如何将授权令牌传递给 GET 方法以访问授权资源？

Question

我是基于令牌的身份验证的新手。参考以下链接，我正在尝试了解基于令牌的身份验证。

• http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/

如果用户凭据有效，我将获得所需的令牌。

[AcceptVerbs("POST")]
    [HttpPost]
    public string Post([FromBody]User user)
    {
        if(user.Username == "hello" && user.Password == "123")
        {
            var accessTokenResponse = GenerateLocalAccessTokenResponse(user.Username);

            return accessTokenResponse.ToString();
        }
        else
        {
            return "User invalid";
        }
    }

生成的令牌

TWC1Q2rrenZC2p78KPnS4JblcepCg6q3XuxqBQIh7L003npbb6hlBAOYGRN03OvY_O55GWFkZp7UfCmhCgH9Z4rBsjvIrp8gyCp4HmxpP4axVKk10NM9fiG2ctgZWeSbw1jNOor42Wk3yMufbs4xP0RlNuvdpLtBLir52g9rPF053kiJtYryNGzPsbibXHRrNoy0wOR2384uLAJ5pNE9s1DwYpdPKB9uOLSAGhDQOVU， P>

现在当我尝试访问受保护的资源时

    [Authorize]
    [HttpGet]
    // GET api/orders/5
    public string Get()
    {
        return "This is a secure resource";
    }

我收到“拒绝访问错误”。

如何使用令牌访问此类资源。

非常感谢任何帮助/建议。 谢谢。

Answer 1

通常您不会在控制器中将令牌端点实现为 POST 方法，而是为它创建一个单独的类 (SimpleAuthorizationServerProvide)，如上述教程所示。 如果一切设置正确，您必须在您的 http 请求中添加一个 Authorization 标头

Authorization: Bearer TWC1Q2rrenZC2p78KP...

并获得状态码 200(OK) 的回复

要获取令牌，请向您的令牌端点发送请求（例如使用工具fiddler） 例如如果您的服务在 localhost 的 52180 端口上运行，它看起来像这样：

POST http://localhost:52180/token 

grant_type=password&username=admin&password=123&client_id=abc

grant_type 部分是请求正文。 当您发布上述请求时，您将到达令牌端点。正如 Taiseer 在教程的第 12 步中所写。

当您在GrantResourceOwnerCredentials 放置断点时，应在您发送上述请求后立即到达。

通常的流程是： - 客户端向http://localhost:52180/token 请求令牌

• 服务器在 GrantResourceOwnerCredentials 中验证用户凭据并颁发令牌

• 客户端从令牌响应中读取 access_token

• 客户端将包含 access_token 的授权标头添加到请求中

  http://localhost:52180/api/orders
  
  Authorization: Bearer TWC1Q2rrenZC2p78KP...
  

• 服务器读取授权标头并授予访问权限（如果令牌有效）

• 服务器处理请求，例如GET请求

• 客户端收到状态 200 和所需数据

上面显示的 api 控制器看起来没问题 [Authorize] 属性是您在控制器中所需要的。这会将 AuthorizationFilter 添加到 http 请求管道，当客户端将上述 Authoriztion 标头添加到请求时，它会为您处理授权。