25

関数を使用ExchangeUserCredentialForTokenして、認証サーバーからトークンを取得しています。ユーザーがデータベースに存在する場合は正常に機能しますが、資格情報が正しくない場合は、クライアントにメッセージを送り返したいと思います。次の 2 行のコードを使用して、エラー メッセージを設定しています。

context.SetError("Autorization Error", "The username or password is incorrect!");
context.Rejected();

しかし、クライアント側では、プロトコル エラー (エラー 400) のみが発生します。認可サーバーのサーバー側で設定されたエラーメッセージを取得するにはどうすればよいですか?

認可サーバーからの完全なアプリ構成:

using Constants;
using Microsoft.Owin;
using Microsoft.Owin.Security;
using Microsoft.Owin.Security.Cookies;
using Microsoft.Owin.Security.Infrastructure;
using Microsoft.Owin.Security.OAuth;
using Owin;
using System;
using System.Collections.Concurrent;
using System.Linq;
using System.Security.Claims;
using System.Security.Principal;
using System.Threading.Tasks;
using AuthorizationServer.Entities;
using AuthorizationServer.Entities.Infrastructure.Abstract;
using AuthorizationServer.Entities.Infrastructure.Concrete;

namespace AuthorizationServer
{
    public partial class Startup
    {
        private IEmployeeRepository Repository;  
        public void ConfigureAuth(IAppBuilder app)
        {
            //instanciate the repository
            Repository = new EmployeeRepository();

            // Enable Application Sign In Cookie
            app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = "Application",
                AuthenticationMode = AuthenticationMode.Passive,
                LoginPath = new PathString(Paths.LoginPath),
                LogoutPath = new PathString(Paths.LogoutPath),
            });

            // Enable External Sign In Cookie
            app.SetDefaultSignInAsAuthenticationType("External");
            app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = "External",
                AuthenticationMode = AuthenticationMode.Passive,
                CookieName = CookieAuthenticationDefaults.CookiePrefix + "External",
                ExpireTimeSpan = TimeSpan.FromMinutes(5),
            });

            // Enable google authentication
            app.UseGoogleAuthentication();

            // Setup Authorization Server
            app.UseOAuthAuthorizationServer(new OAuthAuthorizationServerOptions
            {
                AuthorizeEndpointPath = new PathString(Paths.AuthorizePath),
                TokenEndpointPath = new PathString(Paths.TokenPath),
                ApplicationCanDisplayErrors = true,
#if DEBUG
                AllowInsecureHttp = true,
#endif
                // Authorization server provider which controls the lifecycle of Authorization Server
                Provider = new OAuthAuthorizationServerProvider
                {
                    OnValidateClientRedirectUri = ValidateClientRedirectUri,
                    OnValidateClientAuthentication = ValidateClientAuthentication,
                    OnGrantResourceOwnerCredentials = GrantResourceOwnerCredentials,
                    OnGrantClientCredentials = GrantClientCredetails
                },

                // Authorization code provider which creates and receives authorization code
                AuthorizationCodeProvider = new AuthenticationTokenProvider
                {
                    OnCreate = CreateAuthenticationCode,
                    OnReceive = ReceiveAuthenticationCode,
                },

                // Refresh token provider which creates and receives referesh token
                RefreshTokenProvider = new AuthenticationTokenProvider
                {
                    OnCreate = CreateRefreshToken,
                    OnReceive = ReceiveRefreshToken,
                }
            });

            // indicate our intent to use bearer authentication
            app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions
            {
                AuthenticationType = "Bearer",
                AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Active
            });
        }

        private Task ValidateClientRedirectUri(OAuthValidateClientRedirectUriContext context)
        {
            if (context.ClientId == Clients.Client1.Id)
            {
                context.Validated(Clients.Client1.RedirectUrl);
            }
            else if (context.ClientId == Clients.Client2.Id)
            {
                context.Validated(Clients.Client2.RedirectUrl);
            }
            return Task.FromResult(0);
        }

        private Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        {

            string clientname;
            string clientpassword;


            if (context.TryGetBasicCredentials(out clientname, out clientpassword) ||
                context.TryGetFormCredentials(out clientname, out clientpassword))
            {
                employee Employee = Repository.GetEmployee(clientname, clientpassword);

                if (Employee != null)
                {
                    context.Validated();
                }
                else
                {
                    context.SetError("Autorization Error", "The username or password is incorrect!");
                    context.Rejected();
                }
            }
            return Task.FromResult(0);
        }

