ASP.NET IdentityによるSTS実装 のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ASP.NET IdentityによるSTS実装 へ行く。
  • 1 (2016-12-13 (火) 14:44:00)
  • 2 (2016-12-13 (火) 15:25:46)
  • 3 (2016-12-13 (火) 20:32:48)
  • 4 (2016-12-13 (火) 22:57:17)
  • 5 (2016-12-14 (水) 11:59:26)
  • 6 (2016-12-14 (水) 17:17:00)
  • 7 (2016-12-14 (水) 23:02:49)
  • 8 (2016-12-15 (木) 11:55:09)
  • 9 (2016-12-16 (金) 18:19:47)
  • 10 (2016-12-16 (金) 22:50:51)
  • 11 (2016-12-19 (月) 23:13:27)
  • 12 (2016-12-20 (火) 10:45:01)
  • 13 (2016-12-20 (火) 13:17:44)
  • 14 (2016-12-20 (火) 19:38:54)
  • 15 (2016-12-21 (水) 12:52:52)
  • 16 (2016-12-23 (金) 14:27:36)
  • 17 (2016-12-27 (火) 09:47:35)
  • 18 (2017-01-04 (水) 11:29:28)
  • 19 (2017-01-04 (水) 15:37:44)
  • 20 (2017-01-06 (金) 21:21:58)
  • 21 (2017-01-10 (火) 12:53:36)
  • 22 (2017-01-12 (木) 17:06:28)
  • 23 (2017-02-27 (月) 18:12:46)
  • 24 (2017-11-17 (金) 15:08:57)
  • 25 (2018-04-04 (水) 13:56:18)
  • 26 (2018-04-04 (水) 17:47:50)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

ASP.NET Identityは、以下のクレームベース認証のセキュアトークンサービス（STS）のEndpoint追加をサポートしている。

プロトコル †

OAuth 2.0 †

• OAuthAuthorizationServerProvider?では、OAuthのセキュアトークンサービス（STS）のEndpoint追加をサポートしており、
  これにより、Java、JavaScript、Perl、PHP、Python、Rubyなどの「非 .NET 環境」と認証処理を連携させることもできる。

• この処理は、ASP.NET SPAテンプレートの以下のEndpointに実装されている。  
  • ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) ? Tsmatz
    https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/
    • http://localhost:XXXX/Token Endpoint
    • http://localhost:XXXX/Account/Authorize Endpoint
    • http://localhost:XXXX/任意Resource用のEndpoint

URLは変更可能。上記は既定値。

• なお、OAuth 2.0は認可のプロトコルなので、認証の目的で使用する場合はセキュリティに注意が必要になる。

OpenID Connect †

OpenID Connectのセキュアトークンサービス（STS）のEndpoint追加は、現時点（2016年）では提供されていない。

• https://github.com/jchannon/katanaproject/tree/master/src/Microsoft.Owin.Security.OpenIdConnect
• https://github.com/jchannon/katanaproject/tree/master/src/Microsoft.Owin.Security.OAuth

認証サイト †

構成 †

• ASP.NET MVCアプリケーションとして作成する。
• ASP.NET Identityを用いて、各 Web アプリのアカウント管理を行う。
• ユーザー情報へアクセスする処理は、カスタムのUserStore?クラスへ実装する。
• UserStore?クラスは、データベース（SQL Server, PostgreSQL, etc.）にユーザー情報を格納する。

準備 †

1. Visual Studio 2015 で、新規 ASP.NET Web アプリケーションを作成する。
2. 「新しい ASP.NET プロジェクト」ダイアログで、以下を選択する。
   • テンプレート: ASP.NET MVC
   • 認証の変更: 個別のユーザー アカウント
3. Visual Studio の「パッケージ マネージャー コンソール」で、以下のコマンドを実行する。

   Install-Package Microsoft.AspNet.WebApi
   Install-Package Microsoft.AspNet.WebApi.Owin
   Install-Package Microsoft.AspNet.WebApi.Cors

連携サイト（, システム, アプリ） †

cURLコマンド †

http://localhost:XXXX/Token Endpointのシナリオを検証する。

• HTTPClientなどから/Token Endpointにアクセスして連携するシナリオ。
• 自サイト内に閉じないため、CORS (Cross-Origin Resource Sharing)への対応が必要。

JavaScript †

http://localhost:XXXX/Account/Authorize Endpointのシナリオを検証する。

• SPA（Browser＋WebAPI）で、WebAPI（OAuthリソース）へのアクセスを認可するシナリオ。
• 自サイト内に閉じるため、CORS (Cross-Origin Resource Sharing)への対応が不要。

