如何通过 DotNetOpenAuth 使用 OAuth2 访问令牌授权对 ServiceStack 资源的访问?

【问题标题】:How do I authorize access to ServiceStack resources using OAuth2 access tokens via DotNetOpenAuth?如何通过 DotNetOpenAuth 使用 OAuth2 访问令牌授权对 ServiceStack 资源的访问?
【发布时间】:2013-08-15 17:02:44
【问题描述】:

我已经使用 DotNetOpenAuth 创建了一个 OAuth2 授权服务器,它工作正常 - 我正在使用资源所有者密码流,并成功地将用户凭据交换为访问令牌。

我现在想使用该访问令牌从 ServiceStack API 中的安全端点检索数据,但我不知道该怎么做。我检查了 ServiceStack 中包含的 Facebook、Google 等提供商,但不清楚我是否应该遵循相同的模式。

我想要实现的(我认为!)是

  1. OAuth 客户端(我的应用)要求资源所有者(“Catherine Smith”)提供凭据
  2. 客户端授权服务器提交请求,收到一个访问令牌
  3. 客户端资源服务器请求一个安全的资源 (GET /users/csmith/photos)
    • 访问令牌包含在 HTTP 标头中,例如Authorization: Bearer 1234abcd...
  4. 资源服务器解密访问令牌以验证资源所有者的身份
  5. 资源服务器检查资源所有者是否有权访问请求的资源
  6. 资源服务器资源返回给客户端

第 1 步和第 2 步有效,但我不知道如何将 DotNetOpenAuth 资源服务器代码与 ServiceStack 授权框架集成。

在某处有我将如何实现这一目标的示例吗?我在 How to build secured api using ServiceStack as resource server with OAuth2.0? 找到了类似的 StackOverflow 帖子,但它不是一个完整的解决方案,而且似乎没有使用 ServiceStack 授权提供程序模型。

编辑:更多细节。这里有两个不同的网络应用程序。一个是身份验证/授权服务器 - 它不托管任何客户数据(即没有数据 API),但公开 /oauth/token 方法,该方法将接受用户名/密码并返回 OAuth2 访问令牌和刷新令牌,以及提供令牌刷新功能。这是基于 ASP.NET MVC 构建的,因为它与 DotNetOpenAuth 中包含的 AuthorizationServer 示例几乎相同。这可能会在以后被替换,但现在它是 ASP.NET MVC。

对于实际的数据 API,我使用的是 ServiceStack,因为我发现它比 WebAPI 或 MVC 在公开 ReSTful 数据服务方面要好得多。

所以在下面的例子中:

客户端是在用户本地机器上运行的桌面应用程序,Auth服务器是ASP.NET MVC + DotNetOpenAuth,资源服务器 strong> 是 ServiceStack

所需的 DotNetOpenAuth 代码的特定 sn-p 是:

// scopes is the specific OAuth2 scope associated with the current API call.
var scopes = new string[] { "some_scope", "some_other_scope" }

var analyzer = new StandardAccessTokenAnalyzer(authServerPublicKey, resourceServerPrivateKey);
var resourceServer = new DotNetOpenAuth.OAuth2.ResourceServer(analyzer);
var wrappedRequest = System.Web.HttpRequestWrapper(HttpContext.Current.Request);
var principal = resourceServer.GetPrincipal(wrappedRequest, scopes);

if (principal != null) {
    // We've verified that the OAuth2 access token grants this principal
    // access to the requested scope.
}

所以,假设我走在正确的轨道上,我需要做的是在 ServiceStack 请求管道中的某处运行该代码,以验证 API 请求中的 Authorization 标头是否代表已授予访问权限的有效委托人请求的范围。

我开始认为实现这一点最合乎逻辑的地方是在我用来装饰我的 ServiceStack 服务实现的自定义属性中:

using ServiceStack.ServiceInterface;
using SpotAuth.Common.ServiceModel;

namespace SpotAuth.ResourceServer.Services {
    [RequireScope("hello")]
    public class HelloService : Service {
        public object Any(Hello request) {
            return new HelloResponse { Result = "Hello, " + request.Name };
        }
    }
}

这种方法还允许指定每个服务方法所需的范围。然而,这似乎与 OAuth2 背后的“可插拔”原则以及 ServiceStack 的 AuthProvider 模型中内置的可扩展性挂钩完全相反。

换句话说 - 我担心我会用鞋子敲钉子,因为我找不到锤子......

【问题讨论】:

  • OpenId Auth Providers for ServiceStack 是否适合您的需求?这是文档 - OpenId 2.0 Authentication Support
  • 这个包可能会提供一个有用的代码示例:Configure an ServiceStack backend to accept OAuth2 Bearer tokens
  • 至于授权,关于内置角色和权限支持的推荐阅读在这里:stackoverflow.com/questions/12095094/…,这是一个比您链接的更完整的添加自定义 OAuth 提供程序的示例:davetimmins.wordpress.com/2013/04/12/… - - 你是对的。我没有看到任何将 OAuth 身份验证与角色和权限授权完全集成在一起的示例。
  • 再次返回。 ServiceStack 在您的实施中扮演什么角色?我一直以为SS会提供资源,需要通过资源服务器确认授权。但是你上面的大纲,让资源服务器将资源返回给客户端。这就引出了一个问题——在那种情况下,你需要什么服务堆栈?而且,如果您使用 ServiceStack 将资源传递给客户端,为什么需要 DNOA 资源服务器? SS 是否为客户端提供了一个门面,隐藏了资源和身份验证服务器实现的细节?

