ASP.NET IdentityのToken 認証 のバックアップ(No.13)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• ソース を表示
• ASP.NET IdentityのToken 認証 は削除されています。
  • 1 (2016-11-08 (火) 11:57:21)
  • 2 (2016-11-08 (火) 11:58:17)
  • 3 (2016-11-15 (火) 09:11:31)
  • 4 (2016-11-25 (金) 13:14:16)
  • 5 (2016-11-29 (火) 13:25:36)
  • 6 (2016-11-29 (火) 15:14:06)
  • 7 (2016-11-29 (火) 21:19:23)
  • 8 (2016-12-01 (木) 18:48:38)
  • 9 (2016-12-02 (金) 11:52:39)
  • 10 (2016-12-06 (火) 17:17:36)
  • 11 (2016-12-06 (火) 19:58:55)
  • 12 (2016-12-07 (水) 11:10:37)
  • 13 (2016-12-08 (木) 15:02:42)
  • 14 (2016-12-12 (月) 12:27:39)
  • 15 (2016-12-12 (月) 15:46:30)
  • 16 (2016-12-13 (火) 10:12:51)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

ASP.NET Identityは、

プロトコル †

OAuth †

OAuthのクレームベース認証のEndpoint追加をサポートしており、
これにより、Java、JavaScript、Perl、PHP、Python、Rubyなどの
「非 .NET 環境」と認証処理を連携させることもできる。

この処理は、ASP.NET SPAテンプレートの以下のEndpointに実装されている。  

• ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) ? Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/
  • http://localhost:XXXX/Token Endpoint
  • http://localhost:XXXX/Account/Authorize Endpoint
  • http://localhost:XXXX/任意Resource用のEndpoint

URLは変更可能。上記は既定値。

OpenId Connect? †

OpenId Connect?のサーバー実装は、現時点（2016年）では提供されていない。

• https://github.com/jchannon/katanaproject/tree/master/src/Microsoft.Owin.Security.OpenIdConnect
• https://github.com/jchannon/katanaproject/tree/master/src/Microsoft.Owin.Security.OAuth

認証サイト †

構成 †

• ASP.NET MVCアプリケーションとして作成する。
• ASP.NET Identityを用いて、各 Web アプリのアカウント管理を行う。
• ユーザー情報へのアクセスには、既定のEntity Frameworkを使用する。
• ユーザー情報は、既定の LocalDb? に格納する。

準備 †

1. Visual Studio 2015 で、新規 ASP.NET Web アプリケーションを作成する。
2. 「新しい ASP.NET プロジェクト」ダイアログで、以下を選択する。
   • テンプレート: ASP.NET MVC
   • 認証の変更: 個別のユーザー アカウント
3. Visual Studio の「パッケージ マネージャー コンソール」で、以下のコマンドを実行する。

   Install-Package Microsoft.AspNet.WebApi
   Install-Package Microsoft.AspNet.WebApi.Owin
   Install-Package Microsoft.AspNet.WebApi.Cors

連携サイト（, システム, アプリ） †

cURLコマンド †

http://localhost:XXXX/Token Endpointのシナリオを検証する。

• HTTPClientなどから/Token Endpointにアクセスして連携するシナリオ。
• 自サイト内に閉じないため、CORS (Cross-Origin Resource Sharing)への対応が必要。

JavaScript †

http://localhost:XXXX/Account/Authorize Endpointのシナリオを検証する。

• SPA（Browser＋WebAPI）で、WebAPI（OAuthリソース）へのアクセスを認可するシナリオ。
• 自サイト内に閉じるため、CORS (Cross-Origin Resource Sharing)への対応が不要。

/Token Endpointの検証手順 †

以下のブログの内容を参考に、
「Resource Owner Password Credentialsグラント種別」のシナリオの検証を行うことができる。

• ASP.NET WebAPI2でAjaxでOAuth認証するよ
  (ついでにTypeScriptとReact) - かずきのBlog@hatena
  http://blog.okazuki.jp/entry/2016/01/15/215901
• asp.net - How do you consume extra parameters
  in OAuth2 Token request within .net WebApi2 application - Stack Overflow
  http://stackoverflow.com/questions/21243996/how-do-you-consume-extra-parameters-in-oauth2-token-request-within-net-webapi2
• c# - Can't get UserManager? from OwinContext? in apicontroller - Stack Overflow
  http://stackoverflow.com/questions/24001245/cant-get-usermanager-from-owincontext-in-apicontroller
• Simple OAuth Server: Implementing a Simple OAuth Server
  with Katana OAuth Authorization Server Components (Part 1) - Tugberk Ugurlu's Blog
  http://www.tugberkugurlu.com/archive/simple-oauth-server-implementing-a-simple-oauth-server-with-katana-oauth-authorization-server-components-part-1

