Dotnetopenauth - 資源所有者密碼憑據與WebAPI流動

Question

我打算將現有的ASP.NET WebAPI API公開給移動應用程序。我想通過Dotnetopenauth使用OAuth2資源所有者密碼憑證流程，以便用戶可以將我們的用戶名和密碼輸入到我們的移動應用程序登錄屏幕（而不是在Web查看器中打開屏幕等）並接收身份驗證令牌。

因此，我們的設置如下：

• 資源服務器 - 用的ASP.NET Web API
• 客戶端內置的API - 移動應用
• 資源所有者 - 最終用戶

我一直在玩OAuth2ProtectedWebApi sample，雖然我明白它在做什麼，我不知道如何將其轉換爲資源所有者密碼憑證流。

我的問題是：

• 我應該直接發佈的請求從我的登錄頁TokenController，在這個例子中完全繞開了UserController的？
• 在資源所有者密碼憑證流中，應在哪裏完成授權？例如，爲了根據Active Directory或數據庫驗證用戶名：密碼，應在何處將邏輯放置在這種流程中？

任何建議，將不勝感激，

感謝

JP

Answer 1

你爲什麼要使用DNOA？資源所有者流現在是Web API v2的一部分 - 並且很容易實現。

我寫到這裏的演練： http://leastprivilege.com/2013/11/13/embedding-a-simple-usernamepassword-authorization-server-in-web-api-v2/

本文介紹了流程以及在何處執行用戶身份驗證。