        private Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
        {
            var identity = new ClaimsIdentity(new GenericIdentity(context.UserName, OAuthDefaults.AuthenticationType), context.Scope.Select(x => new Claim("urn:oauth:scope", x)));

            context.Validated(identity);

            return Task.FromResult(0);
        }

        private Task GrantClientCredetails(OAuthGrantClientCredentialsContext context)
        {
            var identity = new ClaimsIdentity(new GenericIdentity(context.ClientId, OAuthDefaults.AuthenticationType), context.Scope.Select(x => new Claim("urn:oauth:scope", x)));

            context.Validated(identity);

            return Task.FromResult(0);
        }


        private readonly ConcurrentDictionary<string, string> _authenticationCodes =
            new ConcurrentDictionary<string, string>(StringComparer.Ordinal);

        private void CreateAuthenticationCode(AuthenticationTokenCreateContext context)
        {
            context.SetToken(Guid.NewGuid().ToString("n") + Guid.NewGuid().ToString("n"));
            _authenticationCodes[context.Token] = context.SerializeTicket();
        }

        private void ReceiveAuthenticationCode(AuthenticationTokenReceiveContext context)
        {
            string value;
            if (_authenticationCodes.TryRemove(context.Token, out value))
            {
                context.DeserializeTicket(value);
            }
        }

        private void CreateRefreshToken(AuthenticationTokenCreateContext context)
        {
            context.SetToken(context.SerializeTicket());
        }

        private void ReceiveRefreshToken(AuthenticationTokenReceiveContext context)
        {
            context.DeserializeTicket(context.Token);
        }
    }
}
4

3 に答える 3

35

何時間にもわたって Web を検索し、BLOB と owin のドキュメントを読んだ結果、ログイン試行の失敗に対して 401 を返す方法を見つけました。

以下にヘッダーを追加するのはちょっとしたハックだと思いますが、IOwinContext.Response.Body ストリームを読み取ってエラー メッセージを探す方法が見つかりませんでした。

まず、私は応答に a をOAuthAuthorizationServerProvider.GrantResourceOwnerCredentials使用SetError()して追加しましたHeaders

context.SetError("Autorization Error", "The username or password is incorrect!");
context.Response.Headers.Add("AuthorizationResponse", new[] { "Failed" });

これで、失敗した認証リクエストの 400 エラーと、それ以外の原因による 400 エラーを区別する方法ができました。

次のステップは、 を継承するクラスを作成することOwinMiddlewareです。このクラスは発信応答をチェックし、StatusCode == 400上記のヘッダーが存在する場合、StatucCode を 401 に変更します。

public class InvalidAuthenticationMiddleware : OwinMiddleware
{
    public InvalidAuthenticationMiddleware(OwinMiddleware next) 
        : base(next)
    {
    }

    public override async Task Invoke(IOwinContext context)
    {
        await Next.Invoke(context);

        if (context.Response.StatusCode == 400 && context.Response.Headers.ContainsKey("AuthorizationResponse"))
        {
            context.Response.Headers.Remove("AuthorizationResponse");
            context.Response.StatusCode = 401;
        }
    }
}

最後にStartup.Configuration、作成したクラスをメソッドに登録します。メソッドで他のことをする前に登録しました。

app.Use<InvalidAuthenticationMiddleware>();
于 2014-09-15T23:25:22.693 に答える
28

以下は、Jeff のコンセプトと私の元の投稿を組み合わせた完全なソリューションです。

1)コンテキストにエラーメッセージを設定する

エラー メッセージを設定した後で context.Rejected() を呼び出すと、エラー メッセージは削除されます (以下の例を参照)。

    context.SetError("Account locked", 
             "You have exceeded the total allowed failed logins.  Please try back in an hour.");
    context.Rejected();

タスクから context.Rejected() を削除する必要があります。Rejected メソッドと SetError メソッドの定義は次のとおりです。

却下:

このコンテキストをアプリケーションによって検証されていないものとしてマークします。呼び出しの結果、IsValidated と HasError は false になります。

エラーの設定:

このコンテキストをアプリケーションによって検証されていないものとしてマークし、さまざまなエラー情報プロパティを割り当てます。呼び出した結果、HasError が true になり、IsValidated が false になります。

