ASP.NET IdentityのToken 認証 のバックアップ(No.9)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• ソース を表示
• ASP.NET IdentityのToken 認証 は削除されています。
  • 1 (2016-11-08 (火) 11:57:21)
  • 2 (2016-11-08 (火) 11:58:17)
  • 3 (2016-11-15 (火) 09:11:31)
  • 4 (2016-11-25 (金) 13:14:16)
  • 5 (2016-11-29 (火) 13:25:36)
  • 6 (2016-11-29 (火) 15:14:06)
  • 7 (2016-11-29 (火) 21:19:23)
  • 8 (2016-12-01 (木) 18:48:38)
  • 9 (2016-12-02 (金) 11:52:39)
  • 10 (2016-12-06 (火) 17:17:36)
  • 11 (2016-12-06 (火) 19:58:55)
  • 12 (2016-12-07 (水) 11:10:37)
  • 13 (2016-12-08 (木) 15:02:42)
  • 14 (2016-12-12 (月) 12:27:39)
  • 15 (2016-12-12 (月) 15:46:30)
  • 16 (2016-12-13 (火) 10:12:51)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

ASP.NET Identityは、

OAuthのクレームベース認証のEndpoint追加をサポートしており、
これにより、Java、JavaScript、Perl、PHP、Python、Rubyなどの
「非 .NET 環境」と認証処理を連携させることもできる。

この処理は、ASP.NET SPAテンプレートの以下のエンドポイントに実装されている。  

• ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) ? Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/
  • http://localhost:XXXX/Account/Authorize
  • http://localhost:XXXX/任意のClaim等のResource用のEndpoint

ここでは、

1. ASP.NET SPAテンプレートの動作確認を行い、
2. ASP.NET MVCテンプレートの差分を確認した上で、
3. OAuthのEndpoint追加に必要な実装を抽出し、
4. MVCテンプレートにOAuthのEndpointを追加する手順を書き出し、
5. その手順の妥当性を以下の検証手順によって検証した。

検証手順 †

前提 †

ここでは、以下のような前提のアプリケーションを構築するサンプルを示す。

 +--------+                               +----------------+
 |        |--(A)- Authorization Request ->|                |
 |        |                               |                |
 |        |<-(B)-- Authorization Grant ---|                |
 |        |                               |                |
 |  非    |                               |                |
 |  .     |                               |                |
 |  N     |--(C)-- Authorization Grant -->|  ASP.NET       |
 |  E     |                               |  Identity      |
 |  T     |<-(D)----- Access Token -------|  Token認証機能 |
 |  環    |                               |                |
 |  境    |                               |                |
 |        |                               |                |
 |        |--(E)----- Access Token ------>|                |
 |        |                               |                |   +-----------+
 |        |<-(F)--- Protected Resource ---|                |---| UserStore |
 +--------+                               +----------------+   +-----------+

認証サイト †

• ASP.NET MVCアプリケーションとして作成する。
• ASP.NET Identityを用いて、各 Web アプリのアカウント管理を行う。
• ユーザー情報へのアクセスには、既定のEntity Frameworkを使用する。
• ユーザー情報は、既定の LocalDb? に格納する。

Web アプリ †

• 個々の Web アプリではアカウント管理は行わず、
  アカウント管理が必要な場合は認証サイトにリクエストする。
• Java Web アプリケーションとして作成する。

開発環境 †

• 認証サイト側
  • Visual Studio 2015
  • プログラム言語は C#

• Web アプリ側
  • Eclipse 4.6 Neon
  • プログラム言語は Java, JavaScript

認証サイト開発 †

コードの提示はGithub登録まで待ってください。

プロジェクトの準備 †

1. Visual Studio 2015 で、新規 ASP.NET Web アプリケーションを作成する。
2. 「新しい ASP.NET プロジェクト」ダイアログで、以下を選択する。
   • テンプレート: ASP.NET MVC
   • 認証の変更: 個別のユーザー アカウント
3. Visual Studio の「パッケージ マネージャー コンソール」で、以下のコマンドを実行する。

   Install-Package Microsoft.AspNet.WebApi
   Install-Package Microsoft.AspNet.WebApi.Owin
   Install-Package Microsoft.AspNet.WebApi.Cors

