Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
ASP.NET Identityは、以下のクレームベース認証のセキュアトークンサービス(STS)のEndpoint追加をサポートしている。
プロトコル †
- OAuthAuthorizationServerProvider?では、OAuthのセキュアトークンサービス(STS)のEndpoint追加をサポートしており、
これにより、Java、JavaScript、Perl、PHP、Python、Rubyなどの「非 .NET 環境」と認証処理を連携させることもできる。
URLは変更可能。上記は既定値。
OpenID Connectのセキュアトークンサービス(STS)のEndpoint追加は、現時点(2016年)では提供されていない。
認証・認可サーバ †
準備 †
- Visual Studio 2015 で、新規 ASP.NET Web アプリケーションを作成する。
- 「新しい ASP.NET プロジェクト」ダイアログで、以下を選択する。
- Visual Studio の「パッケージ マネージャー コンソール」で、以下のコマンドを実行する。
Install-Package Microsoft.AspNet.WebApi
Install-Package Microsoft.AspNet.WebApi.Owin
Install-Package Microsoft.AspNet.WebApi.Cors
構成 †
- ASP.NET MVCアプリケーションとして作成する。
- ASP.NET Identityを用いて、各 Web アプリのアカウント管理を行う。
- ユーザー情報へアクセスする処理は、カスタムのUserStore?クラスへ実装する。
- UserStore?クラスは、データベース(SQL Server, PostgreSQL, etc.)にユーザー情報を格納する。
クライアント・アプリ開発 †
Webアプリケーション †
http://localhost:XXXX/Account/Authorize Endpointのシナリオを検証する。
http://localhost:XXXX/Account/Authorize Endpointのシナリオを検証する。
- SPA(Browser+WebAPI)で、WebAPI(OAuthリソース)へのアクセス認可。
- 「Implicitグラント種別」
- ここでは、認証・認可サーバに同梱させてしまう。
http://localhost:XXXX/Token Endpointのシナリオを検証する。
- HTTPClientなどから/Token Endpointにアクセスして連携するシナリオ。
- グラント種別
/Token Endpointの検証手順 †
エンドポイント一覧 †
認証・認可サーバ開発 †
コードの提示はGithub登録まで待ってください。
クライアント・アプリ開発 †
ここの検証では、cURLコマンドを使用するため開発不要。
認証連携の動作検証 †
cURLコマンドを使用して認証連携の動作を検証する。
- 処理の概要
- /Token Endpointに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
- POST
- Content-Type: application/x-www-form-urlencoded;
- body:grant_type=password, username=ユーザ名, password=パスワード
- Bearer Tokenをヘッダに指定してResources用のEndpointにアクセスするとResources情報を取得できる。
- GET
- Authorization: Bearer XXXXXXXXXX
- Content-Type: application/json; charset=utf-8;
- cURLコマンド
Debug ProxyにFiddler等を使用すると尚良
(其の際は、 --proxy オプションを指定する必要がある)。
- Bearer Tokenの取得
- Request (cURLコマンド)
>curl "http://localhost/OAuthBearerToken" -H "Content-Type: application/x-www-form-urlencoded;" -d "grant_type=password" -d "username=XXXXX" -d "password=YYYYY"
- Response (Body)
{"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn}
- Bearer Tokenを使用したOAuthリソースへのアクセス
- Request (cURLコマンド)
>curl "http://localhost/api/OAuthResourceApi/GetClaim" -H "Authorization: Bearer XXXXXXXXXX" -H "Content-Type: application/json; charset=utf-8;"
- Response (Body)
{"id":"XXXXX","userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}
- 処理の概要
- /Token Endpointに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
- POST
- Content-Type: application/x-www-form-urlencoded;
- body:grant_type=client_credentials, client_id=XXXXXX, client_secret=YYYYYY
- Bearer Tokenをヘッダに指定してResources用のEndpointにアクセスするとResources情報を取得できる。
- GET
- Authorization: Bearer XXXXXXXXXX
- Content-Type: application/json; charset=utf-8;
- cURLコマンド
Debug ProxyにFiddler等を使用すると尚良
(其の際は、 --proxy オプションを指定する必要がある)。
- Bearer Tokenを使用したOAuthリソースへのアクセス
- Request (cURLコマンド)
>curl "http://localhost/api/OAuthResourceApi/GetClaim" -H "Authorization: Bearer XXXXXXXXXX" -H "Content-Type: application/json; charset=utf-8;"
- Response (Body)
{"id":"XXXXX","userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}
/Account/Authorize Endpointの検証手順 †
エンドポイント一覧 †
認証・認可サーバ開発 †
コードの提示はGithub登録まで待ってください。
クライアント・アプリ †
コードの提示はGithub登録まで待ってください。
Webアプリケーション †
認証連携の動作検証 †
次のURLでアクセスする。
次のURLでアクセスする。
http://localhost/Account/Authorize?client_id=self&response_type=token
参考 †
Tsmatz †
かずきのBlog@hatena †
The ASP.NET Site †
このコンテンツは以下の様な構成になっている。
Create an Authorization Server †
- このAuthorization ServerはOAuthの4つのフローをサポートしている。
- Authorization Code Grant Client
- Implicit Grant Client
- Resource Owner Password Credentials Grant Client
- Client Credentials Grant Client
- OAuthAuthorizationServerProvider?の実装
- ValidateClientRedirectUri?
(Authorization Code, Implicitグラント種別)
- ValidateClientAuthentication?
(Resource Owner Password Credentials, Client Credentialsグラント種別)
- GrantResourceOwnerCredentials?
(Resource Owner Password Credentialsグラント種別)
- GrantClientCredetails?
(Client Credentialsグラント種別)
- AuthorizeEndpoint?の実装
(Authorization Code, Implicitグラント種別)
Creating a Resource Server †
アクセストークンによって保護されたResource ServerのEndpointを作成。
Create OAuth 2.0 Clients †
.NETクライアントからHTTPアクセスする際のライブラリとしては、DotNetOpenAuth.OAuth2を使用している。
- Authorization Code Grant Client
WebApplication?として実装。
- Resource Owner Password Credentials Grant Client
コンソール・アプリケーションで実装。
- Client Credentials Grant Client
コンソール・アプリケーションで実装。
関連する情報 †
Tags: :ASP.NET, :ASP.NET MVC, :ASP.NET SPA, ASP.NET Web API, :ASP.NET Identity
Special thanks go to mg-san for his support.
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