ここでも、エラーを設定した後に Rejected メソッドを呼び出すと、コンテキストにエラーがないとマークされ、エラー メッセージが削除されます。

2)応答のステータス コードの設定: Jeff の例を使用して、少しひねりを加えます。

マジック ストリングを使用する代わりに、ステータス コードのタグを設定するためのグローバル プロパティを作成します。静的グローバル クラスで、ステータス コードにフラグを付けるためのプロパティを作成します (私は X-Challenge を使用しましたが、もちろん、任意のものを使用できます)。これは、応答に追加されるヘッダー プロパティにフラグを付けるために使用されます。

public static class ServerGlobalVariables
{
//Your other properties...
public const string OwinChallengeFlag = "X-Challenge";
}

次に、OAuthAuthorizationServerProvider のさまざまなタスクで、タグをキーとして応答の新しいヘッダー値に追加します。HttpStatusCode 列挙型をグローバル フラグと組み合わせて使用​​すると、さまざまなステータス コードのすべてにアクセスでき、マジック ストリングを回避できます。

//Set the error message
context.SetError("Account locked", 
        "You have exceeded the total allowed failed logins.  Please try back in an hour.");

//Add your flag to the header of the response
context.Response.Headers.Add(ServerGlobalVariables.OwinChallengeFlag, 
         new[] { ((int)HttpStatusCode.Unauthorized).ToString() }); 

顧客の OwinMiddleware では、グローバル変数を使用してヘッダー内のフラグを検索できます。

//This class handles all the OwinMiddleware responses, so the name should 
//not just focus on invalid authentication
public class CustomAuthenticationMiddleware : OwinMiddleware
{
    public CustomAuthenticationMiddleware(OwinMiddleware next)
        : base(next)
    {
    }

    public override async Task Invoke(IOwinContext context)
    {
        await Next.Invoke(context);

        if (context.Response.StatusCode == 400 
            && context.Response.Headers.ContainsKey(
                      ServerGlobalVariables.OwinChallengeFlag))
        {
            var headerValues = context.Response.Headers.GetValues
                  (ServerGlobalVariables.OwinChallengeFlag);

            context.Response.StatusCode = 
                   Convert.ToInt16(headerValues.FirstOrDefault());

            context.Response.Headers.Remove(
                   ServerGlobalVariables.OwinChallengeFlag);
        }         

    }
}

最後に、Jeff が指摘したように、このカスタム OwinMiddleware をStartup.ConfigurationorStartup.ConfigureAuthメソッドに登録する必要があります。

app.Use<CustomAuthenticationMiddleware>();

上記のソリューションを使用して、以下に示すようなステータス コードとカスタム エラー メッセージを設定できるようになりました。

  • ユーザー名かパスワードが無効
  • このアカウントは試行回数の上限を超えました
  • メールアカウントが確認されていません

3) ProtocolException からエラー メッセージを抽出する

クライアント アプリケーションでは、ProtocolException をキャッチして処理する必要があります。このようなものはあなたに答えを与えるでしょう:

//Need to create a class to deserialize the Json
//Create this somewhere in your application
public class OAuthErrorMsg
    {
        public string error { get; set; }
        public string error_description { get; set; }
        public string error_uri { get; set; }
    }

 //Need to make sure to include Newtonsoft.Json
 using Newtonsoft.Json;

 //Code for your object....

 private void login()
    {
        try
        {
            var state = _webServerClient.ExchangeUserCredentialForToken(
                this.emailTextBox.Text, 
                this.passwordBox.Password.Trim(), 
                scopes: new string[] { "PublicProfile" });

            _accessToken = state.AccessToken;
            _refreshToken = state.RefreshToken;
        }
        catch (ProtocolException ex)
        {
            var webException = ex.InnerException as WebException;

            OAuthErrorMsg error = 
                JsonConvert.DeserializeObject<OAuthErrorMsg>(
                ExtractResponseString(webException));

            var errorMessage = error.error_description;
            //Now it's up to you how you process the errorMessage
        }
    }

    public static string ExtractResponseString(WebException webException)
    {
        if (webException == null || webException.Response == null)
            return null;

        var responseStream = 
            webException.Response.GetResponseStream() as MemoryStream;

        if (responseStream == null)
            return null;

        var responseBytes = responseStream.ToArray();

        var responseString = Encoding.UTF8.GetString(responseBytes);
        return responseString;
    }

これをテストしたところ、VS2013 Pro with 4.5 で完全に動作しました!!

(WPF、MVC、または Winform などのアプリケーションによって異なるため、必要な名前空間や追加のコードをすべて含めていないことに注意してください。また、エラー処理については説明していません。ソリューション全体で適切なエラー処理を実装してください。)

于 2014-09-08T20:51:35.900 に答える