在 Web Api 2 中授予刷新令牌时更新角色

2024-04-03

我在 Asp.Net Web Api 2 中开发了一种身份验证机制，具有授予刷新令牌的功能，基于以下教程泰瑟尔的博客。 http://bitoftech.net/2014/06/09/angularjs-token-authentication-using-asp-net-web-api-2-owin-asp-net-identity/

这是我的问题。假设以下场景：用户使用密码登录并获取刷新令牌和访问令牌。访问令牌实际上包括他所扮演的角色（因此他在应用程序中的权限）。同时系统管理员将更改此人的角色，因此一旦他的访问令牌过期并且他想要使用刷新令牌来获取新的访问令牌，他的新访问令牌必须包含他新更新的角色。

在我的“RefreshTokenProvider”类中，我在“GrantResourceOwnerCredentials”方法中使用以下代码从数据库获取用户角色并将其添加到声明中：

var roleManager = new RoleManager<IdentityRole>(new RoleStore<IdentityRole>(new ApplicationDbContext()));
        var y = roleManager.Roles.ToList();

        var id = new ClaimsIdentity(context.Options.AuthenticationType);
        id.AddClaim(new Claim(ClaimTypes.Name, context.UserName));
        id.AddClaim(new Claim("sub", context.UserName));

        var roles2 = UserRoleManagerProvider.RoleManager().Roles.ToList();

        foreach (IdentityRole i in roles2)
        {
            if (roleIds.Contains(i.Id))
                id.AddClaim(new Claim(ClaimTypes.Role, i.Name));
        }

这件作品工作得很好（尽管我相信应该有更好的方法来做到这一点？！）

但无法正常工作的部分是在“GrantRefreshToken”方法中，我们需要更新角色以便将它们反映在新的访问令牌中：

var newId = new ClaimsIdentity(context.Ticket.Identity);

        // *** Add shit here....

        var userId = context.Ticket.Properties.Dictionary["userId"];
        IdentityUser user = UserRoleManagerProvider.UserManager().FindById(userId);

        foreach (Claim c in newId.Claims)
        {
            if (c.Type == ClaimTypes.Role) newId.RemoveClaim(c);
        }

        if (user.Roles.Count > 0)
        {
            var roleIds = new List<string>();
            var roles2 = UserRoleManagerProvider.RoleManager().Roles.ToList();
            foreach (IdentityUserRole ir in user.Roles)
            {
                roleIds.Add(ir.RoleId);
            }
            foreach (IdentityRole r in roles2)
            {
                if (roleIds.Contains(r.Id))
                    newId.AddClaim(new Claim(ClaimTypes.Role, r.Name));
            }
        }

再次强调，如果有更好的方法，我将不胜感激您的帮助！但主要的问题是，用于删除不再有效的角色的部分不起作用。你知道那件作品有什么问题吗？

仅供参考，在上面的代码中，“UserRoleManagerProvider”是我创建的一个简单的静态类，如下所示：

public static class UserRoleManagerProvider
{
    public static RoleManager<IdentityRole> RoleManager()
    {
        var roleManager = new RoleManager<IdentityRole>(new RoleStore<IdentityRole>(new ApplicationDbContext()));
        return roleManager;
    }

    public static UserManager<IdentityUser> UserManager()
    {
        var userManager = new UserManager<IdentityUser>(new UserStore<IdentityUser>(new ApplicationDbContext()));
        return userManager;
    }


}

这个问题很难回答，而且由于需要包含的内容很多，所以我尝试将一些问题分开。

Claims

有两种方法可以将声明添加到 ClaimsIdentity。

将声明保留在存储中（数据库中的表 AspNetUserClaims、AspNetRoleClaims）。要添加声明，请使用 UserManager.AddClaim 或 RoleManager.AddClaim。角色 (AspNetUserRoles) 很特殊，因为它们也被算作声明。
在代码中添加声明。您可以从 ApplicationUser 类（对于 IdentityUser 的扩展属性有用）或在流程中添加声明。

