OAuth2.0, MVC4 и Yandex

17 Сен
2012

Если вы разрабатываете проект на MVC 4 с использованием авторизации по протоколу OAuth 2,0 используя DotNetOpenAuth и хотите прикрутить авторизацию через аккаунты Yandex, то у вас определенно возникнут с этим трудности.

Ну во-первых, нужно будет написать OAuth2,0 клиент для работы с Яндексом. В этом нет ни чего сложного. Нужно только взять уже написанный клиент, скажем, для Facebook (из репов DotNetOpenAuth на GitHub) и подправить некоторый код.

Я пошел немного другим путем и написал по своему, но суть от этого не меняется:

//-----------------------------------------------------------------------
// <copyright file="YandexOAuthClient.cs" company="R@Me0">
// Copyright (c) R@Me0. All rights reserved.
// </copyright>
//-----------------------------------------------------------------------

namespace DotNetOpenAuth.AspNet.Clients
{
using System;
using System.Collections.Generic;
using System.Diagnostics.CodeAnalysis;
using System.Net;
using System.Web;
using DotNetOpenAuth.Messaging;
using Newtonsoft.Json.Linq;
using System.IO;
using System.Text.RegularExpressions;
using System.ComponentModel;
using System.Runtime.Serialization;

/// <summary>
/// The yandex client.
/// </summary>
[SuppressMessage("Microsoft.Naming", "CA1704:IdentifiersShouldBeSpelledCorrectly", MessageId = "Yandex", Justification = "Brand name")]
public sealed class YandexClient : OAuth2Client
{
#region Constants and Fields

/// <summary>
/// The authorization endpoint.
/// </summary>
private const string AuthorizationEndpoint = "https://oauth.yandex.ru/authorize?response_type=code&amp;amp;amp;amp;amp;amp;client_id={0}&amp;amp;amp;amp;amp;amp;state={1}";

/// <summary>
/// The token endpoint.
/// </summary>
private const string TokenEndpoint = "https://oauth.yandex.ru/token";

private const string TokenPostFormat = "grant_type=authorization_code&amp;amp;amp;amp;amp;amp;code={0}&amp;amp;amp;amp;amp;amp;client_id={1}&amp;amp;amp;amp;amp;amp;client_secret={2}&amp;amp;amp;amp;amp;amp;state={3}";

/// <summary>
/// The _app id.
/// </summary>
private readonly string appId;

/// <summary>
/// The _app secret.
/// </summary>
private readonly string appSecret;

#endregion

#region Constructors and Destructors

/// <summary>
/// Initializes a new instance of the <see cref="YandexClient"/> class.
/// </summary>
/// <param name="appId">
/// The app id.
/// </param>
/// <param name="appSecret">
/// The app secret.
/// </param>
public YandexClient(string appId, string appSecret)
: base("yandex")
{
if (string.IsNullOrEmpty(appId))
throw new ArgumentException("appId");

if (string.IsNullOrEmpty(appSecret))
throw new ArgumentException("appSecret");

this.appId = appId;
this.appSecret = appSecret;
}

#endregion

#region Methods

/// <summary>
/// The get service login url.
/// </summary>
/// <param name="returnUrl">
/// The return url.
/// </param>
/// <returns>An absolute URI.</returns>
protected override Uri GetServiceLoginUrl(Uri returnUrl)
{
return new Uri(
string.Format(AuthorizationEndpoint, appId, Uri.EscapeDataString(returnUrl.AbsoluteUri))
);
}

public override void RequestAuthentication(HttpContextBase context, Uri returnUrl){
HttpContextBase c = context;
Uri r = returnUrl;

string redirectUrl = this.GetServiceLoginUrl(returnUrl).AbsoluteUri;
context.Response.Redirect(redirectUrl, endResponse: true);

