.Now))
                    return this.Json("oauth_token无效", JsonRequestBehavior.AllowGet);
                UserInfo u = _oAuth2ServerServices.GetUserInfoFromToken(oauth_token);
                return this.Json(u, JsonRequestBehavior.AllowGet);
            }

    4. 结语

    到此,我们写OAuth2.0服务端的代码已经结束了。

    附上源码:https://github.com/cjt321/MyOAuth2Server

    下一篇将介绍请求端怎么请求我们的服务端,来测试流程、代码是否正确:http://www.cnblogs.com/alunchen/p/6957785.html

    可以关注本人的公众号,多年经验的原创文章共享给大家。

  • 相关阅读:
    idea中git分支的使用
    常用的分布式事务解决方案
    分布式事务解决方案总结
    IDEA中Git的更新、提交、还原方法
    (超详细)使用git命令行将本地仓库代码上传到github或gitlab远程仓库
    Git 安装及用法 github 代码发布 gitlab私有仓库的搭建
    主机ping不通虚拟机,但是虚拟机能ping通主机
    Compile Graphics Magick, Boost, Botan and QT with MinGW64 under Windows 7 64
    windows
    mingw-w64线程模型:posix vs win32(posix允许使用c++11的std:: thread,但要带一个winpthreads,可能需要额外dll)
  • 原文地址:https://www.cnblogs.com/alunchen/p/6957762.html
Copyright © 2011-2022 走看看