Вы знаете, как я могу использовать, access_token, сгенерированный механизмом авторизации asp.net web api 2 OAuth 2, в параметрах URL. В настоящее время я могу авторизоваться успешно, отправив запрос с заголовком авторизации следующим образом:
Accept: application/json
Content-Type: application/json
Authorization: Bearer pADKsjwMv927u...
Я хочу включить авторизацию через URL-адрес следующим образом:
https://www.domain.com/api/MyController?access_token=pADKsjwMv927u...
Хорошо. Я согласен с тем, что заголовок является гораздо лучшей альтернативой, но, конечно, ситуации, в которых требуется строка запроса. Спецификация OAuth2 также определяет его.
В любом случае - эта функция встроена в ПО Katana OAuth2:
public class QueryStringOAuthBearerProvider : OAuthBearerAuthenticationProvider
{
readonly string _name;
public QueryStringOAuthBearerProvider(string name)
{
_name = name;
}
public override Task RequestToken(OAuthRequestTokenContext context)
{
var value = context.Request.Query.Get(_name);
if (!string.IsNullOrEmpty(value))
{
context.Token = value;
}
return Task.FromResult<object>(null);
}
}
И затем:
var options = new JwtBearerAuthenticationOptions
{
AllowedAudiences = new[] { audience },
IssuerSecurityTokenProviders = new[]
{
new SymmetricKeyIssuerSecurityTokenProvider(
issuer,
signingKey)
},
Provider = new QueryStringOAuthBearerProvider("access_token")
};
Итак, перейдите в Global.asax и добавьте этот метод:
void Application_BeginRequest(object sender, EventArgs e)
{
if (ReferenceEquals(null, HttpContext.Current.Request.Headers["Authorization"]))
{
var token = HttpContext.Current.Request.Params["access_token"];
if (!String.IsNullOrEmpty(token))
{
HttpContext.Current.Request.Headers.Add("Authorization", "Bearer " + token);
}
}
}
UPDATE: Откажитесь от ответа @leastprivilege. Гораздо лучшее решение.
Это ужасная идея, потому что токен не защищен в строке запроса. Он зашифрован в заголовке с помощью SSL.