ApplicationOAuthProvider?の追加 †

Providersフォルダを作成し、OAuthのProviderであるApplicationOAuthProvider?を追加する。

ClientIDによってRedirectする先を変更している。

• Web : HTML
• API : JSON

Startup.Authで、定義したApplicationOAuthProvider?を登録 †

前述のApplicationOAuthProvider?をOAuthのProviderとして登録する。

AccountControlle?に、Authorizeメソッドを追加 †

これにより、認証後にOAuthのBearer Tokenを発行、
コレを使用してResourcesアクセスを認可できるようになる。

AccountControlle?にReturnBearerTokenScreen?メソッドを追加 †

Authorizeメソッド実行後にRedirectされる先のAction MethodとViewを準備する。

• Action Method
  Authorize 属性をつけることで、Authorize メソッドからRedirectされたときに、Access Token 情報が URL に付与される。

• View
  URL に付与された、Access Token を取得し、Bearer Tokenを返す。

• Web
  • 通常、露見しないようにHiddnか何かに埋め込む。
  • CORS (Cross-Origin Resource Sharing)の場合、
    遷移元のWeb サイトに遷移させるためのJavaScript処理を追加する必要がある。

• API :
  • 通常、JSONで返す。
  • CORSの場合も、JSONで返す。

WebApiConfig?の追加 †

App_Startフォルダに、ASP.NET Web APIの設定を行うためのWebApiConfig?.csを追加する。

Global.Application_Startメソッドで、定義したWebApiConfig?を登録 †

Global.asax.csのApplication_Startメソッドで、定義したWebApiConfig?の設定を登録。

OAuthClaimViewModel?の追加 †

Models フォルダに、Claimを返すためのOAuthClaimViewModel?.csを追加する。

OAuthResourceController?の追加 †

Controller フォルダに、Claimを返すためのOAuthResourceController?.csを追加する。
ここに、Claim等のOAuthのResourcesを返すためのASP.NET Web APIのメソッドを追加する。

Web アプリ開発 †

認証連携の動作検証 †

参考 †

Tsmatz †

• ASP.NET SPA (JavaScript) の Web API 認証 (ASP.NET Identity) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2014/05/20/asp-net-spa-javascript-web-api-asp-net-identity-html5biz/

かずきのBlog@hatena †

• ASP.NET WebAPI2でAjaxでOAuth認証するよ(ついでにTypeScriptとReact)
  http://blog.okazuki.jp/entry/2016/01/15/215901
• HttpClient?クラスがリダイレクトをよきに計らってくれるのをどうにかしたい
  http://blog.okazuki.jp/entry/20121225/HttpClientTips

Bearer Token (rfc6750) †

• OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わってなかった - r-weblife
  http://d.hatena.ne.jp/ritou/20110402/1301679908
  • The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）
    http://openid-foundation-japan.github.io/rfc6750.ja.html

     +--------+                               +---------------+
     |        |--(A)- Authorization Request ->|   Resource    |
     |        |                               |     Owner     |
     |        |<-(B)-- Authorization Grant ---|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(C)-- Authorization Grant -->| Authorization |
     | Client |                               |     Server    |
     |        |<-(D)----- Access Token -------|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(E)----- Access Token ------>|    Resource   |
     |        |                               |     Server    |
     |        |<-(F)--- Protected Resource ---|               |
     +--------+                               +---------------+

ASP.NET Identityによる認証サイト
= 上記図中のResource Owner, Authorization Server, Resource Serverに該当する。

1. (X) 認証サイトのForms認証機構へRequestする。
2. (Z) 発行されたCookie認証チェットのResponseされる。
3. (A) Cookie認証チェットを持って、OAuth用のEndpointにRequestする。
   既に認証されているので、内部ではClaimsIdentity?を生成してSign-inされる。
4. (B)/(C) すると、OAuthProvider?がBearer Token用のEndpointにRedirectされる。
5. (D) Bearer Token用のEndpointからBearer TokenがResponseされる。
6. (E) Bearer Tokenを持って、Resources用のEndpointにRequestする。
7. (F) Resources用のEndpointからClaim等のリソースがResponseされる。

連携先のサイトでは、上記の情報を元に、Cookie認証チェットを発行する。

---

Tags: :ASP.NET, :ASP.NET MVC, :ASP.NET SPA, ASP.NET Web API, :ASP.NET Identity

Special thanks go to mg-san for his support.

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.033 sec.