我对OWIN身份验证完全陌生,我一定是误解了一切的工作原理,但是我在任何地方都找不到提到这一点的地方.
我只想使用一个中心域进行身份验证.如果有人试图在未经身份验证的情况下访问apps.domain.com,他们将被重定向到accounts.domain.com/login,以便将所有身份验证分离到其自己的域和应用程序中.这在MVC4表单认证中非常简单,您可以指定完整的URL,但在OWIN中似乎没有.
在Startup.Auth.cs年内:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
LoginPath = new PathString("/account/login")
}
使用CookieDomain选项设置cookie时,很容易指定域.然而,当您指定要重定向到的登录路径时,它必须与当前应用程序相关,那么我该如何实现MVC4表单身份验证中如此简单的功能呢?
在没有深入了解OWIN身份验证的情况下,经过几个小时的搜索,我找不到任何解决这个问题的方法.
public class Startup
{
public void Configuration(IAppBuilder app)
{
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationMode = AuthenticationMode.Active,
LoginPath = new PathString("/account/login"),
LogoutPath = new PathString("/account/logout"),
Provider = new CookieAuthenticationProvider
{
OnApplyRedirect = ApplyRedirect
},
});
}
private static void ApplyRedirect(CookieApplyRedirectContext context)
{
Uri absoluteUri;
if (Uri.TryCreate(context.RedirectUri, UriKind.Absolute, out absoluteUri))
{
var path = PathString.FromUriComponent(absoluteUri);
if (path == context.OwinContext.Request.PathBase + context.Options.LoginPath)
{
context.RedirectUri = "http://accounts.domain.com/login" +
new QueryString(
context.Options.ReturnUrlParameter,
context.Request.Uri.AbsoluteUri);
}
}
context.Response.Redirect(context.RedirectUri);
}
}
如果apps.domain.com是唯一可能的返回URL基数,您应该强烈考虑将context.Request.Uri.AbsoluteUri替换为context.Request.PathBase + context.Request.Path + context.Request.QueryString,并在您的身份验证服务器中构建一个绝对返回URL,以保护您的应用程序不受滥用重定向的影响.
希望这能有所帮助;)
EDIT:您可能会问自己,为什么我不使用context.RedirectUri属性直接应用重定向.事实上,ICookieAuthenticationProvider.ApplyRedirect负责多个重定向,与登录和注销流相对应(是的,我知道,它打破了单一责任原则……).但还有更糟糕的情况:context.RedirectUri既可以表示身份验证端点在登录流开始时的绝对URL,也可以表示最终浏览器的目的地(即.真正的相对"返回URL"),当cookie被有效地发送回浏览器时…这就是为什么我们需要确保context.RedirectUri是绝对的,并且对应于注册的context.Options.LoginPath.