前提 †

ここでは、以下のような前提の検証用アプリケーションを構築する。

 +--------+                               +----------------+
 |  非    |--(A)- Authorization Request ->|  ASP.NET       |
 |  .     |                               |  Identity      |
 |  N     |<-(B)----- Bearer Token -------|                |
 |  E     |                               |                |
 |  T     |--(C)----- Bearer Token ------>|                |   +-----------+
 |  環    |                               |                |---| UserStore |
 |  境    |<-(D)--- Protected Resource ---|                |   +-----------+
 +--------+                               +----------------+

• 処理順

1. (A) Authorization処理 と Bearer Token発行のEndpointへRequestする。
2. (B) 認証処理後、内部ではClaimsIdentity?を生成してSign-inされ、Bearer TokenがResponseされる。
3. (C) Bearer Tokenを持って、Resources用のEndpointにRequestする。
4. (D) Resources用のEndpointからClaim等のリソースがResponseされる。

• ポイント
  • Authorization処理 と Bearer Token発行のEndpoint
    http://localhost:XXXX/Token
  • Resources用のEndpoint
    http://localhost:XXXX/api/OAuthResource/GetClaim

• 連携サイト（, システム, アプリ）では、上記のResources用のEndpointから
  取得したクレーム情報を元に、認可を行い、Cookie認証チェットを発行する。

認証サイト開発 †

コードの提示はGithub登録まで待ってください。

Web アプリ開発 †

ここの検証では、cURLコマンドを使用するため開発不要。

認証連携の動作検証 †

cURLコマンドを使用して認証連携の動作を検証する。

処理の概要 †

• /Token Endpointに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
  • POST
  • Content-Type: application/x-www-form-urlencoded;
  • body:grant_type=password&username=ユーザ名&password=パスワード

• Bearer Tokenをヘッダに指定してResources用のEndpointにアクセスするとResources情報を取得できる。
  • GET
  • Authorization: Bearer XXXXXXXXXX
  • Content-Type: application/json; charset=utf-8;

cURLコマンド †

Debug ProxyにFiddler等を使用すると尚良
（其の際は、 --proxy オプションを指定する必要がある）。

• Bearer Tokenの取得
  • Request (cURLコマンド)

    >curl "http://localhost/Token" -H "Content-Type: application/x-www-form-urlencoded;" -d "grant_type=password" -d "username=XXXXX" -d "password=YYYYY"

  • Response (Body)

    {"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn}

• Bearer Tokenを使用したOAuthリソースへのアクセス
  • Request (cURLコマンド)

    >curl "http://localhost/api/OAuthResource/GetClaim" -H "Authorization: Bearer XXXXXXXXXX" -H "Content-Type: application/json; charset=utf-8;"

  • Response (Body)

    {"id":"XXXXX","userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}

/Account/Authorize/ Endpointの検証手順 †

ここでは、以下の手順で作成した検証手順を使用して、
「Implicitグラント種別」のシナリオの検証を行うことができる。

1. ASP.NET SPAテンプレートの動作確認を行なった後、
2. ASP.NET MVCテンプレートの差分を確認した上で、
3. OAuthに必要な実装を抽出し、
4. ASP.NET MVCテンプレートにOAuthのEndpointを追加する手順を書き出し、
5. その手順の妥当性を以下の検証手順によって検証した。

前提 †

ここでは、以下のような前提の検証用アプリケーションを構築する。

 +--------+                               +----------------+
 |        |--(A)- Authorization Request ->|                |
 |        |                               |                |
 |        |<-(B)-- Authorization Grant ---|                |
 |        |                               |                |
 |  非    |                               |                |
 |  .     |                               |                |
 |  N     |--(C)-- Authorization Grant -->|  ASP.NET       |
 |  E     |                               |  Identity      |
 |  T     |<-(D)----- Bearer Token -------|  Token認証機能 |
 |  環    |                               |                |
 |  境    |                               |                |
 |        |                               |                |
 |        |--(E)----- Bearer Token ------>|                |
 |        |                               |                |   +-----------+
 |        |<-(F)--- Protected Resource ---|                |---| UserStore |
 +--------+                               +----------------+   +-----------+

• 処理順

1. (A) 認証サイトのForms認証機構へRequestする。
2. (B) 発行されたCookie認証チェットのResponseされる。
3. (C) Cookie認証チェットを持って、OAuth用のEndpointにRequestする。
   既に認証されているので、内部ではClaimsIdentity?を生成してSign-inされる。
   すると、OAuthProvider?がBearer Token用のEndpointにRedirectされる。
4. (D) Bearer Token用のEndpointからBearer TokenがResponseされる。
5. (E) Bearer Tokenを持って、Resources用のEndpointにRequestする。
6. (F) Resources用のEndpointからClaim等のリソースがResponseされる。

