ASP.NET IdentityによるSTS実装のバックアップ(No.10)

Open棟梁Project - マイクロソフト系技術情報 Wiki

戻る

目次 †

目次
概要
Tokenエンドポイントの検証手順
認可エンドポイントの検証手順
その他
- ASP.NET IdentityでRFCに追加されている仕様
- Bearer Tokenを暗号化・復号化する秘密鍵
参考

↑

概要 †

ASP.NET Identityは、以下のクレームベース認証のセキュアトークンサービス（STS）のEndpoint追加をサポートしている。

↑

プロトコル †

↑

OAuth 2.0 †

OAuthAuthorizationServerProvider?では、OAuthのセキュアトークンサービス（STS）のEndpoint追加をサポートしており、
これにより、Java、JavaScript、Perl、PHP、Python、Rubyなどの「非 .NET 環境」と認証処理を連携させることもできる。

なお、OAuth 2.0は認可のプロトコルなので、認証の目的で使用する場合はセキュリティに注意が必要になる。

↑

OpenID Connect †

OpenID Connectのセキュアトークンサービス（STS）のEndpoint追加は、現時点（2016年）では提供されていない。

↑

認証・認可サーバ †

↑

準備 †

Visual Studio 2015 で、新規 ASP.NET Web アプリケーションを作成する。
「新しい ASP.NET プロジェクト」ダイアログで、以下を選択する。
- テンプレート: ASP.NET MVC
- 認証の変更: 個別のユーザーアカウント

Visual Studio の「パッケージマネージャーコンソール」で、以下のコマンドを実行する。

Install-Package Microsoft.AspNet.WebApi
Install-Package Microsoft.AspNet.WebApi.Owin
Install-Package Microsoft.AspNet.WebApi.Cors

↑

構成 †

ASP.NET MVCアプリケーションとして作成する。
ASP.NET Identityを用いて、各 Web アプリのアカウント管理を行う。
ユーザー情報へアクセスする処理は、カスタムのUserStore?クラスへ実装する。
UserStore?クラスは、データベース（SQL Server, PostgreSQL, etc.）にユーザー情報を格納する。

↑

クライアント・アプリ開発 †

↑

cURLコマンド †

HTTPClientなどからTokenエンドポイントにアクセスして連携するシナリオ。
グラント種別
- 「Resource Owner Password Credentialsグラント種別」
- 「Client Credentialsグラント種別」

↑

Webアプリケーション †

「Authorization Codeグラント種別」のシナリオを検証する。
Webアプリケーションで、WebAPI（OAuthリソース）へのアクセスを認可。
ここでは、クライアント・アプリを認証・認可サーバに同梱させてしまう。

↑

JavaScript †

「Implicitグラント種別」のシナリオを検証する。
SPA（Browser＋WebAPI）で、WebAPI（OAuthリソース）へのアクセスを認可。
ここでは、クライアント・アプリを認証・認可サーバに同梱させてしまう。

↑

Tokenエンドポイントの検証手順 †

以下のシナリオの検証を行うことができる。
- 「Resource Owner Password Credentialsグラント種別」
- 「Client Credentialsグラント種別」

以下を参考にして検証手順を作成した。
- OWIN OAuth 2.0 Authorization Server | The ASP.NET Site

↑

エンドポイント一覧 †

↑

認証・認可サーバ開発 †

コードの提示はGithub登録まで待ってください。

↑

クライアント・アプリ開発 †

ここの検証では、cURLコマンドを使用するため開発不要。

↑

認証連携の動作検証 †

cURLコマンドを使用して認証連携の動作を検証する。

↑

Resource Owner Password Credentialsグラント種別 †

処理の概要
- Tokenエンドポイントに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
  - POST
  - Content-Type: application/x-www-form-urlencoded;
  - body:grant_type=password, username=ユーザ名, password=パスワード

Bearer Tokenをヘッダに指定してResources用のEndpointにアクセスするとResources情報を取得できる。
- GET
- Authorization: Bearer XXXXXXXXXX
- Content-Type: application/json; charset=utf-8;

cURLコマンド
Debug ProxyにFiddler等を使用すると尚良
（其の際は、 --proxy オプションを指定する必要がある）。

Bearer Tokenの取得

Request (cURLコマンド)

>curl "http://localhost/OAuthBearerToken" -H "Content-Type: application/x-www-form-urlencoded;" -d "grant_type=password" -d "username=XXXXX" -d "password=YYYYY"

Response (Body)

{"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn}

Bearer Tokenを使用したOAuthリソースへのアクセス

Request (cURLコマンド)

>curl "http://localhost/api/OAuthResourceApi/GetClaim" -H "Authorization: Bearer XXXXXXXXXX" -H "Content-Type: application/json; charset=utf-8;"

Response (Body)

{"id":"XXXXX","userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}

↑

Client Credentialsグラント種別 †

処理の概要
- Tokenエンドポイントに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
  - POST
  - Content-Type: application/x-www-form-urlencoded;
  - body:grant_type=client_credentials, client_id=XXXXXX, client_secret=YYYYYY

Bearer Tokenをヘッダに指定してResources用のEndpointにアクセスするとResources情報を取得できる。
- GET
- Authorization: Bearer XXXXXXXXXX
- Content-Type: application/json; charset=utf-8;

cURLコマンド
Debug ProxyにFiddler等を使用すると尚良
（其の際は、 --proxy オプションを指定する必要がある）。
- Bearer Tokenの取得
  - Request (cURLコマンド)
```
>curl "http://localhost/OAuthBearerToken" -H "Content-Type: application/x-www-form-urlencoded;" -d "grant_type=client_credentials" -d "client_id=XXXXXX" -d "client_secret=YYYYYY"
```

Response (Body)

{"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn}

Bearer Tokenを使用したOAuthリソースへのアクセス

Request (cURLコマンド)

>curl "http://localhost/api/OAuthResourceApi/GetClaim" -H "Authorization: Bearer XXXXXXXXXX" -H "Content-Type: application/json; charset=utf-8;"

Response (Body)

{"id":"XXXXX","userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}

↑

認可エンドポイントの検証手順 †

以下のシナリオの検証を行うことができる。
- 「Authorization Codeグラント種別」
- 「Implicitグラント種別」

以下を参考にして検証手順を作成した。
- OWIN OAuth 2.0 Authorization Server | The ASP.NET Site
- その他 - Implicitグラント種別
- ASP.NET Identityのプロジェクト・テンプレートを使用
  1. ASP.NET SPAテンプレートの動作確認を行なった後、
  2. ASP.NET MVCテンプレートの差分を確認した上で、
  3. OAuthに必要な実装を抽出し、
  4. ASP.NET MVCテンプレートにOAuthのEndpointを追加する手順を書き出し、
  5. その手順の妥当性を以下の検証手順によって検証した。

↑

エンドポイント一覧 †

↑

認証・認可サーバ開発 †

コードの提示はGithub登録まで待ってください。

↑

クライアント・アプリ †

コードの提示はGithub登録まで待ってください。

↑

その他 †

↑

ASP.NET IdentityでRFCに追加されている仕様 †

「MUST (しなければならない)」, 「MUST NOT (してはならない)」, 「REQUIRED (必須である)」以外の部分の実装状態を含む。

↑

Bearer Tokenを暗号化・復号化する秘密鍵 †

認可サーバ（AuthorizationServer?）とリソースサーバ（ResourceServer?）が同じマシン上に無い場合、
Bearer Tokenを暗号化・復号化する秘密鍵を双方のマシン間で一致させる必要がある。

これには、以下のように、machinekeyを両方のweb.configファイルに追加する必要がある。

<system.web>
    <machineKey decryptionKey="Enter decryption Key here" 
        validation="SHA1" 
        validationKey="Enter validation Key here" />
</system.web>

machineKeyセクションの生成には、以下のツールが使えそう。
- garafu/MachineKeyGenerator?:
  https://github.com/garafu/MachineKeyGenerator
  This tool allows you to generate random keys for validation and encryption/decription of the view state.

↑

参考 †

OAuthAuthorizationServerProvider? クラス (Microsoft.Owin.Security.OAuth)
https://msdn.microsoft.com/ja-jp/library/microsoft.owin.security.oauth.oauthauthorizationserverprovider.aspx

↑

The ASP.NET Site †

OWIN OAuth 2.0 Authorization Server
https://www.asp.net/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server

このコンテンツは以下の様な構成になっている。

↑

Create an Authorization Server †

このAuthorization ServerはOAuthの4つのフローをサポートしている。
- Authorization Code Grant Client
- Implicit Grant Client
- Resource Owner Password Credentials Grant Client
- Client Credentials Grant Client

サーバーの設定と実装
- OWIN Startup classでの設定

OAuthAuthorizationServerProvider?の実装

ValidateClientRedirectUri?
（Authorization Code, Implicitグラント種別）
ValidateClientAuthentication?
（Resource Owner Password Credentials, Client Credentialsグラント種別）
GrantResourceOwnerCredentials?
（Resource Owner Password Credentialsグラント種別）
GrantClientCredetails?
（Client Credentialsグラント種別）