那些遇到过的问题

跨两个Web API项目共享OAuth令牌

Och*_*wie 9 c# oauth asp.net-web-api

我创建了一个带有OAuth令牌认证的Web API应用程序.当令牌服务器在与服务相同的应用程序上运行时,这没有问题.但是,我想将授权服务移动到自己的应用程序(VS项目)中,并将其用于我正在处理的几个Web API项目中.但是,当我将授权逻辑隔离到它自己的项目中时,原始服务不再将生成的令牌视为有效.我的问题是,一个Web API项目是否有可能为另一个Web API项目生成令牌以进行验证?这是我的授权服务和原始服务的OWIN启动代码

认证服务:

public void Configuration(IAppBuilder app)
    {
        // For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=316888
        HttpConfiguration config = new HttpConfiguration();

        ConfigureOAuth(app);

        WebApiConfig.Register(config);
        app.UseWebApi(config);
        app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
    }

    private void ConfigureOAuth(IAppBuilder app)
    {
        OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
        {
            AllowInsecureHttp = true,
            TokenEndpointPath = new PathString("/token"),
            AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
            Provider = new SimpleAuthorizationServerProvider()
        };

        // Token Generation
        app.UseOAuthAuthorizationServer(OAuthServerOptions);
        app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
    }
Run Code Online (Sandbox Code Playgroud)

原始服务:

public void Configuration(IAppBuilder app)
    {
        ConfigureOAuth(app);
        // For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=316888
        HttpConfiguration config = new HttpConfiguration();

        config.SuppressDefaultHostAuthentication();
        config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType));


        WebApiConfig.Register(config);

        app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
        app.UseWebApi(config);
    }

    public void ConfigureOAuth(IAppBuilder app)
    {
        var oauthBearerOptions = new OAuthBearerAuthenticationOptions();
        app.UseOAuthBearerAuthentication(oauthBearerOptions);
    }
Run Code Online (Sandbox Code Playgroud)

Ian*_*Ian 6

在自己研究的同时偶然发现了这个Q。TL; DR的答案是,令牌是使用machine.config文件中的machineKey属性生成的:如果要在多个服务器上托管,则需要覆盖它。

可以在web.config中覆盖MachineKey: 

<system.web>
<machineKey validationKey="VALUE GOES HERE" 
            decryptionKey="VALUE GOES HERE" 
            validation="SHA1" 
            decryption="AES"/>
</system.web>
Run Code Online (Sandbox Code Playgroud)

机器密钥应在本地生成-使用在线服务并不安全。生成密钥的知识库文章

所有这方面的原始参考http://bitoftech.net/2014/09/24/decouple-owin-authorization-server-resource-server-oauth-2-0-web-api

归档时间:

查看次数:

6099 次

最近记录:

7 年,3 月 前
获取当前的ASP.NET机器密钥 16
跨Asp.NET Core和Framework的数据保护提供程序(生成密码重置链接) 11
ResetPassword Token它存储的方式和位置? 4
更多相关链接
相关归档
在C#中创建"运行一次"时间延迟函数的最佳方法 42
模型在MVVM中的作用 38
如何在每个ASP.NET WebApi请求上对JWT令牌应用自定义验证? 13
Socialauth-android获取oAuth-token并在设备上使用帐户信息 9
是否需要SSL才能使用google plus api? 7
传递oauth令牌请求的授权标头 6
HTML5:捕获从Web浏览器组合的音频和视频 5
使用OAuth2/OpenId Connect和微服务进行身份验证和授权 5
Unity中的OAuth2身份验证和操作 3
带有 .net Core 的 Angular Cookie 1
难疑归档
什么是正确的JSON内容类型? 9962
从脚本本身获取Bash脚本的源目录 4672
如何正确克隆JavaScript对象? 2922
在Python中查找包含它的列表的项目的索引 2887
如何制作一系列功能装饰器? 2647
如何检测元素外部的单击? 2367
.NET中的decimal,float和double之间的区别? 2015
JavaScript中的'new'关键字是什么? 1684
enctype ='multipart/form-data'是什么意思? 1290
用于更新和删除的HTTP状态代码? 1264