• ポイント
  • OAuth用のEndpoint
    http://localhost:XXXX/Account/Authorize
  • Bearer Token用のEndpoint
    http://localhost:XXXX/Account/ReturnBearerTokenScreen
  • Resources用のEndpoint
    http://localhost:XXXX/api/OAuthResource/GetClaim

認証サイト開発 †

コードの提示はGithub登録まで待ってください。

ApplicationOAuthProvider?の追加 †

Providersフォルダを作成し、OAuthのProviderであるApplicationOAuthProvider?を追加する。

Startup.Authで、定義したApplicationOAuthProvider?を登録 †

前述のApplicationOAuthProvider?をOAuthのProviderとして登録する。

AccountControlle?に、Authorizeメソッドを追加 †

Authorizeメソッドで認証を行なう。

Authorizeメソッドで認証した後、

1. Bearer Tokenを発行する。
2. クライアントはBearer Tokenを使用してOAuthリソースにアクセスする。
3. サーバはOAuthリソースへのアクセスを認可できるようになる。

AccountControlle?にReturnBearerTokenScreen?メソッドを追加 †

Authorizeメソッド実行後にRedirectされる先のAction MethodとViewを準備する。

• Action Method
  URL に付与された、Bearer Token を取得し、Bearer Tokenを返す。

• View
  通常、Bearer Tokenが露見しないように、Hiddnか何かに埋め込む。

WebApiConfig?の追加 †

App_Startフォルダに、ASP.NET Web APIの設定を行うためのWebApiConfig?.csを追加する。

Global.Application_Startメソッドで、定義したWebApiConfig?を登録 †

Global.asax.csのApplication_Startメソッドで、定義したWebApiConfig?の設定を登録。

OAuthClaimViewModel?の追加 †

Models フォルダに、Claimを返すためのOAuthClaimViewModel?.csを追加する。

OAuthResourceController?の追加 †

Controller フォルダに、Claimを返すためのOAuthResourceController?.csを追加する。
ここに、Claim等のOAuthのResourcesを返すためのASP.NET Web APIのメソッドを追加する。

Web アプリ開発 †

JavaScriptとして実装する。

コードの提示はGithub登録まで待ってください。

認証連携の動作検証 †

次のURLでアクセスするだけでよい。

http://localhost/Account/Authorize?client_id=self&response_type=token

/Account/Authorize/ Endpointに到達する前に、Forms認証されるため、
/Account/Authorize/ Endpointでは、Forms認証のクレデンシャルを使用して認証し、
Tokenを発行→OAuthリソースにアクセスする。

その他 †

セキュリティに関する考察 †

Resource Owner Password Credentialsグラント種別 †

HTTPSはホスト名の部分だけ情報として渡し、
以後のパスやクエリストリング情報は暗号化される。

従ってGETでも一応安全だが、

• アクセスログに残る
• ブラウザの履歴に残る
• リファラーに残る

という問題がある。

従って、このグラント種別では、

• 基本的に、Browserから実行させてはいけない。
• また、Webサーバで、W3Cログ等を出力させないようにする。

などが必要になると考える。

IISならW3Cログの出力をカスタマイズできる。

• 参考
  • HTTPSとQueryString?
    • security - Secure Oauth 2.0 Resource Owner Password Credentials Grant Type - Stack Overflow
      http://stackoverflow.com/questions/39129331/secure-oauth-2-0-resource-owner-password-credentials-grant-type
    • httpsでqueryStringは安全か | Rutakeの技術メモ
      http://cloudfront.rutake.com/techmemo/2011/01/26/https%E3%81%A7querystring%E3%81%AF%E5%AE%89%E5%85%A8%E3%81%8B/
  • QueryString?のログ出力
    • logging - Does IIS7 log request query string by default? - Stack Overflow
      http://stackoverflow.com/questions/19918561/does-iis7-log-request-query-string-by-default
    • Does IIS log query strings in a https request? : The Official Microsoft IIS Forums
      https://forums.iis.net/t/1178176.aspx

参考 †

Tsmatz †

• ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/

かずきのBlog@hatena †

• ASP.NET WebAPI2でAjaxでOAuth認証するよ(ついでにTypeScriptとReact)
  http://blog.okazuki.jp/entry/2016/01/15/215901
• HttpClient?クラスがリダイレクトをよきに計らってくれるのをどうにかしたい
  http://blog.okazuki.jp/entry/20121225/HttpClientTips

The OAuth 2.0 Authorization Framework †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  https://tools.ietf.org/html/rfc6749

RFC 6749 - 4.3. Resource Owner Password Credentials Grant †

• memo: Force.com : REST API 開発 ユーザ名パスワード OAuth 認証
  http://vaindespair.blogspot.jp/2013/01/blog-post_5252.html
  • Understanding the Username-Password OAuth Authentication Flow
    Force.com REST API Developer Guide | Salesforce Developers
    https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/intro_understanding_username_password_oauth_flow.htm

