Verwenden Sie Active Directory mit Web-API für SPA

Baue ich einzelne Seite der Anwendung, und ich würde gerne wissen, die Identität des Benutzers. Wir haben Active Directory in unserem intranet, aber ich weiß nicht viel über Sie. Ich bin in der Lage, verwenden Sie code wie diesen, um zu überprüfen, Benutzername und Passwort.

using(PrincipalContext pc = new PrincipalContext(ContextType.Domain, "YOURDOMAIN"))
{
  bool isValid = pc.ValidateCredentials("myuser", "mypassword");
}

In der Tat, dass ist alles was ich brauche aus dem Active Directory-Seite zu der Sache. So konnte ich einige AuthorizationFilter-mit diesem code, aber dies würde bedeuten, dass Benutzername und Passwort müssen bei jedem request. Ich möchte zum senden von Benutzernamen und Passwort nur einmal und verwenden Sie dann einige Zeichen, die für die Autorisierung. So sollte es einige token provider, in meinem server-seitige Anwendung.

Baue ich diese Anwendung von Grund auf neu, so dass ich die neuesten .net-Technologien. Ich fand, dass es einige Owin middlewares, die Token handling, cookies und OAuth. Könnte alles von mir, mir zu helfen?

  • von Ihnen positiv bewertet werden, weil Ihr Ruf war 666. Ugh... Jetzt bist du gut.
InformationsquelleAutor Lukas Pirkl | 2013-12-09
  1. 22

    Wenn ich war auf der Suche nach etwas völlig anderem fand ich dieses unglaubliche Projekt auf CodePlex: https://angularapp.codeplex.com/ Es ist genau das, was ich suchte.

    Update:

    Teil von dieser app, die nützlich war für mich die DomainUserLoginProvider

    public class DomanUserLoginProvider : ILoginProvider
{
    public bool ValidateCredentials(string userName, string password, out ClaimsIdentity identity)
    {
        using (var pc = new PrincipalContext(ContextType.Domain, _domain))
        {
            bool isValid = pc.ValidateCredentials(userName, password);
            if (isValid)
            {
                identity = new ClaimsIdentity(Startup.OAuthOptions.AuthenticationType);
                identity.AddClaim(new Claim(ClaimTypes.Name, userName));
            }
            else
            {
                identity = null;
            }

            return isValid;
        }
    }

    public DomanUserLoginProvider(string domain)
    {
        _domain = domain;
    }

    private readonly string _domain;
}

    LoginProvider verwendet wird, im AccountController die Aktion überprüfen Sie die Anmeldeinformationen. Auch der AccessToken wird hier geschaffen.

    [HttpPost, Route("Token")]
public IHttpActionResult Token(LoginViewModel login)
{
    ClaimsIdentity identity;

    if (!_loginProvider.ValidateCredentials(login.UserName, login.Password, out identity))
    {
        return BadRequest("Incorrect user or password");
    }

    var ticket = new AuthenticationTicket(identity, new AuthenticationProperties());
    var currentUtc = new SystemClock().UtcNow;
    ticket.Properties.IssuedUtc = currentUtc;
    ticket.Properties.ExpiresUtc = currentUtc.Add(TimeSpan.FromMinutes(30));

    return Ok(new LoginAccessViewModel
    {
        UserName = login.UserName,
        AccessToken = Startup.OAuthOptions.AccessTokenFormat.Protect(ticket)
    });
}

    Last but not least, fügen Sie die korrekte middleware für die Owin-pipeline.

    public partial class Startup
{
    static Startup()
    {
        OAuthOptions = new OAuthAuthorizationServerOptions();
    }

    public static OAuthAuthorizationServerOptions OAuthOptions { get; private set; }

    public static void ConfigureAuth(IAppBuilder app)
    {
        app.UseOAuthBearerTokens(OAuthOptions);
    }
}

    Auf der client-Seite, die Sie gerade senden Sie den Antrag mit Anmeldeinformationen auf dem Token-Aktion der AccountController und erhalten Sie die Authentifizierungs-token. Dieses token speichern in browser ("Remember me" - Funktion) und stellen Sie den Winkel des $http-Dienst anfügen token auf jede Anfrage. 

    services.factory('$auth', ['$q', '$http', '$path', function ($q, $http, $path) {       
    var tokenUrl = $path('api/Account/Token');

    function setupAuth(accessToken, remember) {
        var header = 'Bearer ' + accessToken;
        delete $http.defaults.headers.common['Authorization'];
        $http.defaults.headers.common['Authorization'] = header;
        sessionStorage['accessToken'] = accessToken;
        if (remember) {
            localStorage['accessToken'] = accessToken;
        }
        return header;
    }

    var self = {};

    self.login = function(user, passw, rememberMe) {
        var deferred = $q.defer();
        $http.post(tokenUrl, { userName: user, password: passw })
            .success(function (data) {
                var header = setupAuth(data.accessToken, rememberMe);
                deferred.resolve({
                    userName: data.userName,
                    Authorization: header
                });
            })
            .error(function() {
                deferred.reject();
            });

        return deferred.promise;
    };

    return self;
}]);
    • Es wäre schön, wenn man die relevanten Teile aus dem link oben und erklärte, wie, die Website/code löst Ihr ursprüngliche problem.
    • Danke für den Zeiger, um einen schönen Wellness-app arbeiten .Netto, pro Jasons Anfrage könnten Sie fügen Sie einige Kontext, wie es Ihnen geholfen hat.
    • Ich aktualisierte Antwort mit dem code, das war die Lösung für mein problem.
    InformationsquelleAutor Lukas Pirkl
  2. 3

    Sicherlich die OAuth ist ein Weg zu gehen, aber warum denken Sie nicht von der alten, guten Formen der Authentifizierung? Es passt in das Szenario perfekt - mit einem benutzerdefinierten Anbieter Sie können die Authentifizierung der Benutzer in den AD und dann alle aufeinander folgenden client-Anfragen tragen Sie die Authentifizierungs-cookie, die verwendet werden können, um die authenticate server-Aufrufe.

    Den Formen Cookies in diesem Szenario spielt die Rolle der ein "token", denken Sie.

    • Wie du schon erwähnt hast, die ich brauchen würde, um das schreiben eines benutzerdefinierten mitgliedschaftsanbieters, wo fast jeder Methode wird nicht angewendet. Dies kann zu einigen Verwirrungen, wenn sich andere Entwickler an dem Projekt teilnehmen. Ich hasse es, wenn ich sagen muss, dass Erklärungen wie "Na ja, es ist viel throw new NotImplementedException() aufgrund von historischen Gründen." 🙂
    • Die builtin ActiveDirectoryMembershipProvider wird das gut machen, werden Sie nicht haben, um Ihre eigenen schreiben.
    InformationsquelleAutor Wiktor Zychla
Schreibe einen Kommentar