「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
前提知識に、OAuth 2.0 の知識を要する。
そもそも、OAuth 2.0 を認証に使用すると、
「セキュリティ的に問題に成り得る。」と言う懸念点が幾つか在った。
OAuthによる外部ログイン(認証)をすると、通常、
OAuth 2.0 の Authorization Server で認証されたユーザのクレームが
Redirectエンドポイントに返るが、これは、OAuth 2.0 自体の仕様ではない。
外部ログイン(認証)の拡張仕様 †
これは、OAuth 2.0「Authorization Codeグラント種別」の拡張仕様になる。
- 通常、OAuth 2.0では、Redirectエンドポイントには、仲介コードが返り、
仲介コードをサーバ側でAccess Tokenに変換した後、Resources Serverへアクセスし、
必要なResources(ここでは認証されたユーザのクレーム)を取り出して返すと言う流れになる。
- しかし、外部ログインでは、Redirectエンドポイントに直接、このクレームが返る
(外部ログイン・ライブラリ上で、仲介コード → Access Token → クレームへの変換処理をしている)。
ASP.NET Identity用のMicrosoftアカウントの外部ログイン・ライブラリの場合 †
動作を分析した所、
- アプリケーションのCallbackのエンドポイントが、
/Account/ExternalLoginCallback?
となっている。
HTTPSのため、仲介コード → Access Tokenの、Responseを確認できず、
OpenID Connectで実装されてる可能性もあると考えたが、
scopeパラメタに「openid」の値を確認できなかったので、OAuth 2.0拡張と思われる。
Redirectエンドポイント †
仲介コード → Access Token → クレームへの変換処理を行っている模様。
- Cookie:
- ASP.NET_SessionId?=XXXXX
- __RequestVerificationToken?=YYYYY
- .AspNet?.Correlation.Microsoft=ZZZZZ1
Callbackのエンドポイント †
この時点で情報は全て、.AspNet?.ExternalCookie?に同梱されるもよう。
(恐らく、クレームなどの情報の露見を防ぐためと思われる)
- Cookie:
- ASP.NET_SessionId?=XXXXX
- __RequestVerificationToken?=YYYYY
- .AspNet?.ExternalCookie?=ZZZZZ2
遷移元への遷移 †
認証後、遷移元へ遷移した後には、外部ログインの形跡は綺麗に消えている。
- Cookie:
- ASP.NET_SessionId?=XXXXX
- __RequestVerificationToken?=YYYYY
- .AspNet?.TwoFactorRememberBrowser?=ZZZZZ3
- .AspNet?.ApplicationCookie?=ZZZZZ4
セキュリティに関する考慮点 †
以下をライブラリ内で処理することで、セキュリティを高くしている。
- 外部ログインを、ライブラリ内部で処理して、
- ユーザの実装ミスによる仲介コード、Access Token等の露見を防いでいる。
- 長目のRequestVerificationToken?値を使用している。
- Redirectエンドポイント→Callbackのエンドポイント間で、
- 仲介コード、Access Token等が露見しないよう、エンドポイントを2段構成にしている。
- エンドポイント間のインターフェイスにCookie(ExternalCookie?)を使用し、遷移後、直ちに削除している。
OAuth 2.0 Multiple Response Type Encoding Practices †
code token(Hybrid Flow)などの、新しいresponse_typeが追加されている。
(これにより、Token置換攻撃を防ぐなど、安全性を高めている模様)
Bearer TokenやクレームをJWTアサーションに変更する †
Tokenやクレームに、JWTアサーションを使用すれば、改竄、置換、CSRF(XSRF)などを検出することができる。
- OAuth 2.0ではアクセストークンまで仕様化されていないのでJWTアサーションを利用可能。
- アクセストークンに、JWTアサーションを使用すれば、改竄、置換、CSRF(XSRF)等に耐える為、Implicitグラント種別でも安全性が高くなる。
User-Agentやスマホネイティブでの外部ログインについての考察 †
課題 †
問題は、
- クライアント(User-Agentやスマホネイティブ)という改竄、置換などの攻撃を行う可能性のある"仲介者"が存在する中、
- 「Implicitグラント種別」(アクセストークンをHTTPでサイト間を経由しクライアントに渡す)を使用して、
サーバ間でSSO認証をする必要があること。
解決 †
結局、User-Agentやスマホネイティブでも
- 「Authorization Codeグラント種別」で
- サーバ(Authorization ServerとClient)間で
外部ログインするしか無いのか?
→ code token(Hybrid Flow)などの、新しいresponse_typeが追加された。
→ 認証チケットに改竄検知の署名を追加するためJWTアサーションを使用。
参考 †
- ASP.NET IdentityのOAuthによるSTS実装?
Tags: :認証基盤, :ASP.NET Identity, :OAuth