OAuthによる外部ログイン（認証）の研究 のバックアップ(No.10)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OAuthによる外部ログイン（認証）の研究 へ行く。
  • 1 (2017-01-07 (土) 16:52:55)
  • 2 (2017-01-07 (土) 19:17:25)
  • 3 (2017-01-08 (日) 19:59:47)
  • 4 (2017-01-10 (火) 13:25:41)
  • 5 (2017-01-13 (金) 22:15:58)
  • 6 (2017-03-03 (金) 21:41:03)
  • 7 (2017-04-05 (水) 12:05:14)
  • 8 (2017-05-07 (日) 18:06:04)
  • 9 (2017-05-08 (月) 11:58:34)
  • 10 (2017-05-26 (金) 13:17:40)
  • 11 (2017-07-04 (火) 17:33:41)
  • 12 (2017-11-17 (金) 15:42:32)
  • 13 (2018-02-04 (日) 14:27:20)
  • 14 (2018-10-09 (火) 22:15:58)
  • 15 (2018-10-22 (月) 20:12:01)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• 外部ログイン（認証）の仕様の調査。
• 前提知識に、OAuth 2.0 の知識を要する。

外部ログイン（認証）の仕様 †

これは、OAuth 2.0「Authorization Codeグラント種別」の拡張仕様になる。

• 通常、OAuth 2.0では、Redirectエンドポイントには、仲介コードが返り、
  仲介コードをサーバ側でAccess Tokenに変換した後、Resources Serverへアクセスし、
  必要なResources（ここでは認証されたユーザのクレーム）を取り出して返すと言う流れになる。
  

• しかし、外部ログインでは、Redirectエンドポイントに直接、このクレームが返る
  （外部ログイン・ライブラリ上で、仲介コード → Access Token → クレームへの変換処理をしている）。

ASP.NET Identity用のMicrosoftアカウントの外部ログイン・ライブラリの場合 †

動作を分析した所、

• 実際のRedirectエンドポイントは、
  http://localhost:nnnnn/signin-microsoft

• アプリケーションのCallbackのエンドポイントが、
  /Account/ExternalLoginCallback?

となっている。

HTTPSのため、仲介コード → Access Tokenの、Responseを確認できず、
OpenID Connectで実装されてる可能性もあると考えたが、
scopeパラメタに「openid」の値を確認できなかったので、OAuth 2.0拡張と思われる。

Redirectエンドポイント †

仲介コード → Access Token → クレームへの変換処理を行っている模様。

• GET http://localhost:nnnnn/signin-microsoft?code=AAAAA&state=BBBBB HTTP/1.1

• Cookie:
  • ASP.NET_SessionId?=XXXXX
  • __RequestVerificationToken?=YYYYY
  • .AspNet?.Correlation.Microsoft=ZZZZZ1

Callbackのエンドポイント †

この時点で情報は全て、.AspNet?.ExternalCookie?に同梱されるもよう。
（恐らく、クレームなどの情報の露見を防ぐためと思われる）

• GET http://localhost:nnnnn/Account/ExternalLoginCallback HTTP/1.1

• Cookie:
  • ASP.NET_SessionId?=XXXXX
  • __RequestVerificationToken?=YYYYY
  • .AspNet?.ExternalCookie?=ZZZZZ2

遷移元への遷移 †

認証後、遷移元へ遷移した後には、外部ログインの形跡は綺麗に消えている。

• GET http://localhost:nnnnn/ HTTP/1.1

• Cookie:
  • ASP.NET_SessionId?=XXXXX
  • __RequestVerificationToken?=YYYYY
  • .AspNet?.TwoFactorRememberBrowser?=ZZZZZ3
  • .AspNet?.ApplicationCookie?=ZZZZZ4

セキュリティに関する考慮点 †

以下をライブラリ内で処理することで、セキュリティを高くしている。

• 外部ログインを、ライブラリ内部で処理して、
  • ユーザの実装ミスによる仲介コード、Access Token等の露見を防いでいる。
  • 長目のRequestVerificationToken?値を使用している。

• Redirectエンドポイント→Callbackのエンドポイント間で、
  • 仲介コード、Access Token等が露見しないよう、エンドポイントを2段構成にしている。
  • エンドポイント間のインターフェイスにCookie(ExternalCookie?)を使用し、遷移後、直ちに削除している。