}

/// <summary>
/// Obtains an access token given an authorization code and callback URL.
/// </summary>
/// <param name="returnUrl">
/// The return url.
/// </param>
/// <param name="authorizationCode">
/// The authorization code.
/// </param>
/// <returns>
/// The access token.
/// </returns>
protected override string QueryAccessToken(Uri returnUrl, string authorizationCode)
{

var message = string.Format(TokenPostFormat, authorizationCode, appId, appSecret, Uri.EscapeDataString(returnUrl.AbsoluteUri));
var tokenRequest = WebRequest.Create(TokenEndpoint);
tokenRequest.ContentType = "application/x-www-form-urlencoded";
tokenRequest.ContentLength = message.Length;
tokenRequest.Method = "POST";

using (var requestStream = tokenRequest.GetRequestStream())
{
var writer = new StreamWriter(requestStream);
writer.Write(message);
writer.Flush();
}

var tokenResponse = (HttpWebResponse)tokenRequest.GetResponse();
if (tokenResponse.StatusCode == HttpStatusCode.OK)
{
using (var responseStream = tokenResponse.GetResponseStream())
{
var reader = new StreamReader(responseStream);
var responseText = reader.ReadToEnd();
try
{
JObject j = JObject.Parse(responseText);

//JArray j = JArray.ReadFrom(reader);

return j["access_token"].ToString();
}
catch (Exception)
{
return null;
}
}
}

return null;
}

/// <summary>
/// The get user data.
/// </summary>
/// <param name="accessToken">
/// The access token.
/// </param>
/// <returns>A dictionary of profile data.</returns>
protected override IDictionary<string, string> GetUserData(string accessToken)
{
var request = WebRequest.Create("https://login.yandex.ru/info?format=json&amp;amp;amp;amp;amp;amp;oauth_token=" + accessToken);
JObject json = null;

using (var response = request.GetResponse())
{
using (var responseStream = response.GetResponseStream())
{
var reader = new StreamReader(responseStream);
json = JObject.Parse(reader.ReadToEnd());
}
}

var userData = new Dictionary<string, string>();

userData.Add("id", (string)json["id"]);
userData.Add("username", (string)json["default_email"]);
userData.Add("name", (string)json["display_name"]);
userData.Add("gender", (string)json["sex"]);
userData.Add("birthday", (string)json["birthday"]);

return userData;

}

#endregion
}

}

Дальше, в AppStart/AuthConfig.cs подключаем новый драйвер авторизации:

OAuthWebSecurity.RegisterClient(
new DotNetOpenAuth.AspNet.Clients.YandexClient(
"c9-----8bbfd4----7a54d----13851d",
"d5-------9ea---090045------cd602"
), "Яндекс", null
);

Казалось бы все, кнопки появляются, перенаправление на Яндекс идет, НО авторизация, даже после подтверждения пользователем не проходит.

Почему? Все просто: потому, что Yandex в своей реализации OAuth аутентификации немного отступил от стандарта, а именно, он не принимает redirect_uri, без которого разработанный наш клиент не получает определенные параметры необходимые для подтверждения регистрации на нашем сайте.

Лирическое отступление: решение я искал очень долго (часа 4) перекопал весь код OAuth2Client перепробовал кучу вариантов, пока не нашел разумное решение.

Итак, если вы внимательно смотрели код, то возможно обратили внимание на шаблоны строк «AuthorizationEndpoint» и «TokenEndpoint». В них появился добавился параметр «state», в котором можно передать все что душе угодно. Он без изменений подсоединится к адресу, на который будет стучаться Яндекс, подтверждая (или не подтверждая) авторизацию.

Так вот, мое решение базируется именно на использовании этого параметра. Как вы можете увидеть, в функциях «GetServiceLoginUrl» и «QueryAccessToken», мы передаем в него нашу redirect_uri.

Далее, в нашем коде, в контроллере обрабатывающем ответы от OAuth сервисов (AccountController) нужно немного изменить код. Так, чтобы, если ответ приходит от Яндекса, мы брали параметр state и делали редирект на него. Я сделал это вот таким образом:

public ActionResult ExternalLoginCallback(string returnUrl)
{
string state = this.HttpContext.Request.QueryString.Get("state");
string redirected = this.HttpContext.Request.QueryString.Get("redirected");
if ((redirected== null || redirected == string.Empty) &amp;amp;amp;amp;amp;&amp;amp;amp;amp;amp; (returnUrl == string.Empty || returnUrl == null) &amp;amp;amp;amp;amp;&amp;amp;amp;amp;amp; state != string.Empty)
{
//returnUrl = Uri.UnescapeDataString(state);
return Redirect(state + "&amp;amp;amp;amp;amp;" + this.HttpContext.Request.QueryString.ToString() + "&amp;amp;amp;amp;amp;redirected=redirected");
}
AuthenticationResult result = OAuthWebSecurity.VerifyAuthentication(Url.Action("ExternalLoginCallback", new { ReturnUrl = returnUrl }));
if (!result.IsSuccessful)
{
return RedirectToAction("ExternalLoginFailure");
}