/Token Endpointの検証手順 †

以下のブログの内容を参考に、

• 「Resource Owner Password Credentialsグラント種別」
• 「Client Credentialsグラント種別」

のシナリオの検証を行うことができる。

• ASP.NET WebAPI2でAjaxでOAuth認証するよ
  (ついでにTypeScriptとReact) - かずきのBlog@hatena
  http://blog.okazuki.jp/entry/2016/01/15/215901
• asp.net - How do you consume extra parameters
  in OAuth2 Token request within .net WebApi2 application - Stack Overflow
  http://stackoverflow.com/questions/21243996/how-do-you-consume-extra-parameters-in-oauth2-token-request-within-net-webapi2
• c# - Can't get UserManager? from OwinContext? in apicontroller - Stack Overflow
  http://stackoverflow.com/questions/24001245/cant-get-usermanager-from-owincontext-in-apicontroller
• Simple OAuth Server: Implementing a Simple OAuth Server
  with Katana OAuth Authorization Server Components (Part 1) - Tugberk Ugurlu's Blog
  http://www.tugberkugurlu.com/archive/simple-oauth-server-implementing-a-simple-oauth-server-with-katana-oauth-authorization-server-components-part-1

前提 †

ここでは、以下のような前提の検証用アプリケーションを構築する。

 +--------+                               +----------------+
 |  非    |--(A)- Authorization Request ->|  ASP.NET       |
 |  .     |                               |  Identity      |
 |  N     |<-(B)----- Bearer Token -------|                |
 |  E     |                               |                |
 |  T     |--(C)----- Bearer Token ------>|                |   +-----------+
 |  環    |                               |                |---| UserStore |
 |  境    |<-(D)--- Protected Resource ---|                |   +-----------+
 +--------+                               +----------------+

• 処理順

1. (A) Authorization処理 と Bearer Token発行のEndpointへRequestする。
2. (B) 認証処理後、内部ではClaimsIdentity?を生成してSign-inされ、Bearer TokenがResponseされる。
3. (C) Bearer Tokenを持って、Resources用のEndpointにRequestする。
4. (D) Resources用のEndpointからClaim等のリソースがResponseされる。

• ポイント
  • Authorization処理 と Bearer Token発行のEndpoint
    http://localhost:XXXX/Token
  • Resources用のEndpoint
    http://localhost:XXXX/api/OAuthResource/GetClaim

• 連携サイト（, システム, アプリ）では、上記のResources用のEndpointから
  取得したクレーム情報を元に、認可を行い、Cookie認証チェットを発行する。

認証サイト開発 †

コードの提示はGithub登録まで待ってください。

Web アプリ開発 †

ここの検証では、cURLコマンドを使用するため開発不要。

認証連携の動作検証 †

cURLコマンドを使用して認証連携の動作を検証する。

Resource Owner Password Credentialsグラント種別 †

• 処理の概要
  • /Token Endpointに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
    • POST
    • Content-Type: application/x-www-form-urlencoded;
    • body:grant_type=password, username=ユーザ名, password=パスワード

• Bearer Tokenをヘッダに指定してResources用のEndpointにアクセスするとResources情報を取得できる。
  • GET
  • Authorization: Bearer XXXXXXXXXX
  • Content-Type: application/json; charset=utf-8;

• cURLコマンド
  Debug ProxyにFiddler等を使用すると尚良
  （其の際は、 --proxy オプションを指定する必要がある）。
  • Bearer Tokenの取得
    • Request (cURLコマンド)

      >curl "http://localhost/OAuthBearerToken" -H "Content-Type: application/x-www-form-urlencoded;" -d "grant_type=password" -d "username=XXXXX" -d "password=YYYYY"

    • Response (Body)

      {"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn}

• Bearer Tokenを使用したOAuthリソースへのアクセス
  • Request (cURLコマンド)

    >curl "http://localhost/api/OAuthResourceApi/GetClaim" -H "Authorization: Bearer XXXXXXXXXX" -H "Content-Type: application/json; charset=utf-8;"

  • Response (Body)

    {"id":"XXXXX","userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}

Client Credentialsグラント種別 †

• 処理の概要
  • /Token Endpointに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
    • POST
    • Content-Type: application/x-www-form-urlencoded;
    • body:grant_type=client_credentials, client_id=XXXXXX, client_secret=YYYYYY