标签: oauth-2.0 servicestack dotnetopenauth


【解决方案1】:

好的,在使用调试器很多单步执行各种库之后,我认为您可以这样做:https://github.com/dylanbeattie/OAuthStack

有两个关键的集成点。首先,在服务器上使用自定义过滤器属性来装饰应使用 OAuth2 授权保护的资源端点:

 /// <summary>Restrict this service to clients with a valid OAuth2 access 
/// token granting access to the specified scopes.</summary>
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true)]
public class RequireOAuth2ScopeAttribute : RequestFilterAttribute {
    private readonly string[] oauth2Scopes;
    public RequireOAuth2ScopeAttribute(params string[] oauth2Scopes) {
        this.oauth2Scopes = oauth2Scopes;
    }

    public override void Execute(IHttpRequest request, IHttpResponse response, object requestDto) {
        try {
            var authServerKeys = AppHostBase.Instance.Container.ResolveNamed<ICryptoKeyPair>("authServer");
            var dataServerKeys = AppHostBase.Instance.Container.ResolveNamed<ICryptoKeyPair>("dataServer");
            var tokenAnalyzer = new StandardAccessTokenAnalyzer(authServerKeys.PublicSigningKey, dataServerKeys.PrivateEncryptionKey);
            var oauth2ResourceServer = new DotNetOpenAuth.OAuth2.ResourceServer(tokenAnalyzer);
            var wrappedRequest = new HttpRequestWrapper((HttpRequest)request.OriginalRequest);
            HttpContext.Current.User = oauth2ResourceServer.GetPrincipal(wrappedRequest, oauth2Scopes);
        } catch (ProtocolFaultResponseException x) {
            // see the GitHub project for detailed error-handling code
            throw;
        }
    }
}

其次,这是连接到 ServiceStack HTTP 客户端管道并使用 DotNetOpenAuth 将 OAuth2 Authorization: Bearer {key} 令牌添加到传出请求的方式:

// Create the ServiceStack API client and the request DTO
var apiClient = new JsonServiceClient("http://api.mysite.com/");
var apiRequestDto = new Shortlists { Name = "dylan" };

// Wire up the ServiceStack client filter so that DotNetOpenAuth can 
// add the authorization header before the request is sent
// to the API server
apiClient.LocalHttpWebRequestFilter = request => {
    // This is the magic line that makes all the client-side magic work :)
    ClientBase.AuthorizeRequest(request, accessTokenTextBox.Text);
}

// Send the API request and dump the response to our output TextBox
var helloResponseDto = apiClient.Get(apiRequestDto);

Console.WriteLine(helloResponseDto.Result);

授权请求会成功;缺少令牌、过期令牌或范围不足的请求将引发WebServiceException

这仍然是非常概念验证的东西,但似乎工作得很好。我欢迎任何比我更了解 ServiceStack 或 DotNetOpenAuth 的人提供反馈。

【讨论】:

    【解决方案2】:

    更新 进一步思考,您最初的想法是创建一个 RequiredScope 属性将是一种更简洁的方法。将它添加到 ServiceStack 管道就像添加 IHasRequestFilter 接口一样简单,实现自定义请求过滤器,如下所述:https://github.com/ServiceStack/ServiceStack/wiki/Filter-attributes

    public class RequireScopeAttribute : Attribute, IHasRequestFilter {
  public void RequireScope(IHttpRequest req, IHttpResponse res, object requestDto)
  {
      //This code is executed before the service
      //Close the request if user lacks required scope
  }

  ...
}

    然后按照您的概述装饰您的 DTO 或服务:

    using ServiceStack.ServiceInterface;
using SpotAuth.Common.ServiceModel;

namespace SpotAuth.ResourceServer.Services {
    [RequireScope("hello")]
    public class HelloService : Service {
        public object Any(Hello request) {
            return new HelloResponse { Result = "Hello, " + request.Name };
        }
    }
}

    您的 RequireScope 自定义过滤器与 ServiceStack's RequiredRoleAttribute implementation. 几乎相同,因此请使用它作为编写代码的起点。

    或者,您可以将范围映射到权限。然后相应地装饰您的 DTO 或服务(see SS wiki 了解详细信息),例如:

    [Authenticate]
[RequiredPermission("Hello")]
    public class HelloService : Service {
        public object Any(Hello request) {
            return new HelloResponse { Result = "Hello, " + request.Name };
        }
    }

    ServiceStack 通常在 IAuthSession 中调用方法 bool HasPermission(string permission)。此方法检查 IAuthSession 中的 List Permissions 列表是否包含所需的权限,因此,在自定义 IAuthSession 中,您可以覆盖 HasPermission 并将您的 OAuth2 范围检查在那里。

    【讨论】:

    • 实际上,您似乎想要覆盖 HasPermission,但同样的原则适用,代码在您的 IAuthSession 实现中。
    • 修改了我的答案,建议使用自定义请求过滤器作为比创建自定义 IAuthSession 和覆盖 HasPermission() 更好的解决方案
    • 接受为我指出正确的方向 - 谢谢! - 但请参阅我自己的答案以获得完整的实施和解释。
    猜你喜欢
    • 2018-06-13
    • 2020-01-03
    • 1970-01-01
    • 2015-06-12
    • 2015-10-11
    • 2016-10-13
    • 2017-06-27
    • 2019-05-27
    • 2022-10-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode