ASP.NET IdentityによるSTS実装 のバックアップ(No.17)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ASP.NET IdentityによるSTS実装 へ行く。
  • 1 (2016-12-13 (火) 14:44:00)
  • 2 (2016-12-13 (火) 15:25:46)
  • 3 (2016-12-13 (火) 20:32:48)
  • 4 (2016-12-13 (火) 22:57:17)
  • 5 (2016-12-14 (水) 11:59:26)
  • 6 (2016-12-14 (水) 17:17:00)
  • 7 (2016-12-14 (水) 23:02:49)
  • 8 (2016-12-15 (木) 11:55:09)
  • 9 (2016-12-16 (金) 18:19:47)
  • 10 (2016-12-16 (金) 22:50:51)
  • 11 (2016-12-19 (月) 23:13:27)
  • 12 (2016-12-20 (火) 10:45:01)
  • 13 (2016-12-20 (火) 13:17:44)
  • 14 (2016-12-20 (火) 19:38:54)
  • 15 (2016-12-21 (水) 12:52:52)
  • 16 (2016-12-23 (金) 14:27:36)
  • 17 (2016-12-27 (火) 09:47:35)
  • 18 (2017-01-04 (水) 11:29:28)
  • 19 (2017-01-04 (水) 15:37:44)
  • 20 (2017-01-06 (金) 21:21:58)
  • 21 (2017-01-10 (火) 12:53:36)
  • 22 (2017-01-12 (木) 17:06:28)
  • 23 (2017-02-27 (月) 18:12:46)
  • 24 (2017-11-17 (金) 15:08:57)
  • 25 (2018-04-04 (水) 13:56:18)
  • 26 (2018-04-04 (水) 17:47:50)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

ASP.NET Identityは、以下のクレームベース認証のセキュアトークンサービス（STS）のEndpoint追加をサポートしている。

プロトコル †

OAuth 2.0 †

• Microsoft.Owin.Security.OAuth.OAuthAuthorizationServerProvider?クラスは、
  OAuthのセキュアトークンサービス（STS）のEndpoint追加をサポートしており、
  これにより、Java、JavaScript、Perl、PHP、Python、Rubyなどの「非 .NET 環境」と認証連携させることもできる。

• なお、OAuth 2.0は認可のプロトコルなので、認証の目的で使用する場合はセキュリティに注意が必要になる。

OpenID Connect †

OpenID Connectのセキュアトークンサービス（STS）のEndpoint追加は、現時点（2016年）では提供されていない。

• https://github.com/jchannon/katanaproject/tree/master/src/Microsoft.Owin.Security.OpenIdConnect
• https://github.com/jchannon/katanaproject/tree/master/src/Microsoft.Owin.Security.OAuth

以下のようなライブラリもある模様（ただし、個人の成果物）

• https://github.com/aspnet-contrib/AspNet.Security.OpenIdConnect.Server
• https://www.nuget.org/packages/AspNet.Security.OpenIdConnect.Extensions/

準備 †

OAuth2.0 Server、Client共に以下からダウンロード可能。

• The ASP.NET Site - OWIN OAuth 2.0 Authorization Server - Download the sample code.

このサンプルは、VS2013・2015で、そのままF5実行可能で非常に便利。

検証 †

ダウンロードしたサンプルを使用して、以下のシナリオの検証ができる。

• Authorization Codeグラント種別
• Implicitグラント種別
• Resource Owner Password Credentialsグラント種別
• Client Credentialsグラント種別

Authorization Codeグラント種別 †

Implicitグラント種別 †

Resource Owner Password Credentialsグラント種別 †

Client Credentialsグラント種別 †

その他 †

Bearer Tokenを暗号化・復号化する秘密鍵 †

• 認可サーバ（AuthorizationServer?）とリソースサーバ（ResourceServer?）が同じマシン上に無い場合、
  Bearer Tokenを暗号化・復号化する秘密鍵を双方のマシン間で一致させる必要がある。

• これには、以下のように、machinekeyを両方のweb.configファイルに追加する必要がある。

  <system.web>
      <machineKey decryptionKey="Enter decryption Key here" 
          validation="SHA1" 
          validationKey="Enter validation Key here" />
  </system.web>

ツール †

machineKeyセクションの生成には、以下のツールが使えそう。

• インストール時に MachineKey? を自動生成する NuGet パッケージを作った - しばやん雑記
  http://blog.shibayan.jp/entry/20150703/1435897073
  • NuGet Gallery | MachineKeyGenerator? 0.4.0
    https://www.nuget.org/packages/MachineKeyGenerator/
    • garafu/MachineKeyGenerator?:
      https://github.com/garafu/MachineKeyGenerator

      This tool allows you to generate random keys for validation and encryption/decription of the view state.

