Fork me on GitHub

基于DotNetOpenAuth实现OpenID 服务提供者

EverBox网盘(www.everbox.com)是由盛大创新院推出的一款网盘产品,提供了超大的免费存储空间(可升级到 10GB),支持文件同步、文件分享、在线浏览照片、在线听音乐等功能,并提供 Windows 客户端程序。其中有一项是可以使用第三方的账号注册使用,也就是OAuth登陆,说的更具体的就是用OpenID了,谁需要EverBox的邀请可以给我留言或者QQ上找我。

image

OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散、自由等特性。 OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,同理,我们也可以通过这种方式来作为用户的身份认证。由于URI 是整个网络世界的核心,它为基于URI的用户身份认证提供了广泛的、坚实的基础。

OpenID 系统的第一部分是身份验证,即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证,这就意味着大家在每个网站都需要注册用户名和密码,即便你使用的是同样的密码。如果使用 OpenID (参见规范),你的网站地址(URI)就是你的用户名,而你的密码安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。具体可以参考园友的文章 如何在ASP.NET中创建OpenID

下面的部分我重点是在如何把自己网站的账号通过OpenID开放出来,类似于QQ,Gmail,baidu,盛大通行证账号的一键式登陆。

OpenID协议非常易于扩展,下面的图表展示了OpenID2.0草案的基本工作流程。它展示了在终端用户、Relying Party站点(一个示例站点)和OpenID服务提供者之间的交互过程(最常见的认证流程),更详细的信息参考OpenID使用手册

openid

 

国际化资源标识符对于OpenID中的XRI的支持是必不可少的一项,.NET 3.5之后的版本对国际化资源标识符支持很好了,国际化资源标识符支持Web 地址通常使用由一组非常有限的字符组成的通用资源标识符 (URI) 来表示。一般来说,这些地址中只能包含英文字母表中的大、小写字母、数字 0 到 9 以及少量其他包括逗号和连字符在内的 ASCII 符号。对于世界上使用非拉丁字母字符集(如日文和希伯莱文)的地区来说,这种语法不是很方便。设想一下诸如 www.BaldwinMuseumOfScience.com 的地址,如果您讲英语,这个地址便很容易理解和记忆。但是,如果您不会说英语,则这个 URL 看上去跟符号的随机排列没什么差别。如果您只会说英语,您能记住用中文写的一长串地址吗?国际化资源标识符(或 IRI)支持非 ASCII 字符,或者更准确的说是 Unicode/ISO 10646 字符。这意味着域名可以包含 Unicode 字符,即可以有这样的 URL:http://微軟香港.com。我们已将现有的 System.Uri 类扩展为根据 RFC 3987 提供 IRI 支持(请参见 faqs.org/rfcs/rfc3987.html)。对于当前的用户来说,除非他们特意选择启用 IRI 功能,否则不会看到 .NET Framework 2.0 的行为有任何变化。原因是我们要确保 3.5 版本与以前版本的应用程序兼容。如果选择采用,您必须做两项更改。首先,将下列元素添加到 machine.config 文件:

<section name="uri" type="System.Configuration.UriSection, System,  Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
然后,指定是否应将国际化域名 (IDN) 分析应用到域名中,以及是否应该应用 IRI 分析规则。这可以在整个计算机范围的 machine.config 或单个应用程序的 app.config 中进行,如:复制代码 <configuration>
   <uri>
      <idn enabled="All" />
      <iriParsing enabled="true" />
   </uri>
</configuration>
启用 IDN 可以将域名中的所有 Unicode 标签转换成其 Punicode 等同项。Punicode 名称只含有 ASCII 字符,而且总是以前缀“xn--”开头。这是因为 Internet 上目前部署的大多数 DNS 服务器仅支持 ASCII 字符。启用 IDN 只会影响 Uri.DnsSafeHost 属性的值。对于微軟香港.com 来说,它包含 xn--g5tu63aivy37i.com,而 Uri.Host 将包含 Unicode 字符。根据您所使用的 DNS 服务器,在 idn 元素的已启用属性中,有三种可能的 IDN 值供您使用:“All”会将 IDN 名称 (Punicode) 用于所有域名。
“AllExceptIntranet”会将 IDN 名称用于所有外部域名,而将 Unicode 名称用于所有内部域名。仅当 Intranet DNS 服务器支持 Unicode 名称时,这种情况才适用。“None”是默认值,它和 .NET Framework 2.0 的行为相符。 启用 IRI 分析 (iriParsing enabled = "true") 后,系统会根据 RFC 3987 中的最新 IRI 规则进行规范化和字符检查。当默认值为 false 时,则会根据 RFC 2396(请参见 faqs.org/rfcs/rfc2396.html)进行规范化和字符检查。要了解有关通用资源标识符和 Uri 类的更多信息,请参阅在线文档,地址为msdn2.microsoft.com/system.uri

