OWIN WebApi多重认证，OAuth Bearer认证中间件

Question

我希望 WebApi 具有多个身份验证。我计划在控制器的操作上使用 AuthorizeAttribute 启用/禁用它，例如我的AuthOne，我的AuthTwo

然后我想使用 User 并处理声明。

我的 WebApi 服务器配置中有 appBuilder.UseOAuthBearerAuthentication(xxx)

问题：当请求在请求授权标头中带有有效令牌时，中间件验证令牌并设置用户主体。

问题：如何禁用中间件并且不对 Authentification 标头做出反应？也许我只需要在我的过滤器中覆盖 Principal 或者我的方式不正确？

Answer 1

我不明白这一点，为什么您使用不记名身份验证但不想使用它（我想我不太了解您的帖子）

如果你想使用声明，这很简单。

如果您提供由您的应用程序创建的令牌，您必须提供您自己的 ServerOptions

    OAuthAuthorizationServerOptions authServerOptions = new OAuthAuthorizationServerOptions
    {
        AllowInsecureHttp = true,
        TokenEndpointPath = new PathString("/token"),
        AccessTokenExpireTimeSpan = TimeSpan.FromDays(30),
        Provider = new AuthorizationServerProvider(),
    };

AuthorizationServerProvider 是您自己的实现：

public class AuthorizationServerProvider : OAuthAuthorizationServerProvider

你覆盖的地方

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
    await Task.Run(() => Login(context));
}

private void Login(OAuthGrantResourceOwnerCredentialsContext ctx)
{
    Guid? userid = userservice.GetId(ctx.UserName, ctx.Password);
    if (userid != null)
    {
        ////here you can start with your claim stuff
        ClaimsIdentity identity = new ClaimsIdentity(new List<Claim> { new Claim("userId", userid.ToString()) }, OAuthDefaults.AuthenticationType);
        identity.AddClaim(new Claim(ClaimTypes.Name, ctx.UserName));
        ctx.Validated(identity);
        return;
    }        
}

那么就可以使用授权属性了

public class UserAuthorizationAttribute : AuthorizeAttribute
{
    protected override bool IsAuthorized(HttpActionContext ctx)
    {
        return base.IsAuthorized(ctx) && CheckUserAuthorization(ctx.Request.GetOwinContext().Authentication);
    }

    private bool CheckUserAuthorization(IAuthenticationManager manager)
    {
        var claim = manager.User.Claims.FirstOrDefault(x => x.Type == "user_identifier");
        if (claim != null)
        {
            Guid identifier = new Guid(claim.Value);
            //// evaluate the claim, etc...
            return true;
        }

        return false;
    }
}

Answer 2

我找到了问题的答案：

1. 我需要使用 AuthenticationMode.Passive 启用 OAuth owin 中间件。
2. 在我的自定义 BeareTokenAuthenticationFilter 中，我需要调用 owin 中间件并验证令牌：

OwinContext ctx = null;
var request = context.Request;

if (request.Properties.ContainsKey("MS_OwinContext"))
   ctx = request.Properties["MS_OwinContext"] as OwinContext;

var authenticationResult = await ctx.Authentication.AuthenticateAsync(new[] {"Bearer"})

// and I have claims in AuthenticateResult
// https://msdn.microsoft.com/en-us/library/microsoft.owin.security.authenticateresult(v=vs.113).aspx

1. 设置主体上下文。主体 = authenticationResult...

谢谢你的回答