ASP.NET IdentityでRFCに追加されている仕様 †

RFC上の

• 「MUST (しなければならない)」
• 「MUST NOT (してはならない)」
• 「REQUIRED (必須である)」

以外の部分で、強制されている実装を朱書きに設定した。

Authorization Codeグラント種別について †

• client_id
  • 引継：認可エンドポイントまで。
  • 検証：
    • client_id + redirect_uriで、redirectエンドポイントの決定に使用される。
    • 認可・Tokenエンドポイント間の一致は強制的＋自動検証

• redirect_uri
  • 引継：認可エンドポイントまで。
  • 検証：
    • client_id + redirect_uriで、redirectエンドポイントの決定に使用される。
    • client_idのredirectエンドポイントとの部分一致検証処理は自前で実装する。
    • 認可・Tokenエンドポイント間の一致は強制的＋自動検証

• state
  • 引継：認可・Redirectエンドポイントまで自動引継
  • 検証：Redirectエンドポイントで自前で実装

• scope
  • 引継：
    • 認可エンドポイントまで。
    • Tokenへの追加は自前で実装（Claimを使用）
  • 検証：Tokenからの取得・検証は自前で実装（Claimを使用）

Implicitグラント種別について †

• client_id
  
  • 引継：認可エンドポイントまで。
  • 検証：client_id + redirect_uriで、redirectエンドポイントの決定に使用される。

• redirect_uri
  • 引継：認可エンドポイントまで。
  • 検証：
    • client_id + redirect_uriで、redirectエンドポイントの決定に使用される。
    • client_idのredirectエンドポイントとの部分一致検証処理は自前で実装する。

• state
  • 引継：認可・Redirectエンドポイントまで自動引継
  • 検証：自前で実装

• scope
  • 引継：
    • アクセストークン・レスポンスに含める方法が不明
    • Tokenへの追加は自前で実装（Claimを使用）
  • 検証：Tokenからの取得・検証は自前で実装（Claimを使用）

RFCに規定のない認証の仕掛け †

• 認証には、（基本的に、）ASP.NET Identityを使用する。

• Bearer Tokenの発行には、ClaimsIdentity?を使用する。

• ASP.NET MVCアプリケーションの認可エンドポイント上

• Cookie認証チケットからClaimsIdentity?を生成できる。

  AuthenticateResult ticket = this.AuthenticationManager.AuthenticateAsync(DefaultAuthenticationTypes.ApplicationCookie).Result;
  ClaimsIdentity identity = (ticket != null) ? ticket.Identity : null;
  

• 以下の方法でTokenを発行する。
  「Authorization Codeグラント種別」では仲介トークンを、
  「Implicitグラント種別」ではAccess Tokenを生成する。

  this.AuthenticationManager.SignIn(identity);

• OAuthAuthorizationServerProvider?のTokenエンドポイント上

• ユーザ情報を使用してClaimsIdentity?を生成する。

  ClaimsIdentity identity = await userManager.CreateIdentityAsync(
                 user, DefaultAuthenticationTypes.ExternalBearer);

• 以下の方法でTokenを発行する。
  「Resource Owner Password Credentialsグラント種別」
  「Client Credentialsグラント種別」の両方でAccess Tokenを生成する。

  context.Validated(identity);

• ClaimsIdentity?にCustomの情報を格納する場合、以下の様にClaimを追加する。

  identity.AddClaim(new Claim("urn:oauth:scope", scope));

参考（サービスごとの仕様の違い） †

以下が参考になる。

• OAuth2.0対応サービスのstate, redirect_uriパラメータの扱い色々 - BangBlog?
  http://bang.hateblo.jp/entry/2012/10/09/002003

やはり、サービスによって扱いがマチマチなのは、
redirect_uriパラメタとstateパラメタであるもよう。

参考 †

• OAuthAuthorizationServerProvider? クラス (Microsoft.Owin.Security.OAuth)
  https://msdn.microsoft.com/ja-jp/library/microsoft.owin.security.oauth.oauthauthorizationserverprovider.aspx

The ASP.NET Site †

• OWIN OAuth 2.0 Authorization Server
  https://www.asp.net/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server

このコンテンツは以下の様な構成になっている。

• Download the sample code.
• Create an Authorization Server.
• Creating a Resource Server.
• Create OAuth 2.0 Clients.

