Ich verwende DotNetOpenAuth, um über OAuth2 eine Verbindung zu Facebook und Google herzustellen. Die OAuth-Spezifikationen verlangen, dass in request_uri keine zusätzlichen Parameter angegeben werden, und Google erzwingt dies tatsächlich dadurch, dass er gezwungen ist, ein genaues Callback-URI anzugeben, wenn Sie Ihre Google App mit ihnen definieren.DotNetOpenAuth OAuth2.0-Statusparameter
Ich möchte den Benutzer zu einer bestimmten URL zurückgeben, nachdem sie mit Facebook oder Google authentifiziert wurden. Der Fluss ist dies, der Benutzer klickt auf einen geschützten Link, sie werden mit einem ReturnUrl-Parameter auf meine Login-Seite weitergeleitet und dann starte ich den Autorisierungsprozess basierend auf dem OAuth2-Autorisierungsserver, den sie wählen.
Da die request_uri keine Parameter enthalten kann (obwohl Facebook Sie damit durchkommen lässt), kann ich den Parameter returnUrl nicht an den Autorisierungsserver senden und ihn zurückerhalten, so dass der Benutzer zurückkehrt Meine Site, ich leite sie an die geschützte Seite weiter, auf die sie zugreifen wollten. Das Beste, was ich tun kann, ist, sie an die Homepage oder eine Willkommensseite für Mitglieder weiterzuleiten.
Die Art und Weise, dies zu beheben, ist die Verwendung des Parameters "state", den der Autorisierungsserver an request_uri zurücksendet, aber ich finde keine Möglichkeit, dies mit DotNetOpenAuth anzugeben.
Standardmäßig sieht es so aus, als ob der Code die SessionID als Statusparameter verwendet, um zu überprüfen, ob die Anforderung vom Autorisierungsserver zurückkommt. Durch die Angabe eines IClientAuthorizationTrackers in der WebServerClient-Klasse kann ich meine Logik anschließen, wenn die Antwort vom Autorisierungsserver zurückkommt, aber nicht aufgerufen wird, wenn die Autorisierungsanforderung vorbereitet wird. Daher kann ich meinen zusätzlichen Status nicht einbinden.
Dies ist Code aus WebServerClient.cs des PrepareRequestUserAuthorization:
// Mitigate XSRF attacks by including a state value that would be unpredictable between users, but
// verifiable for the same user/session.
// If the host is implementing the authorization tracker though, they're handling this protection themselves.
if (this.AuthorizationTracker == null) {
var context = this.Channel.GetHttpContext();
if (context.Session != null) {
request.ClientState = context.Session.SessionID;
} else {
Logger.OAuth.WarnFormat("No request context discovered, so no client state parameter could be set to mitigate XSRF attacks.");
}
}
Es gibt keinen anderen Block hier was, was ich erwartet hätte der Lage sein, zusammen zu spielen und in meiner eigenen Daten stecken.
Irgendwelche Tipps, was ich vermisse?
Ich wollte sagen callback_uri im Gegensatz zu request_uri – Ameen