请注意区别！虽然在所有情况下都称为 AddClaim，但第一个变体将声明添加到存储中，而第二个变体将声明直接添加到 ClaimsIdentity。

那么如何将持久声明添加到 ClaimsIdentity 中呢？这是自动完成的！

顺便说一句，您可以使用属性扩展 IdentityUser，但也可以将用户声明添加到存储中。在这两种情况下，声明都会添加到 ClaimsIdentity 中。必须在 ApplicationUser.GenerateUserIdentityAsync 中添加扩展属性：

public class ApplicationUser : IdentityUser
{
    public string DisplayName { get; set; }

    public async Task<ClaimsIdentity> GenerateUserIdentityAsync(UserManager<ApplicationUser> manager)
    {
        var userIdentity = await manager.CreateIdentityAsync(this, DefaultAuthenticationTypes.ApplicationCookie);

        // Add custom user claims here
        userIdentity.AddClaim(new Claim("DisplayName", DisplayName));

        return userIdentity;
    }
}

Flow

在发出新的 access_token 之前，服务器必须验证用户。可能有一些原因导致服务器无法颁发新的access_token。还必须考虑更改的配置。有两个提供者可以进行此设置。 access_token 提供程序和refresh_token 提供程序。

当客户端向令牌端点发出请求（grant_type = *）时，首先执行 AccessTokenProvider.ValidateClientAuthentication。如果您正在使用 client_credentials 那么您可以在这里做一些事情。但对于当前的流量，我们假设context.Validated();

提供商支持各种流程。你可以在这里读到它：https://msdn.microsoft.com/en-us/library/microsoft.owin.security.oauth.oauthauthorizationserverprovider(v=vs.113).aspx https://msdn.microsoft.com/en-us/library/microsoft.owin.security.oauth.oauthauthorizationserverprovider(v=vs.113).aspx

该提供商是作为选择加入而构建的。如果您不重写某些方法，则访问将被拒绝。

访问令牌

要获取访问令牌，必须发送凭据。对于这个例子，我将假设“grant_type = password”。在 AccessTokenProvider.GrantResourceOwnerCredentials 中，检查凭据、设置 ClaimsIdentity 并颁发令牌。

为了将refresh_token添加到票证中，我们需要重写AccessTokenProvider.GrantRefreshToken。这里你有两个选择：拒绝令牌。因为refresh_token被撤销或者由于其他原因不允许用户再使用刷新令牌。或者设置一个新的 ClaimsIdentity 来为票证生成一个新的 access_token。

class AccessTokenProvider : OAuthAuthorizationServerProvider
{
    public override async Task GrantRefreshToken(OAuthGrantRefreshTokenContext context)
    {
        // Reject token: context.Rejected(); Or:

        // chance to change authentication ticket for refresh token requests
        var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
        var appUser = await userManager.FindByNameAsync(context.Ticket.Identity.Name);
        var oAuthIdentity = await appUser.GenerateUserIdentityAsync(userManager);
        var newTicket = new AuthenticationTicket(oAuthIdentity, context.Ticket.Properties);

        context.Validated(newTicket);
    }

    public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {
        var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();
        var appUser = await userManager.FindAsync(context.UserName, context.Password);
        if (appUser == null)
        {
            context.SetError("invalid_grant", "The user name or password is incorrect.");
            return;
        }

        var propertyDictionary = new Dictionary<string, string> { { "userName", appUser.UserName } };
        var properties = new AuthenticationProperties(propertyDictionary);

        var oAuthIdentity = await appUser.GenerateUserIdentityAsync(userManager);
        var ticket = new AuthenticationTicket(oAuthIdentity, properties);

        // Token is validated.
        context.Validated(ticket);
    }
}

如果上下文有经过验证的票证，则调用 RefreshTokenProvider。在 Create 方法中，您可以设置过期时间并选择将刷新令牌添加到票证中。当前令牌尚未过期时，请勿发行新令牌。否则用户可能永远不必再次登录！

如果刷新令牌以某种方式保留下来，您始终可以添加它。或者您可以仅在登录时添加新的刷新令牌。用户已被识别，因此“旧”refresh_token 不再重要，因为它会在新的refresh_token 之前过期。如果您只想使用一个活动的 refesh_token，那么您必须保留它。

class RefreshTokenProvider : AuthenticationTokenProvider
{
    public override void Create(AuthenticationTokenCreateContext context)
    {
        var form = context.Request.ReadFormAsync().Result;
        var grantType = form.GetValues("grant_type");