Download the sample code. †

以下から、サンプル・コードをダウンロードできる。

http://code.msdn.microsoft.com/OWIN-OAuth-20-Authorization-ba2b8783/file/114932/1/AuthorizationServer.zip

Create an Authorization Server. †

• このAuthorization ServerはOAuthの4つのフローをサポートしている。
  • Authorization Code Grant Client
  • Implicit Grant Client
  • Resource Owner Password Credentials Grant Client
  • Client Credentials Grant Client

• サーバーの設定と実装
  • OWIN Startup classでの設定

• OAuthAuthorizationServerProvider?の実装

• ValidateClientRedirectUri?
  （Authorization Code, Implicitグラント種別）
• ValidateClientAuthentication?
  （Resource Owner Password Credentials, Client Credentialsグラント種別）
• GrantResourceOwnerCredentials?
  （Resource Owner Password Credentialsグラント種別）
• GrantClientCredetails?
  （Client Credentialsグラント種別）

• AuthorizeEndpoint?の実装
  （Authorization Code, Implicitグラント種別）

Creating a Resource Server. †

アクセストークンによって保護されたResource ServerのEndpointを作成。

Create OAuth 2.0 Clients. †

.NETクライアント・アプリからHTTPアクセスする際のライブラリとしては、DotNetOpenAuth.OAuth2を使用している。

• Authorization Code Grant Client
  WebApplication?として実装。

• Implicit Grant Client
  JavaScriptで実装。

• Resource Owner Password Credentials Grant Client
  コンソール・アプリケーションで実装。

• Client Credentials Grant Client
  コンソール・アプリケーションで実装。

関連する情報 †

• The ASP.NET Forums
  • OWIN and Authorization Code Grant Flow - Always Bad Request (Invalid Grant)
    https://forums.asp.net/t/1975505.aspx?OWIN+and+Authorization+Code+Grant+Flow+Always+Bad+Request+Invalid+Grant+

• Stack Overflow
  • MVC 5 application - implement OAuth Authorization code flow
    http://stackoverflow.com/questions/25845420/mvc-5-application-implement-oauth-authorization-code-flow
  • asp.net - Authorization_code grant flow on Owin.Security.OAuth: returns invalid_grant
    http://stackoverflow.com/questions/24515211/authorization-code-grant-flow-on-owin-security-oauth-returns-invalid-grant

• その他
  • AuthServerTests?.cs | Source Browser
    http://sourcebrowser.io/Browse/jchannon/katanaproject/tests/FunctionalTests/Facts/Security/AuthServer/AuthServerTests.cs#207

その他 †

実装方法の調査で参照にしたページ。

• ASP.NET WebAPI2でAjaxでOAuth認証するよ(ついでにTypeScriptとReact) - かずきのBlog@hatena
  http://blog.okazuki.jp/entry/2016/01/15/215901
• ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/

• asp.net - How do you consume extra parameters
  in OAuth2 Token request within .net WebApi2 application - Stack Overflow
  http://stackoverflow.com/questions/21243996/how-do-you-consume-extra-parameters-in-oauth2-token-request-within-net-webapi2
• c# - Can't get UserManager? from OwinContext? in apicontroller - Stack Overflow
  http://stackoverflow.com/questions/24001245/cant-get-usermanager-from-owincontext-in-apicontroller
• Simple OAuth Server: Implementing a Simple OAuth Server
  with Katana OAuth Authorization Server Components (Part 1) - Tugberk Ugurlu's Blog
  http://www.tugberkugurlu.com/archive/simple-oauth-server-implementing-a-simple-oauth-server-with-katana-oauth-authorization-server-components-part-1

---

Tags: :ASP.NET, :ASP.NET MVC, :ASP.NET SPA, ASP.NET Web API, :ASP.NET Identity

Special thanks go to mg-san for his support.

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.045 sec.