基于DotNetOpenAuth实现OpenID 服务提供者

EverBox网盘（www.everbox.com）是由盛大创新院推出的一款网盘产品，提供了超大的免费存储空间（可升级到 10GB），支持文件同步、文件分享、在线浏览照片、在线听音乐等功能，并提供 Windows 客户端程序。其中有一项是可以使用第三方的账号注册使用，也就是OAuth登陆，说的更具体的就是用OpenID了,谁需要EverBox的邀请可以给我留言或者QQ上找我。

OpenID 是一个以用户为中心的数字身份识别框架，它具有开放、分散、自由等特性。 OpenID 的创建基于这样一个概念：我们可以通过 URI （又叫 URL 或网站地址）来认证一个网站的唯一身份，同理，我们也可以通过这种方式来作为用户的身份认证。由于URI 是整个网络世界的核心，它为基于URI的用户身份认证提供了广泛的、坚实的基础。

OpenID 系统的第一部分是身份验证，即如何通过 URI 来认证用户身份。目前的网站都是依靠用户名和密码来登录认证，这就意味着大家在每个网站都需要注册用户名和密码，即便你使用的是同样的密码。如果使用 OpenID （参见规范），你的网站地址（URI）就是你的用户名，而你的密码安全的存储在一个 OpenID 服务网站上（你可以自己建立一个 OpenID 服务网站，也可以选择一个可信任的 OpenID 服务网站来完成注册）。具体可以参考园友的文章 如何在ASP.NET中创建OpenID。

下面的部分我重点是在如何把自己网站的账号通过OpenID开放出来，类似于QQ，Gmail，baidu，盛大通行证账号的一键式登陆。

OpenID协议非常易于扩展，下面的图表展示了OpenID2.0草案的基本工作流程。它展示了在终端用户、Relying Party站点（一个示例站点）和OpenID服务提供者之间的交互过程（最常见的认证流程），更详细的信息参考OpenID使用手册。

国际化资源标识符对于OpenID中的XRI的支持是必不可少的一项，.NET 3.5之后的版本对国际化资源标识符支持很好了，国际化资源标识符支持Web 地址通常使用由一组非常有限的字符组成的通用资源标识符 (URI) 来表示。一般来说，这些地址中只能包含英文字母表中的大、小写字母、数字 0 到 9 以及少量其他包括逗号和连字符在内的 ASCII 符号。对于世界上使用非拉丁字母字符集（如日文和希伯莱文）的地区来说，这种语法不是很方便。设想一下诸如 www.BaldwinMuseumOfScience.com 的地址，如果您讲英语，这个地址便很容易理解和记忆。但是，如果您不会说英语，则这个 URL 看上去跟符号的随机排列没什么差别。如果您只会说英语，您能记住用中文写的一长串地址吗？国际化资源标识符（或 IRI）支持非 ASCII 字符，或者更准确的说是 Unicode/ISO 10646 字符。这意味着域名可以包含 Unicode 字符，即可以有这样的 URL：http://微軟中国香港.com。我们已将现有的 System.Uri 类扩展为根据 RFC 3987 提供 IRI 支持（请参见 faqs.org/rfcs/rfc3987.html）。对于当前的用户来说，除非他们特意选择启用 IRI 功能，否则不会看到 .NET Framework 2.0 的行为有任何变化。原因是我们要确保 3.5 版本与以前版本的应用程序兼容。如果选择采用，您必须做两项更改。首先，将下列元素添加到 machine.config 文件：

<section name="uri" type="System.Configuration.UriSection, System,  Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />    

然后，指定是否应将国际化域名 (IDN) 分析应用到域名中，以及是否应该应用 IRI 分析规则。这可以在整个计算机范围的 machine.config 或单个应用程序的 app.config 中进行，如：复制代码

<configuration>     
   <uri>     
      <idn enabled="All" />     
      <iriParsing enabled="true" />     
   </uri>     
</configuration>     

启用 IDN 可以将域名中的所有 Unicode 标签转换成其 Punicode 等同项。Punicode 名称只含有 ASCII 字符，而且总是以前缀“xn--”开头。这是因为 Internet 上目前部署的大多数 DNS 服务器仅支持 ASCII 字符。启用 IDN 只会影响 Uri.DnsSafeHost 属性的值。对于微軟中国香港.com 来说，它包含 xn--g5tu63aivy37i.com，而 Uri.Host 将包含 Unicode 字符。根据您所使用的 DNS 服务器，在 idn 元素的已启用属性中，有三种可能的 IDN 值供您使用：“All”会将 IDN 名称 (Punicode) 用于所有域名。 “AllExceptIntranet”会将 IDN 名称用于所有外部域名，而将 Unicode 名称用于所有内部域名。仅当 Intranet DNS 服务器支持 Unicode 名称时，这种情况才适用。“None”是默认值，它和 .NET Framework 2.0 的行为相符。 启用 IRI 分析 (iriParsing enabled = "true") 后，系统会根据 RFC 3987 中的最新 IRI 规则进行规范化和字符检查。当默认值为 false 时，则会根据 RFC 2396（请参见 faqs.org/rfcs/rfc2396.html）进行规范化和字符检查。要了解有关通用资源标识符和 Uri 类的更多信息，请参阅在线文档，地址为msdn2.microsoft.com/system.uri。