if (OAuthWebSecurity.Login(result.Provider, result.ProviderUserId, createPersistentCookie: false))
{
return RedirectToLocal(returnUrl);
}

if (User.Identity.IsAuthenticated)
{
// If the current user is logged in add the new account
OAuthWebSecurity.CreateOrUpdateAccount(result.Provider, result.ProviderUserId, User.Identity.Name);
return RedirectToLocal(returnUrl);
}
else
{
// User is new, ask for their desired membership name
string loginData = OAuthWebSecurity.SerializeProviderUserId(result.Provider, result.ProviderUserId);
ViewBag.ProviderDisplayName = OAuthWebSecurity.GetOAuthClientData(result.Provider).DisplayName;
ViewBag.ReturnUrl = returnUrl;
return View("ExternalLoginConfirmation", new RegisterExternalLoginModel { UserName = result.UserName, ExternalLoginData = loginData });
}
}

Изменения коснулись только первых 7 строчек кода, точнее эти строчки были добавлены в стандартный код.
Да, кстати, здесь нужно отметить, что я ввел еще один параметр, добавляемый к в QueryString при работе с яндексом — это параметр «redirected», он нужен для того, чтобы наш алгоритм не ушел в бесконечный редирект.

PS. Этот метод реализации OAuth авторизации можно использовать не только для Яндекса, но и для всех сервисов, которые не принимают redirect_uri.

Комментирование приветствуется. Так же, было бы неплохо услышать критику и варианты более красивой реализации, если они у вас появятся

2leep.com

2 комментария к записи OAuth2.0, MVC4 и Yandex

Avatar

Игорь Яндыбаев

15th Ноябрь 2013 в 16:36

Для стандартной webForm регистрации вместо
public ActionResult ExternalLoginCallback(string returnUrl){}
можно добавить в RegisterExternalLogin.aspx.cs в начало private void ProcessProviderResult() следующее
private void ProcessProviderResult()
{
/*Здесь существует два различных варианта входа:
1. Стандарт microsoft msdn Breeze.AspNet.Security.OAuth
2. Через файлы подобные Yandex.cs
второй вариант возможен двух типов
a) тк yandex не принимает redirect_uri, те обратно не передаёт querystring = «__provider__=yandex&__sid__=119861ee7d4d408aa5099d984506bf93» + «code=1969219»
а передаёт лишь querystring = «code=1969219» то при помощи параметра «state» определяемого а Yandex.cs мы восстанавливаем нужное состояние и завершаем регистрацию
б) Возможно переделать Yandex.cs и использовать это как обычный стандарт если не получится использовать Breeze.AspNet.Security.OAuth
Ниже выделена вставка для реализации варианта 2.а) (для обычного варианта она не нужна)
*/
////////////////////////////////////////////////////////////////////////////////
string state = Request.QueryString.Get(«state»);//яндекс
string redirected = Request.QueryString.Get(«redirected»);//яндекс
if (state != string.Empty && state != null && (redirected == string.Empty || redirected == null))//яндекс
{
redirected = «1»;//яндекс
state = state.Substring(state.IndexOf(«?»));//яндекс
string code = Request.QueryString.Get(«code»);//яндекс
Server.Transfer(«~/Account/RegisterExternalLogin.aspx» + state + «&code=» + code + «&redirected=» + redirected);//яндекс
}
/////////////////////////////////////////////////////////////////////////////////
в AuthConfig.cs добавить следующее
OpenAuth.AuthenticationClients.Add(«Яндекс», getYandex);

private static DotNetOpenAuth.AspNet.IAuthenticationClient getYandex()
{
return new DotNetOpenAuth.AspNet.Clients.YandexClient(«265773a43deb40a58a2533def486e7ac», «7b4650d44d0348b8b6c61037f9b5cf05»);
}
/////////////////////////////////////
и все дела
Спасибо автору

Avatar

R@Me0

1st Декабрь 2013 в 16:06

Игорь, спасибо.
Нужно будет потестировать на досуге.

Оставить комментарий или два

*

Наверх