Dotnetopenauth - 使用 WebAPI 的资源所有者密码凭证流

Question

我计划向移动应用程序公开现有的 ASP.NET WebAPI API。我想通过 Dotnetopenauth 使用 OAuth2 资源所有者密码凭据流，以便用户可以在我们的移动应用程序登录屏幕中输入他们的用户名和密码（而不是在 Web 查看器中打开屏幕等）并接收身份验证令牌。

因此，我们的设置如下：

• 资源服务器 - 使用 ASP.NET Web API 构建的 API
• 客户端 - 移动应用程序
• 资源所有者 - 最终用户

我一直在使用OAuth2ProtectedWebApi sample，虽然我了解它在做什么，但我不确定如何将其转换为资源所有者密码凭据流。

我的问题是：

• 我是否应该直接从我的登录页面向 TokenController 发布请求，完全绕过本示例中的 UserController？
• 在资源所有者密码凭证流中，应该在哪里完成授权？例如，为了根据 Active Directory 或数据库验证用户名：密码，该逻辑应该放在这样的流程中的什么位置？

任何建议将不胜感激，

谢谢

日本

Answer 1

为什么要使用 DNOA？资源所有者流现在是 Web API v2 的一部分 - 并且很容易实现。

我在这里写了一个演练： http://leastprivilege.com/2013/11/13/embedding-a-simple-usernamepassword-authorization-server-in-web-api-v2/

本文描述了流程以及在何处进行用户身份验证。