        // do not issue a new refresh_token if a refresh_token was used.
        if (grantType[0] != "refresh_token")
        {
            // 35 days.
            int expire = 35 * 24 * 60 * 60;
            context.Ticket.Properties.ExpiresUtc = new DateTimeOffset(DateTime.Now.AddSeconds(expire));
            // Add the refresh_token to the ticket.
            context.SetToken(context.SerializeTicket());
        }
        base.Create(context);
    }

    public override void Receive(AuthenticationTokenReceiveContext context)
    {
        context.DeserializeTicket(context.Token);
        base.Receive(context);
    }
}

这只是刷新令牌流程的简单实现，尚未完成或经过测试。这只是为了给您一些关于实现刷新令牌流程的想法。正如您所看到的，向 ClaimsIdentity 添加声明并不难。我没有添加维护持久声明的代码。重要的是坚持不懈的主张是自动地 added!

请注意，我在使用refresh_token刷新access_token时重置了ClaimsIdentity（新票证）。这将创建一个具有当前声明状态的新 ClaimsIdentity。

我将以最后一句话结束。我说的是角色就是主张。您可能期望 User.IsInRole 检查 AspNetUserRoles 表。但事实并非如此。由于角色是声明，因此它会检查声明集合中是否有可用的角色。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

在 Web Api 2 中授予刷新令牌时更新角色的相关文章

如何使用 cURL（或任何命令行工具）通过 OAuth 身份验证将 HTTP Post 发送到 Twitter？

我希望使用命令行应用程序例如cURL http en wikipedia org wiki CURL cURL 在我的测试 Twitter 帐户上发布一些测试帖子我也希望通过 OAuth 身份验证来做到这一点我怎样才能做到这一点假设
安装 oAuth PECL 错误：无法安装，当前用户无法写入频道“pecl.php.net”的 php_dir

我尝试在 OS X 上安装 oAuth 但在终端中收到此错误无法安装当前用户无法写入频道 pecl php net 的 php dir 我如何让它可写首先找出php dir在哪里您可以使用 config get 命令来执行此操作 p
在 Postman 中的后续请求中使用身份验证令牌

我的应用程序 API 需要通过身份验证令牌进行身份验证简而言之我们向 authentication端点它使用包含令牌的 JSON 对象进行响应例如 token xxxxxxxxxxxxxxxxxxxxxx 我们应用程序中的每个其他
基于资源的访问控制与基于角色的访问控制

我正在学习 Apache Shiro 发现了这篇文章新的 RBAC 基于资源的访问控制 http www stormpath com blog new rbac resource based access control 作者说您可以将
瓦廷 Windows 身份验证

我正在尝试为使用集成身份验证的 Intranet 应用程序编写 Watin 测试我尝试测试的网页打印 Page User Identity Name 这是我测试的一些代码 if Win32 LogonUser u UserName u D
DMARC/SPF/DKIM 未使用第三方邮件进行身份验证

我们最近为我们的域实施了 DMARC 记录 v DMARC1 p 隔离 pct 100 rua mailto 电子邮件受保护 cdn cgi l email protection 隔离 100 未经身份验证的电子邮件并将汇总报告发送给我
在 Angular 4 中处理来自 Api 的过期令牌

我需要帮助来处理我的角度应用程序中的过期令牌我的 api 已过期但我的问题是当我忘记注销我的角度应用程序时一段时间后我仍然可以访问主页但没有数据我能做点什么吗有没有可以处理这个问题的库或者有什么我可以安装的吗更好如果我什么
为什么我们必须在 OAuth 中“更改令牌凭据的临时凭据”？

服务器不能只是将临时凭证升级为令牌凭证并保留相同的密钥和秘密吗然后客户端可以在收到服务器的回调表明临时凭证已升级后立即开始进行经过身份验证的调用当然如果临时凭证尚未升级即客户端不等待回调则经过身份验证的调用将失败所以
使用 Wordpress 验证 Flask API

我有两个网站一个托管大部分内容的 WordPress 博客我还用 Flask 编写了一个 API 我想在 Wordpress 受密码保护的页面中使用 API 但我需要在 Flask 响应之前验证请求是否经过身份验证当我收到对 Fla
内部注册 vs. OpenID vs. Google Friend Connect vs. Facebook Connect vs.（等等）