.NET下使用OpenID,有两种解决方案,第一个就是基于开源的社区解决方案 :dotnetopenauth. 网址为: http://www.dotnetopenauth.net/,第二个是基于微软的Windows身份验证基础(Windows Identity Foundation (WIF))。

先简要介绍一下WIF,Windows身份验证基础 (先前代号为 Geneva 框架) 是微软.NET框架的一个新拓展,它帮助开发者构建具有声明意识的应用程序(这将使您的应用程序的用户认证客观化),改善开发者生产力,增强应用程序安全性,提供协同合作性。基于可协同合作的标准协议,WIF以及基于声明的身份验证模式,可以使得在云端或非云端的ASP.NET与WCF的应用程序,实现单点登陆,个性化,联合化,强验证,身份验证委托,以及其他验证功能。

使用WIF,无论应用程序托管于非云端还是Windows Azure,开发者可以使用单一的编程模式来处理身份验证。 因为您只需学习一种模式和一套工具,您的生产力得到了提高,并且如果改变托管的环境,您也可以迅速的上手。因为不论应用程序托管于哪里,模式是不变的,所以使用WIF可以更便捷的将非云端应用程序迁移至Windows Azure(从身份验证的角度),反之亦然。

基于WIF来提供OpenID服务可以参考codeplex上的一个项目http://startersts.codeplex.com/,网站上有很详细的文档,不过相对来说配置比较麻烦点。

下面我们具体介绍基于dotnetopenauth的服务提供者,首先从http://www.dotnetopenauth.net/下载,在例子中有两个Provider(OpenIdProviderMvc、OpenIdProviderWebform)。例子中使用ReadOnlyXmlMembershipProvider,很容易的替换掉这个MembershipProvider为你的用户系统MembershipProvider,就可以将你的用户系统改造成OpenID服务。

默认的示例里头只返回给 Relying Party很少信息.  一般只有两个,一个是:FriendlyIdentifierForDisplay ,就是用户名,一个是ClaimedIdentifier, 是用户的标识.。一般我们还要抓到用户的Email,和个性图标.等等一些有用的东西.但是默认的是不返回的。先看看可以返回什么信息. DotNetOpenAuth中有一个WellKnownAttributes 类, 这个类中定义了一系列可以返回的信息

如何向外提供这些信息呢? 请看下面的示例代码 :

[Authorize]
public ActionResult SendAssertion() {
    IAuthenticationRequest authReq = PendingAuthenticationRequest;
    PendingAuthenticationRequest = null; // clear session static so we don't do this again
    if (authReq == null) {
        throw new InvalidOperationException("There's no pending authentication request!");
    }
 
    if (authReq.IsDirectedIdentity) {
        authReq.LocalIdentifier = Models.User.GetClaimedIdentifierForUser(User.Identity.Name);
    }
    if (!authReq.IsDelegatedIdentifier) {
        authReq.ClaimedIdentifier = authReq.LocalIdentifier;
    }
 
    // Respond to AX/sreg extension requests.
    //// Real web sites would have code here
    ClaimsResponse sregResponse = null;
    var sregRequest = authReq.GetExtension<ClaimsRequest>();
    if (sregRequest != null)
    {
        MembershipUser user = Membership.GetUser();
        if (user != null)
        {
            sregResponse = sregRequest.CreateResponse();
            //sregResponse.BirthDate = user.
            sregResponse.Email = user.Email;
            sregResponse.FullName = user.UserName;
 
        }
        authReq.AddResponseExtension(sregResponse);
    }          
 
    authReq.IsAuthenticated = this.UserControlsIdentifier(authReq);
    return OpenIdProvider.PrepareResponse(authReq).AsActionResult();
}

具体的使用方面可以参考以下几篇文章:

为您的.NET网站增加OpenID,Window Live,人人网等多种登录方式之一: 增加OpenID登录

Asp.net MVC使用OpenId指南

OpenID and OAuth using DotNetOpenAuth in ASP.NET MVC

posted @ 2010-12-05 11:45  张善友  阅读(16034)  评论(8编辑  收藏  举报