• 基于DotNetOpenAuth实现OpenID 服务提供者


    EverBox网盘(www.everbox.com)是由盛大创新院推出的一款网盘产品,提供了超大的免费存储空间(可升级到 10GB),支持文件同步、文件分享、在线浏览照片、在线听音乐等功能,并提供 Windows 客户端程序。其中有一项是可以使用第三方的账号注册使用,也就是OAuth登陆,说的更具体的就是用OpenID了,谁需要EverBox的邀请可以给我留言或者QQ上找我。

    image

    OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散、自由等特性。 OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,同理,我们也可以通过这种方式来作为用户的身份认证。由于URI 是整个网络世界的核心,它为基于URI的用户身份认证提供了广泛的、坚实的基础。

    OpenID 系统的第一部分是身份验证,即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证,这就意味着大家在每个网站都需要注册用户名和密码,即便你使用的是同样的密码。如果使用 OpenID (参见规范),你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。具体可以参考园友的文章 如何在ASP.NET中创建OpenID

    下面的部分我重点是在如何把自己网站的账号通过OpenID开放出来,类似于QQ,Gmail,baidu,盛大通行证账号的一键式登陆。

    OpenID协议非常易于扩展,下面的图表展示了OpenID2.0草案的基本工作流程。它展示了在终端用户、Relying Party站点(一个示例站点)和OpenID服务提供者之间的交互过程(最常见的认证流程),更详细的信息参考OpenID使用手册

    openid

    国际化资源标识符对于OpenID中的XRI的支持是必不可少的一项,.NET 3.5之后的版本对国际化资源标识符支持很好了,国际化资源标识符支持Web 地址通常使用由一组非常有限的字符组成的通用资源标识符 (URI) 来表示。一般来说,这些地址中只能包含英文字母表中的大、小写字母、数字 0 到 9 以及少量其他包括逗号和连字符在内的 ASCII 符号。对于世界上使用非拉丁字母字符集(如日文和希伯莱文)的地区来说,这种语法不是很方便。设想一下诸如 www.BaldwinMuseumOfScience.com 的地址,如果您讲英语,这个地址便很容易理解和记忆。但是,如果您不会说英语,则这个 URL 看上去跟符号的随机排列没什么差别。如果您只会说英语,您能记住用中文写的一长串地址吗?国际化资源标识符(或 IRI)支持非 ASCII 字符,或者更准确的说是 Unicode/ISO 10646 字符。这意味着域名可以包含 Unicode 字符,即可以有这样的 URL:http://微軟香港.com。我们已将现有的 System.Uri 类扩展为根据 RFC 3987 提供 IRI 支持(请参见 faqs.org/rfcs/rfc3987.html)。对于当前的用户来说,除非他们特意选择启用 IRI 功能,否则不会看到 .NET Framework 2.0 的行为有任何变化。原因是我们要确保 3.5 版本与以前版本的应用程序兼容。如果选择采用,您必须做两项更改。首先,将下列元素添加到 machine.config 文件:

    <section name="uri" type="System.Configuration.UriSection, System,  Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
    然后,指定是否应将国际化域名 (IDN) 分析应用到域名中,以及是否应该应用 IRI 分析规则。这可以在整个计算机范围的 machine.config 或单个应用程序的 app.config 中进行,如:复制代码 <configuration>
       <uri>
          <idn enabled="All" />
          <iriParsing enabled="true" />
       </uri>
    </configuration>
    启用 IDN 可以将域名中的所有 Unicode 标签转换成其 Punicode 等同项。Punicode 名称只含有 ASCII 字符,而且总是以前缀“xn--”开头。这是因为 Internet 上目前部署的大多数 DNS 服务器仅支持 ASCII 字符。启用 IDN 只会影响 Uri.DnsSafeHost 属性的值。对于微軟香港.com 来说,它包含 xn--g5tu63aivy37i.com,而 Uri.Host 将包含 Unicode 字符。根据您所使用的 DNS 服务器,在 idn 元素的已启用属性中,有三种可能的 IDN 值供您使用:“All”会将 IDN 名称 (Punicode) 用于所有域名。
    “AllExceptIntranet”会将 IDN 名称用于所有外部域名,而将 Unicode 名称用于所有内部域名。仅当 Intranet DNS 服务器支持 Unicode 名称时,这种情况才适用。“None”是默认值,它和 .NET Framework 2.0 的行为相符。 启用 IRI 分析 (iriParsing enabled = "true") 后,系统会根据 RFC 3987 中的最新 IRI 规则进行规范化和字符检查。当默认值为 false 时,则会根据 RFC 2396(请参见 faqs.org/rfcs/rfc2396.html)进行规范化和字符检查。要了解有关通用资源标识符和 Uri 类的更多信息,请参阅在线文档,地址为msdn2.microsoft.com/system.uri