我正在尝试决定如何允许用户注册我的网站有 openID clickpass facebook connect googlefriendconnect 等或者是老式的内部输入用户名电子邮件密码等简要地看一下如何设置 OpenID
使用 chrome 扩展和 Django 进行身份验证

对于那些熟悉 django 和 chrome 扩展的人如何使用 cookie 进行身份验证以便当您登录 django 制作的网站时您的 chrome 扩展程序也会登录并激活谢谢您的 Chrome 扩展程序通过 Javascrip
您如何评论 RFC？

我有一些关于OAuth RFC 草案 https datatracker ietf org doc html draft hammer oauth 10 特别是关于它包含的一些错误但我不确定可接受的制作方法是什么底部有一个电子邮件地址
Symfony 5.4 Security Bundle，注册后无法登录

我在 5 4 版本上构建空的新项目我使用这些命令来构建项目 composer create project symfony skeleton 5 4 testapp54 cd testapp54 composer require weba
Swift 2 OAuth2 LinkedIn 连接

我将使用 Swift 2 和 Xcode 7 制作一个本机 iOS 应用程序用户应该使用 LinkedIn 和 OAuth 2 登录但我想知道应该如何开始设置我对 OAuth 2 没有太多经验有好的教程或示例应用程序吗我看到了雷
如何在 Asp.Net MVC 上实现客户端 Ajax 登录（Asp.Net Webforms 解决方案的链接位于此处）

我正在尝试在 Asp Net MVC 上实现客户端 ajax 登录我以前在 WebForms 上设置得很好但现在我已经转向 MVC 这给我带来了一些麻烦如果您想要有关 Asp Net Webforms 的客户端 Ajax 登录的教程
IdentityServer4 客户端 - 刷新 CookieAuthenticationEvents 上的访问令牌

我试图在访问令牌过期时使用刷新令牌类似的问题已回答here https stackoverflow com a 41557598 3501052 And 更新令牌的示例代码 https stackoverflow com question
发生错误。", ExceptionMessage: "提供的 'HttpContent' 实例无效

尝试将文件添加到 http 休息调用时出现此错误 responseJson 消息发生错误 ExceptionMessage 提供了无效的 HttpContent 实例它确实正在使用多部分参数名称内容异常类型 System Ar
AllowAnonymous 与 OverrideAuthorizeAttribute

AllowAnonymous 和 OverrideAuthorizeAttribute 的使用有什么区别是一样的吗 http www asp net web api overview security authentication and
ServiceStack自定义用户身份验证

有谁有一个关于如何按照本建议使用 int RefId 的实际示例question https stackoverflow com questions 11117469 how can i extend servicestack authen
django 中的身份验证方法返回 None

你好我在 django 中做了一个简单的注册和登录页面当想要登录时登录视图中的身份验证方法不返回任何内容我的身份验证应用程序模型 py from django db import models from django contri

随机推荐

Visual Studio 中的 /mtd 和 /mdd （在代码生成属性部分）有什么区别

指定有什么区别 mdd 多线程调试dll 和 mtd 多线程调试在 Visual Studio 中 mtd需要静态链接以生成 exe那更大但是not依赖于包含运行库的DLL VS2005自带的
不遵守 Azure Pipelines 任务超时

我正在运行一个天蓝色管道如下所示我在 3 个位置设置了以分钟为单位的超时作业池和任务但是步骤运行验收测试总是在 60 分钟后超时并显示错误消息配置资源时发生错误错误类型超时操作被取消否则管道中的一切都运行正常 sta
提交表单后如何设置单选按钮的值？

我正在使用 Rails 3 2 我有一个搜索表单其下方有单选按钮它根据选择的单选按钮进行搜索目前我的看法是 radio button tag ad type free label tag ad type free free radio
是否可以在 Windows Phone 7/8 上使用 protobuf-net 序列化/反序列化不可变类型？

是否可以在 Windows Phone 7 8 上使用 protobuf net 序列化反序列化类型我尝试了下面的代码似乎不支持构造函数跳过即 UseConstructor false 因此我创建了一个无参数构造函数但反序列化失败
Java Spring：错误消息“找不到元素'util：constant'的声明”