• Bearer Tokenをヘッダに指定してResources用のEndpointにアクセスするとResources情報を取得できる。
  • GET
  • Authorization: Bearer XXXXXXXXXX
  • Content-Type: application/json; charset=utf-8;

• cURLコマンド
  Debug ProxyにFiddler等を使用すると尚良
  （其の際は、 --proxy オプションを指定する必要がある）。
  • Bearer Tokenの取得
    • Request (cURLコマンド)

      >curl "http://localhost/OAuthBearerToken" -H "Content-Type: application/x-www-form-urlencoded;" -d "grant_type=client_credentials" -d "client_id=XXXXXX" -d "client_secret=YYYYYY"

• Response (Body)

  {"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn}

• Bearer Tokenを使用したOAuthリソースへのアクセス
  • Request (cURLコマンド)

    >curl "http://localhost/api/OAuthResourceApi/GetClaim" -H "Authorization: Bearer XXXXXXXXXX" -H "Content-Type: application/json; charset=utf-8;"

  • Response (Body)

    {"id":"XXXXX","userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}

/Account/Authorize Endpointの検証手順 †

ここでは、以下の手順で作成した検証手順を使用して、
「Implicitグラント種別」のシナリオの検証を行うことができる。

1. ASP.NET SPAテンプレートの動作確認を行なった後、
2. ASP.NET MVCテンプレートの差分を確認した上で、
3. OAuthに必要な実装を抽出し、
4. ASP.NET MVCテンプレートにOAuthのEndpointを追加する手順を書き出し、
5. その手順の妥当性を以下の検証手順によって検証した。

前提 †

ここでは、以下のような前提の検証用アプリケーションを構築する。

 +--------+                               +----------------+
 |        |--(A)- Authorization Request ->|                |
 |        |                               |                |
 |        |<-(B)-- Authorization Grant ---|                |
 |        |                               |                |
 |  非    |                               |                |
 |  .     |                               |                |
 |  N     |--(C)-- Authorization Grant -->|  ASP.NET       |
 |  E     |                               |  Identity      |
 |  T     |<-(D)----- Bearer Token -------|  Token認証機能 |
 |  環    |                               |                |
 |  境    |                               |                |
 |        |                               |                |
 |        |--(E)----- Bearer Token ------>|                |
 |        |                               |                |   +-----------+
 |        |<-(F)--- Protected Resource ---|                |---| UserStore |
 +--------+                               +----------------+   +-----------+

• 処理順

1. (A) 認証サイトのForms認証機構へRequestする。
2. (B) 発行されたCookie認証チェットのResponseされる。
3. (C) Cookie認証チェットを持って、OAuth用のEndpointにRequestする。
   既に認証されているので、内部ではClaimsIdentity?を生成してSign-inされる。
   すると、OAuthProvider?がBearer Token用のEndpointにRedirectされる。
4. (D) Bearer Token用のEndpointからBearer TokenがResponseされる。
5. (E) Bearer Tokenを持って、Resources用のEndpointにRequestする。
6. (F) Resources用のEndpointからClaim等のリソースがResponseされる。

• ポイント
  • OAuth用のEndpoint
    http://localhost:XXXX/Account/Authorize
  • Bearer Token用のEndpoint
    http://localhost:XXXX/Account/ReturnBearerTokenScreen
  • Resources用のEndpoint
    http://localhost:XXXX/api/OAuthResource/GetClaim

認証サイト開発 †

コードの提示はGithub登録まで待ってください。

ApplicationOAuthProvider?の追加 †

Providersフォルダを作成し、OAuthのProviderであるApplicationOAuthProvider?を追加する。

Startup.Authで、定義したApplicationOAuthProvider?を登録 †

前述のApplicationOAuthProvider?をOAuthのProviderとして登録する。

AccountControlle?に、Authorizeメソッドを追加 †

Authorizeメソッドで認証を行なう。

Authorizeメソッドで認証した後、

1. Bearer Tokenを発行する。
2. クライアントはBearer Tokenを使用してOAuthリソースにアクセスする。
3. サーバはOAuthリソースへのアクセスを認可できるようになる。

AccountControlle?にReturnBearerTokenScreen?メソッドを追加 †

Authorizeメソッド実行後にRedirectされる先のAction MethodとViewを準備する。

• Action Method
  URL に付与された、Bearer Token を取得し、Bearer Tokenを返す。

• View
  通常、Bearer Tokenが露見しないように、Hiddnか何かに埋め込む。

WebApiConfig?の追加 †

App_Startフォルダに、ASP.NET Web APIの設定を行うためのWebApiConfig?.csを追加する。

Global.Application_Startメソッドで、定義したWebApiConfig?を登録 †

Global.asax.csのApplication_Startメソッドで、定義したWebApiConfig?の設定を登録。

OAuthClaimViewModel?の追加 †

Models フォルダに、Claimを返すためのOAuthClaimViewModel?.csを追加する。

OAuthResourceController?の追加 †

Controller フォルダに、Claimを返すためのOAuthResourceController?.csを追加する。
ここに、Claim等のOAuthのResourcesを返すためのASP.NET Web APIのメソッドを追加する。

