一般在webapi接口中,为了防止接口被随意调用,都会验证用户身份。
然而不能每次调用接口都需要用户输入用户名密码来验证,这时就需要授权颁发令牌了,持有令牌就可以访问接口,接口也能验证令牌身份。
简单流程
1、新建一个webapi项目,添加以下nuget包
Microsoft.Owin.Security.OAuth
Microsoft.AspNet.WebApi.Owin
Microsoft.Owin.Host.SystemWeb(这个是让owin可以跑在IIS上)
2、新建OAuthServerProvider类继承Microsoft.Owin.Security.OAuth.OAuthAuthorizationServerProvider,重写ValidateClientAuthentication和GrantResourceOwnerCredentials方法。
实现验证与授权。
3、新建RefreshTokenServerProvider类继承Microsoft.Owin.Security.Infrastructure.AuthenticationTokenProvider,重写Create和Receive方法。
实现刷新token的自定义生成和验证。
4、新建AccessTokenServerProvider类继承Microsoft.Owin.Security.Infrastructure.AuthenticationTokenProvider,重写Create方法。
实现访问token的自定义生成。
5、新建Startup类。配置OAuth启用OAuthServer。
6、资源服务器启用OAuthBearer。
7、新建OAuthAttribute类继承System.Web.Http.AuthorizeAttribute,重写IsAuthorized方法。
实现自定义验证规则。
8、资源接口启用OAuthAttribute限制。