.NET下使用OpenID,有两种解决方案，第一个就是基于开源的社区解决方案 :dotnetopenauth. 网址为: http://www.dotnetopenauth.net/，第二个是基于微软的Windows身份验证基础(Windows Identity Foundation (WIF))。

先简要介绍一下WIF，Windows身份验证基础 (先前代号为 Geneva 框架) 是微软.NET框架的一个新拓展,它帮助开发者构建具有声明意识的应用程序(这将使您的应用程序的用户认证客观化),改善开发者生产力,增强应用程序安全性,提供协同合作性。基于可协同合作的标准协议，WIF以及基于声明的身份验证模式，可以使得在云端或非云端的ASP.NET与WCF的应用程序，实现单点登陆，个性化，联合化，强验证，身份验证委托，以及其他验证功能。

使用WIF，无论应用程序托管于非云端还是Windows Azure，开发者可以使用单一的编程模式来处理身份验证。 因为您只需学习一种模式和一套工具，您的生产力得到了提高，并且如果改变托管的环境，您也可以迅速的上手。因为不论应用程序托管于哪里，模式是不变的，所以使用WIF可以更便捷的将非云端应用程序迁移至Windows Azure（从身份验证的角度），反之亦然。

基于WIF来提供OpenID服务可以参考codeplex上的一个项目http://startersts.codeplex.com/，网站上有很详细的文档，不过相对来说配置比较麻烦点。

下面我们具体介绍基于dotnetopenauth的服务提供者，首先从http://www.dotnetopenauth.net/下载，在例子中有两个Provider（OpenIdProviderMvc、OpenIdProviderWebform）。例子中使用ReadOnlyXmlMembershipProvider，很容易的替换掉这个MembershipProvider为你的用户系统MembershipProvider，就可以将你的用户系统改造成OpenID服务。

默认的示例里头只返回给 Relying Party很少信息.  一般只有两个,一个是:FriendlyIdentifierForDisplay ,就是用户名,一个是ClaimedIdentifier, 是用户的标识.。一般我们还要抓到用户的Email,和个性图标.等等一些有用的东西.但是默认的是不返回的。先看看可以返回什么信息. DotNetOpenAuth中有一个WellKnownAttributes 类, 这个类中定义了一系列可以返回的信息

如何向外提供这些信息呢? 请看下面的示例代码 :

[Authorize]
public ActionResult SendAssertion() {
    IAuthenticationRequest authReq = PendingAuthenticationRequest;
    PendingAuthenticationRequest = null; // clear session static so we don't do this again
    if (authReq == null) {
        throw new InvalidOperationException("There's no pending authentication request!");
    }

    if (authReq.IsDirectedIdentity) {
        authReq.LocalIdentifier = Models.User.GetClaimedIdentifierForUser(User.Identity.Name);
    }
    if (!authReq.IsDelegatedIdentifier) {
        authReq.ClaimedIdentifier = authReq.LocalIdentifier;
    }

    // Respond to AX/sreg extension requests.
    //// Real web sites would have code here
    ClaimsResponse sregResponse = null;
    var sregRequest = authReq.GetExtension<ClaimsRequest>();
    if (sregRequest != null)
    {
        MembershipUser user = Membership.GetUser();
        if (user != null)
        {
            sregResponse = sregRequest.CreateResponse();
            //sregResponse.BirthDate = user.
            sregResponse.Email = user.Email;
            sregResponse.FullName = user.UserName;

        }
        authReq.AddResponseExtension(sregResponse);
    }          

    authReq.IsAuthenticated = this.UserControlsIdentifier(authReq);
    return OpenIdProvider.PrepareResponse(authReq).AsActionResult();
}

具体的使用方面可以参考以下几篇文章：

为您的.NET网站增加OpenID,Window Live,人人网等多种登录方式之一: 增加OpenID登录

Asp.net MVC使用OpenId指南

OpenID and OAuth using DotNetOpenAuth in ASP.NET MVC