    .NET下使用OpenID,有两种解决方案,第一个就是基于开源的社区解决方案 :dotnetopenauth. 网址为: http://www.dotnetopenauth.net/,第二个是基于微软的Windows身份验证基础(Windows Identity Foundation (WIF))。

    先简要介绍一下WIF,Windows身份验证基础 (先前代号为 Geneva 框架) 是微软.NET框架的一个新拓展,它帮助开发者构建具有声明意识的应用程序(这将使您的应用程序的用户认证客观化),改善开发者生产力,增强应用程序安全性,提供协同合作性。基于可协同合作的标准协议,WIF以及基于声明的身份验证模式,可以使得在云端或非云端的ASP.NET与WCF的应用程序,实现单点登陆,个性化,联合化,强验证,身份验证委托,以及其他验证功能。

    使用WIF,无论应用程序托管于非云端还是Windows Azure,开发者可以使用单一的编程模式来处理身份验证。 因为您只需学习一种模式和一套工具,您的生产力得到了提高,并且如果改变托管的环境,您也可以迅速的上手。因为不论应用程序托管于哪里,模式是不变的,所以使用WIF可以更便捷的将非云端应用程序迁移至Windows Azure(从身份验证的角度),反之亦然。

    基于WIF来提供OpenID服务可以参考codeplex上的一个项目http://startersts.codeplex.com/,网站上有很详细的文档,不过相对来说配置比较麻烦点。

    下面我们具体介绍基于dotnetopenauth的服务提供者,首先从http://www.dotnetopenauth.net/下载,在例子中有两个Provider(OpenIdProviderMvc、OpenIdProviderWebform)。例子中使用ReadOnlyXmlMembershipProvider,很容易的替换掉这个MembershipProvider为你的用户系统MembershipProvider,就可以将你的用户系统改造成OpenID服务。

    默认的示例里头只返回给 Relying Party很少信息.  一般只有两个,一个是:FriendlyIdentifierForDisplay ,就是用户名,一个是ClaimedIdentifier, 是用户的标识.。一般我们还要抓到用户的Email,和个性图标.等等一些有用的东西.但是默认的是不返回的。先看看可以返回什么信息. DotNetOpenAuth中有一个WellKnownAttributes 类, 这个类中定义了一系列可以返回的信息

    如何向外提供这些信息呢? 请看下面的示例代码 :

    [Authorize]
    public ActionResult SendAssertion() {
        IAuthenticationRequest authReq = PendingAuthenticationRequest;
        PendingAuthenticationRequest = null; // clear session static so we don't do this again
        if (authReq == null) {
            throw new InvalidOperationException("There's no pending authentication request!");
        }
     
        if (authReq.IsDirectedIdentity) {
            authReq.LocalIdentifier = Models.User.GetClaimedIdentifierForUser(User.Identity.Name);
        }
        if (!authReq.IsDelegatedIdentifier) {
            authReq.ClaimedIdentifier = authReq.LocalIdentifier;
        }
     
        // Respond to AX/sreg extension requests.
        //// Real web sites would have code here
        ClaimsResponse sregResponse = null;
        var sregRequest = authReq.GetExtension<ClaimsRequest>();
        if (sregRequest != null)
        {
            MembershipUser user = Membership.GetUser();
            if (user != null)
            {
                sregResponse = sregRequest.CreateResponse();
                //sregResponse.BirthDate = user.
                sregResponse.Email = user.Email;
                sregResponse.FullName = user.UserName;
     
            }
            authReq.AddResponseExtension(sregResponse);
        }          
     
        authReq.IsAuthenticated = this.UserControlsIdentifier(authReq);
        return OpenIdProvider.PrepareResponse(authReq).AsActionResult();
    }

    具体的使用方面可以参考以下几篇文章:

    为您的.NET网站增加OpenID,Window Live,人人网等多种登录方式之一: 增加OpenID登录

    Asp.net MVC使用OpenId指南

    OpenID and OAuth using DotNetOpenAuth in ASP.NET MVC

    欢迎大家扫描下面二维码成为我的客户,为你服务和上云

  • 相关阅读:
    数据规范化(normalization)
    《穷爸爸富爸爸》笔记
    期望,方差,协方差,相关系数,协方差矩阵,相关系数矩阵,以及numpy实现
    numpy array和mat的乘法
    matlab多图排列
    POJ 3463
    POJ 3463
    Poj2449 第k短路
    Poj2449 第k短路
    POJ 3013
  • 原文地址:https://www.cnblogs.com/shanyou/p/1896809.html
Copyright © 2020-2023  润新知