• Resource Owner Password Credentials Grantについてはコチラ。

RFC 6750 - Bearer Token Usage †

• OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わってなかった - r-weblife
  http://d.hatena.ne.jp/ritou/20110402/1301679908
  • The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）
    http://openid-foundation-japan.github.io/rfc6750.ja.html

• RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage
  https://tools.ietf.org/html/rfc6750

 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+

ASP.NET Identityによる認証サイト
= 上記図中のResource Owner, Authorization Server, Resource Serverに該当する。

OAuth 2.0のフロー定義 †

OAuth 2.0仕様には4つのフローが定義されている。
これらのフローのタイプを「グラント種別」と呼ばれる。

• IPA ISEC　セキュア・プログラミング講座：
  Webアプリケーション編　第8章 マッシュアップ：サーバサイドマッシュアップ
  https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/709.html

以下の様な「グラント種別」がある模様。

Authorization Codeグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.1. Authorization Code Grant
  https://tools.ietf.org/html/rfc6749#section-4.1

• Authorization Code Flow

  +----------+
  | Resource |
  |   Owner  |
  |          |
  +----------+
       ^
       |
      (B)
  +----|-----+          Client Identifier      +---------------+
  |         -+----(A)-- & Redirection URI ---->|               |
  |  User-   |                                 | Authorization |
  |  Agent  -+----(B)-- User authenticates --->|     Server    |
  |          |                                 |               |
  |         -+----(C)-- Authorization Code ---<|               |
  +-|----|---+                                 +---------------+
    |    |                                         ^      v
   (A)  (C)                                        |      |
    |    |                                         |      |
    ^    v                                         |      |
  +---------+                                      |      |
  |         |>---(D)-- Authorization Code ---------'      |
  |  Client |          & Redirection URI                  |
  |         |                                             |
  |         |<---(E)----- Access Token -------------------'
  +---------+       (w/ Optional Refresh Token)

Note: The lines illustrating steps (A), (B), and (C) are broken into two parts as they pass through the user-agent.

Implicitグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.2. Implicit Grant
  https://tools.ietf.org/html/rfc6749#section-4.2

• Implicit Grant Flow

  +----------+
  | Resource |
  |  Owner   |
  |          |
  +----------+
       ^
       |
      (B)
  +----|-----+          Client Identifier     +---------------+
  |         -+----(A)-- & Redirection URI --->|               |
  |  User-   |                                | Authorization |
  |  Agent  -|----(B)-- User authenticates -->|     Server    |
  |          |                                |               |
  |          |<---(C)--- Redirection URI ----<|               |
  |          |          with Access Token     +---------------+
  |          |            in Fragment
  |          |                                +---------------+
  |          |----(D)--- Redirection URI ---->|   Web-Hosted  |
  |          |          without Fragment      |     Client    |
  |          |                                |    Resource   |
  |     (F)  |<---(E)------- Script ---------<|               |
  |          |                                +---------------+
  +-|--------+
    |    |
   (A)  (G) Access Token
    |    |
    ^    v
  +---------+
  |         |
  |  Client |
  |         |
  +---------+

Note: The lines illustrating steps (A) and (B) are broken into two parts as they pass through the user-agent.

Resource Owner Password Credentialsグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.3. Resource Owner Password Credentials Grant
  https://tools.ietf.org/html/rfc6749#section-4.3

• Resource Owner Password Credentials Flow

  +----------+
  | Resource |
  |  Owner   |
  |          |
  +----------+
       v
       |    Resource Owner
      (A) Password Credentials
       |
       v
  +---------+                                  +---------------+
  |         |>--(B)---- Resource Owner ------->|               |
  |         |         Password Credentials     | Authorization |
  | Client  |                                  |     Server    |
  |         |<--(C)---- Access Token ---------<|               |
  |         |    (w/ Optional Refresh Token)   |               |
  +---------+                                  +---------------+

• 補足
  • ASP.NET Identityによる認証サイト = Authorization Server に該当する。
  • Clientは、Authorization Serverの情報を元に認可をする連携サイト（, システム, アプリ）。
  • Resource OwnerはUserIDやPasswordを保持しているユーザやシステム。

Client Credentialsグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.3. Resource Owner Password Credentials Grant
  https://tools.ietf.org/html/rfc6749#section-4.4

• Client Credentials Grant

  +---------+                                  +---------------+
  |         |                                  |               |
  |         |>--(A)- Client Authentication --->| Authorization |
  | Client  |                                  |     Server    |
  |         |<--(B)---- Access Token ---------<|               |
  |         |                                  |               |
  +---------+                                  +---------------+

---

Tags: :ASP.NET, :ASP.NET MVC, :ASP.NET SPA, ASP.NET Web API, :ASP.NET Identity

Special thanks go to mg-san for his support.

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.059 sec.