ASP.NET IdentityのOAuth2によるSTS実装のバックアップ(No.2)

AuthenticateResult ticket = this.AuthenticationManager.AuthenticateAsync(DefaultAuthenticationTypes.ApplicationCookie).Result;
ClaimsIdentity identity = (ticket != null) ? ticket.Identity : null;

以下の方法でTokenを発行する。
「Authorization Codeグラント種別」では仲介トークンを、
「Implicitグラント種別」ではAccess Tokenを生成する。
```
this.AuthenticationManager.SignIn(identity);
```

OAuthAuthorizationServerProvider?のTokenエンドポイント上

ユーザ情報を使用してClaimsIdentity?を生成する。

ClaimsIdentity identity = await userManager.CreateIdentityAsync(
               user, DefaultAuthenticationTypes.ExternalBearer);

以下の方法でTokenを発行する。
「Resource Owner Password Credentialsグラント種別」
「Client Credentialsグラント種別」の両方でAccess Tokenを生成する。
```
context.Validated(identity);
```

ClaimsIdentity?にCustomの情報を格納する場合、以下の様にClaimを追加する。
```
identity.AddClaim(new Claim("urn:oauth:scope", scope));
```

↑

参考（サービス / ミドルウェア毎の仕様の違い） †

「技術文書中での Shall / Should / May」があるため、
サービス / ミドルウェア毎に仕様は異なってくる。以下が参考になる。

OAuth2.0対応サービスのstate, redirect_uriパラメータの扱い色々 - BangBlog?
http://bang.hateblo.jp/entry/2012/10/09/002003

やはり、サービスによって扱いがマチマチなのは、
redirect_uriパラメタとstateパラメタであるもよう。

↑

Bearer Tokenを暗号化・復号化する秘密鍵 †

認可サーバ（Authorization Server）とリソースサーバ（Resource Server）が同じマシン上に無い場合、
Bearer Tokenを暗号化・復号化する秘密鍵を双方のマシン間で一致させる必要がある。

これには、以下のように、machinekeyを両方のweb.configファイルに追加する必要がある。

<system.web>
    <machineKey decryptionKey="Enter decryption Key here" 
        validation="SHA1" 
        validationKey="Enter validation Key here" />
</system.web>

machineKeyセクションの生成には、以下のツールが使えそう。

インストール時に MachineKey? を自動生成する NuGet パッケージを作った - しばやん雑記
http://blog.shibayan.jp/entry/20150703/1435897073
- NuGet Gallery | MachineKeyGenerator? 0.4.0
  https://www.nuget.org/packages/MachineKeyGenerator/
  - garafu/MachineKeyGenerator?:
    https://github.com/garafu/MachineKeyGenerator
    This tool allows you to generate random keys for validation and encryption/decription of the view state.

↑

Bearer TokenをJWTアサーションに変更する方法 †

↑

ASP.NET Identity2（net45）で通常サポートされないSTS機能 †

↑

OAuth2拡張 †

↑

OpenID Connect †

↑

参考 †

OAuthAuthorizationServerProvider? クラス (Microsoft.Owin.Security.OAuth)
https://msdn.microsoft.com/ja-jp/library/microsoft.owin.security.oauth.oauthauthorizationserverprovider.aspx

↑

The ASP.NET Site †

OWIN OAuth 2.0 Authorization Server
https://www.asp.net/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server

このコンテンツは以下の様な構成になっている。

Download the sample code.
Create an Authorization Server.
Creating a Resource Server.
Create OAuth 2.0 Clients.

↑

Download the sample code. †

以下から、サンプル・コードをダウンロードできる。

http://code.msdn.microsoft.com/OWIN-OAuth-20-Authorization-ba2b8783/file/114932/1/AuthorizationServer.zip

↑

Create an Authorization Server. †

このAuthorization ServerはOAuthの4つのフローをサポートしている。
- Authorization Code Grant Client
- Implicit Grant Client
- Resource Owner Password Credentials Grant Client
- Client Credentials Grant Client

サーバーの設定と実装
- OWIN Startup classでの設定

OAuthAuthorizationServerProvider?の実装

ValidateClientRedirectUri?
（Authorization Code, Implicitグラント種別）
ValidateClientAuthentication?
（Resource Owner Password Credentials, Client Credentialsグラント種別）
GrantResourceOwnerCredentials?
（Resource Owner Password Credentialsグラント種別）
GrantClientCredetails?
（Client Credentialsグラント種別）

AuthorizeEndpoint?の実装
（Authorization Code, Implicitグラント種別）

↑

Creating a Resource Server. †

アクセストークンによって保護されたResource ServerのEndpointを作成。

↑

Create OAuth 2.0 Clients. †

.NETクライアント・アプリからHTTPアクセスする際のライブラリとしては、DotNetOpenAuth.OAuth2を使用している。

Authorization Code Grant Client
WebApplication?として実装。

Implicit Grant Client
JavaScriptで実装。

Resource Owner Password Credentials Grant Client
コンソール・アプリケーションで実装。

Client Credentials Grant Client
コンソール・アプリケーションで実装。

↑

その他のサイト †

実装方法の調査で参照にしたサイト。

ASP.NET WebAPI2でAjaxでOAuth認証するよ(ついでにTypeScriptとReact) - かずきのBlog@hatena
http://blog.okazuki.jp/entry/2016/01/15/215901
ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) – Tsmatz
https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/

asp.net - How do you consume extra parameters
in OAuth2 Token request within .net WebApi2 application - Stack Overflow
http://stackoverflow.com/questions/21243996/how-do-you-consume-extra-parameters-in-oauth2-token-request-within-net-webapi2
c# - Can't get UserManager? from OwinContext? in apicontroller - Stack Overflow
http://stackoverflow.com/questions/24001245/cant-get-usermanager-from-owincontext-in-apicontroller
Simple OAuth Server: Implementing a Simple OAuth Server
with Katana OAuth Authorization Server Components (Part 1) - Tugberk Ugurlu's Blog
http://www.tugberkugurlu.com/archive/simple-oauth-server-implementing-a-simple-oauth-server-with-katana-oauth-authorization-server-components-part-1

Tags: :.NET開発, :ASP.NET, :ASP.NET MVC, :ASP.NET SPA, ASP.NET Web API, :ASP.NET Identity, :OAuth, :認証基盤, :セキュリティ

ASP.NET IdentityのOAuth2によるSTS実装 のバックアップ(No.2)

目次 †

概要 †

準備 †

検証 †

Authorization Codeグラント種別 †

Implicitグラント種別 †

Resource Owner Password Credentialsグラント種別 †

Client Credentialsグラント種別 †

ASP.NET IdentityでOAuth2のRFCに追加されている仕様 †

RFCに規定のない認証の仕掛け †