Web アプリ開発 †

JavaScriptとして実装する。

コードの提示はGithub登録まで待ってください。

認証連携の動作検証 †

次のURLでアクセスするだけでよい。

http://localhost/Account/Authorize?client_id=self&response_type=token

/Account/Authorize Endpointに到達する前に、Forms認証されるため、
/Account/Authorize Endpointでは、Forms認証のクレデンシャルを使用して認証し、
Tokenを発行→OAuthリソースにアクセスする。

参考 †

• OAuthAuthorizationServerProvider? クラス (Microsoft.Owin.Security.OAuth)
  https://msdn.microsoft.com/ja-jp/library/microsoft.owin.security.oauth.oauthauthorizationserverprovider.aspx

Tsmatz †

• ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/

かずきのBlog@hatena †

• ASP.NET WebAPI2でAjaxでOAuth認証するよ(ついでにTypeScriptとReact)
  http://blog.okazuki.jp/entry/2016/01/15/215901
• HttpClient?クラスがリダイレクトをよきに計らってくれるのをどうにかしたい
  http://blog.okazuki.jp/entry/20121225/HttpClientTips

The ASP.NET Site †

• OWIN OAuth 2.0 Authorization Server
  https://www.asp.net/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server

このコンテンツは以下の様な構成になっている。

Create an Authorization Server †

• このAuthorization ServerはOAuthの4つのフローをサポートしている。
  • Authorization Code Grant Client
  • Implicit Grant Client
  • Resource Owner Password Credentials Grant Client
  • Client Credentials Grant Client

• サーバーの設定と実装
  • OWIN Startup classでの設定

• OAuthAuthorizationServerProvider?の実装

• ValidateClientRedirectUri?
  （Authorization Code, Implicitグラント種別）
• ValidateClientAuthentication?
  （すべてのグラント種別）
• GrantResourceOwnerCredentials?
  （Resource Owner Password Credentialsグラント種別）
• GrantClientCredetails?
  （Client Credentialsグラント種別）

• AuthorizeEndpoint?の実装
  （Authorization Code, Implicitグラント種別）

Creating a resource server †

アクセストークンによって保護されたresource serverのendpointを作成。

Create OAuth 2.0 Clients †

.NETクライアントからHTTPアクセスする際のライブラリとしては、DotNetOpenAuth.OAuth2を使用している。

• Authorization Code Grant Client
  WebApplication?として実装。

• Implicit Grant Client
  JavaScriptで実装。

• Resource Owner Password Credentials Grant Client
  コンソール・アプリケーションで実装。

• Client Credentials Grant Client
  コンソール・アプリケーションで実装。

関連する情報 †

• The ASP.NET Forums
  • OWIN and Authorization Code Grant Flow - Always Bad Request (Invalid Grant)
    https://forums.asp.net/t/1975505.aspx?OWIN+and+Authorization+Code+Grant+Flow+Always+Bad+Request+Invalid+Grant+

• Stack Overflow
  • MVC 5 application - implement OAuth Authorization code flow
    http://stackoverflow.com/questions/25845420/mvc-5-application-implement-oauth-authorization-code-flow
  • asp.net - Authorization_code grant flow on Owin.Security.OAuth: returns invalid_grant
    http://stackoverflow.com/questions/24515211/authorization-code-grant-flow-on-owin-security-oauth-returns-invalid-grant

• その他
  • AuthServerTests?.cs | Source Browser
    http://sourcebrowser.io/Browse/jchannon/katanaproject/tests/FunctionalTests/Facts/Security/AuthServer/AuthServerTests.cs#207

OAuth2.0のセキュリティについて。 †

---

Tags: :ASP.NET, :ASP.NET MVC, :ASP.NET SPA, ASP.NET Web API, :ASP.NET Identity

Special thanks go to mg-san for his support.

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.061 sec.