外部ログイン（認証）の拡張仕様 †

主に、以下のようなセキュリティ上の問題への対応
によって拡張された仕様（認証に関わらずだけど）。

• HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？ - OAuth.jp
  http://oauth.jp/blog/2016/07/27/https-full-url-leaks/

Proof Key for Code Exchange by OAuth Public Clients †

概要 †

Authorization Codeグラント種別により発行された認可コードをクライアントアプリケーションが受け取る際、
悪意のあるアプリケーションがその認可コードを横取りするという、
「認可コード横取り攻撃」(authorization code interception attack)に対抗する仕様。

• 各エンドポイントで受け取るパラメタ

• 認可エンドポイント

  #	パラメタ	要否	説明
  1	code_challenge	必須	Code Verifier を元に計算された Code Challenge の値
  2	code_challenge_method	任意	Code Challenge の計算に用いるメソッド。plain (デフォルト) もしくは S256。

• Tokenエンドポイント

  #	パラメタ	要否	説明
  1	code_verifier	必須	Code Challenge の元となった Code Verifier の値

参考 †

• RFC 7636 - Proof Key for Code Exchange by OAuth Public Clients
  https://tools.ietf.org/html/rfc7636

• その他
  • PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと - Qiita
    http://qiita.com/TakahikoKawasaki/items/00f333c72ed96c4da659

OAuth 2.0 Multiple Response Type Encoding Practices †

code token（Hybrid Flow）などの、新しいresponse_typeが追加されている。
（これにより、Token置換攻撃を防ぐなど、安全性を高めている模様）

参考 †

• Final: OAuth 2.0 Multiple Response Type Encoding Practices
  http://openid.net/specs/oauth-v2-multiple-response-types-1_0.html

• その他
  • GoogleのOAuth 2.0実装におけるToken置換攻撃の防ぎ方 - r-weblife
    http://d.hatena.ne.jp/ritou/20120702/1341235859
  • OAuth 2.0 の Response Type 全パターン - OAuth.jp
    http://oauth.jp/blog/2015/01/06/oauth2-multiple-response-type/

OAuth2.0 Proof of Possession †

参考 †

こちら。

Bearer TokenやクレームをJWTアサーションに変更する †

Tokenやクレームに、JWTアサーションを使用すれば、改竄、置換、CSRF（XSRF）などを検出することができる。

• OAuth 2.0ではアクセストークンまで仕様化されていないのでJWTアサーションを利用可能。

• アクセストークンに、JWTアサーションを使用すれば、改竄、置換、CSRF（XSRF）等に耐える為、Implicitグラント種別でも安全性が高くなる。

• また、OpenID ConnectのIDトークンを参考にして、JWTアサーションを発行し、これを検証すれば、認証用途に利用できる。

参考 †

• ASP.NET IdentityでアクセストークンをJWTアサーションに変更できるもよう。
  • 詳しくは、コチラ?を参照。
• モバイルアプリのユーザ認証方法についてまとめてみた - Qiita
  http://qiita.com/ledmonster/items/0ee1e757af231aa927b1
  • 10 Things You Should Know about Tokens
    9. JSON Web Tokens can be used in OAuth: Bearer Token
    https://auth0.com/blog/ten-things-you-should-know-about-tokens-and-cookies/#token-oauth

User-Agentやスマホネイティブでの外部ログインについての考察 †

課題 †

問題は、

• クライアント（User-Agentやスマホネイティブ）という改竄、置換などの攻撃を行う可能性のある"仲介者"が存在する中、
• 「Implicitグラント種別」（アクセストークンをHTTPでサイト間を経由しクライアントに渡す）を使用して、

サーバ間でSSO認証をする必要があること。

解決 †

OAuth 2.0 Multiple Response Type Encoding Practices †

結局、User-Agentやスマホネイティブでも

• 「Authorization Codeグラント種別」で
• サーバ（Authorization ServerとClient）間で

外部ログインするしか無いのか？

→　code token（Hybrid Flow）などの、新しいresponse_typeが追加された。

OAuth2.0 Proof of Possession †

Bearer TokenやクレームをJWTアサーションに変更する †

→　認証チケットに改竄検知の署名を追加するためJWTアサーションを使用。

参考 †

WebAPIの認証 †

OAuth †

JWTとOAuth2.0 †

ASP.NET Identity †

ASP.NET Identityの外部ログイン †

ASP.NET IdentityによるSTS実装 †

• ASP.NET IdentityのOAuthによるSTS実装?

---

Tags: :認証基盤, :ASP.NET Identity, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.037 sec.