我尝试使用 util constant 进行 ioc 但收到以下错误消息 cvc complex type 2 4 c The matching wildcard is strict but no declaration can be fo
C++ Builder xe5 检测到错误（LME288）

c Builder xe5 ilink32 Error 错误无法执行链接 ilink32 警告警告检测到错误 LME288 当我尝试编译一个测试项目时发生了这种情况时间 2019 05 17 标签 c builderxe5windo
CreateProcess 和 CreateProcessA 有什么区别？

CreateProcess 和 CreateProcessA 之间有什么区别 VC 2008 中还有其他选择吗我还有一个问题我使用 CreateProcessA 函数这在一个系统中运行良好但在其他系统中失败另外当我使用 Crea
由 {'grpc._cython.cygrpc.SegregedCall' 对象的方法 'next_event' 引起的 api 调用极其缓慢}

我正在使用 Google Ads API 的 python 客户端库 Alls 一直按预期工作但在我的 Mac 上本地运行时突然开始运行得非常慢运行 cProfile 工具发现 gRPC 中的这个 next event 方法已开始每次
如何在 ASP.NET 5 中使用 HttpRequestMessage.CreateResponse()

我有空的 Web API 项目以及使用 VS2015 创建的完整 MVC 项目我注意到HttpRequestMessage is in System Net Http 那很好但不适合CreateResponse below 这段代码来自
如何将实例变量添加到 Devise 电子邮件模板？

我正在尝试编辑confirmation instructions html erb 文件以按名字而不是电子邮件来称呼新用户当前文件的开头读取您好如何将实例变量 first name 添加到控制器邮件程序我运行了rails生成设计
使用 HttpWebRequest 收到的响应被截断

我使用以下代码向网站发出 HttpWebRequest public static HttpWebResponse SendGETRequest string url string agent CookieContainer cookieC
android自定义对话框与按钮onClick事件

我有这样的 CustomDialog java public class CustomDialog Dialog dl public void ShowDialog Context context String message dl new
R根据添加条件的特定列合并两个数据集

Uwe 和 GKi 的答案都是正确的 Gki 收到了赏金因为 Uwe 迟到了但 Uwe 的解决方案运行速度大约是原来的 15 倍我有两个数据集其中包含不同患者在多个测量时刻的分数如下所示 df1 lt data frame ID
UnicodeDecodeError：“utf-8”编解码器无法解码字节错误

我正在尝试得到回复urllib并解码它为可读格式文本是希伯来语还包含以下字符 and 顶部页面编码为 coding utf 8 原始字符串是 b xff xfe x00 x00 r x00 n x00 x00i x00d x00 x0
从“快捷方式”和“以管理员身份运行”运行时的 Windows 批处理文件起始目录

我的情况与问题类似除了后面提到的内容以管理员身份运行时的 Windows 批处理文件起始目录 https stackoverflow com questions 672693 windows batch file starting d
Type.GetType 无法从已加载的程序集创建类型

我有一个使用加载程序集的程序Asssembly LoadFrom方法一段时间后我尝试使用Type GetType从该程序集创建类型使用AssemblyQualifiedName 但该方法返回null 如果我将其设置为抛出异常它会告诉
SELECT TYPE 构造中的多态性分配

我试图定义一个分配不同类型数组的子例程这是代码的简化版本 subroutine Allocation1 Vec class allocatable intent out Vec select type Vec type is real 8
Fragments 中的 OnClickListener 不起作用

我有一个 MainActivity 和一个名为 Frags 的片段该片段本身有一个名为 CardFrontFragment 的片段我在此片段子片段上注册了一个 OnClickListener 并在此 OnClickListener
使用 PostSharp 添加 OnException 属性

我正在尝试一些 AOP 似乎 NET PostSharp 是可行的方法我想在发生异常时对数据库进行一些简单的日志记录然而我发现除了基础知识之外很难找到任何使用 PostSharp 的真实可靠的例子我尝试了以下方法 Serializ
在 Web Api 2 中授予刷新令牌时更新角色

我在 Asp Net Web Api 2 中开发了一种身份验证机制具有授予刷新令牌的功能基于以下教程泰瑟尔的博客 http bitoftech net 2014 06 09 angularjs token authentication

在 Web Api 2 中授予刷新令牌时更新角色

在 Web Api 2 中授予刷新令牌时更新角色 的相关文章

随机推荐

热门标签

在 Web Api 2 中授予刷新令牌时更新角色的相关文章