Dotnetopenauth - 资源所有者密码凭据与WebAPI流动

Question

我打算将现有的ASP.NET WebAPI API公开给移动应用程序。我想通过Dotnetopenauth使用OAuth2资源所有者密码凭证流程，以便用户可以将我们的用户名和密码输入到我们的移动应用程序登录屏幕（而不是在Web查看器中打开屏幕等）并接收身份验证令牌。

因此，我们的设置如下：

• 资源服务器 - 用的ASP.NET Web API
• 客户端内置的API - 移动应用
• 资源所有者 - 最终用户

我一直在玩OAuth2ProtectedWebApi sample，虽然我明白它在做什么，我不知道如何将其转换为资源所有者密码凭证流。

我的问题是：

• 我应该直接发布的请求从我的登录页TokenController，在这个例子中完全绕开了UserController的？
• 在资源所有者密码凭证流中，应在哪里完成授权？例如，为了根据Active Directory或数据库验证用户名：密码，应在何处将逻辑放置在这种流程中？

任何建议，将不胜感激，

感谢

JP

Answer 1

你为什么要使用DNOA？资源所有者流现在是Web API v2的一部分 - 并且很容易实现。

我写到这里的演练： http://leastprivilege.com/2013/11/13/embedding-a-simple-usernamepassword-authorization-server-in-web-api-v2/

本文介绍了流程以及在何处执行用户身份验证。