WebAPIの認証 のバックアップ(No.9)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• WebAPIの認証 へ行く。
  • 1 (2017-05-04 (木) 17:06:32)
  • 2 (2017-05-04 (木) 19:24:21)
  • 3 (2017-05-04 (木) 20:37:14)
  • 4 (2017-05-04 (木) 23:50:27)
  • 5 (2017-05-07 (日) 19:52:12)
  • 6 (2017-05-08 (月) 11:51:43)
  • 7 (2017-06-18 (日) 21:38:34)
  • 8 (2017-09-04 (月) 09:31:52)
  • 9 (2017-09-06 (水) 09:22:05)
  • 10 (2017-09-25 (月) 14:55:06)
  • 11 (2017-11-24 (金) 19:12:01)
  • 12 (2018-06-14 (木) 17:38:19)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • WebAPI
  • 認証基盤

目次 †

概要 †

• WebAPIの認証方式について纏めてみた。
• 基本的にOpenID（OAuth）系の技術が使用されている。

技術 †

以下の様な技術が使われている。

ベース クライアント セキュリティ モデル的な認証 †

OAuth †

OpenID Connect †

サーバー信頼モデル的な認証 †

証明書 †

JWT †

OAuth 2.0 JWT Bearer Token Flow

• JSON Web Token (JWT) Profile
  for OAuth 2.0 Client Authentication and Authorization Grants
  https://tools.ietf.org/html/rfc7523

SAML †

OAuth 2.0 SAML Bearer Token Flow

• RFC 7522 - Security Assertion Markup Language (SAML) 2.0 Profile
  for OAuth 2.0 Client Authentication and Authorization Grants
  https://tools.ietf.org/html/rfc7522

用例 †

ベース クライアント セキュリティ モデル的な認証 †

認可を行う †

OAuthダンスのOAuth 2.0 が主流である模様。

認証を行う †

OAuth 2.0 や OpenID Connectが使われる。

サーバー信頼モデル的な認証 †

Twitterの例 †

ココを見ると解るが、

• [Consumer Key]
• [Consumer Secret]
• [Access Token]
• [Access Token Secret]

が必要になる。

このため以下の様な方式になっているものと考える。

• キーの名称から、内部はOAuth 1.0aで実装されている模様。

• OAuth 2.0であれば、サーバー信頼モデルの場合、Client Credentialsグラント種別でイイと思うが、
  OAuth 1.0aであるため？管理画面で、[Access Token]と[Access Token Secret]を取得している模様。

• 参考
  • Twitter REST APIの使い方
    https://syncer.jp/Web/API/Twitter/REST_API/
  • Twitter の OAuth 1.0 認証 – 解説。 | みむらの手記手帳
    http://mimumimu.net/blog/2011/11/26/twitter-%E3%81%AE-oauth-1-0-%E8%AA%8D%E8%A8%BC-%E8%A7%A3%E8%AA%AC%E3%80%82/

Googleの例 †

以下を見ると、

• C#とCoreTweet?を使って簡単にTwitterへツイートするbotを作る - 酢ろぐ！
  http://blog.ch3cooh.jp/entry/20140808/1407464147
  • Google Analytics API を使って前日の PV を取得するコードを C# で書いてみた - しばやん雑記
    http://blog.shibayan.jp/entry/20140803/1407059293

通常のOAuth 2.0の

• Authorization Codeグラント種別
• Implicitグラント種別

以外に、

クライアント証明書（pfx形式の電子証明書）を使って、
サービスアカウントで認証する方法がある模様。

ちなみに、ここでは、Google.Apis.Analytics Client Libraryに
処理がラッピングされていたため。詳細が不明だったが、

以下を見ると、このClient Libraryの中では、JWTが使用されている模様。

• JWTを使ってGoogleAPIのアクセストークン取得する - Carpe Diem
  http://christina04.hatenablog.com/entry/2015/06/04/224159

• IdM実験室: [JWT/OAuth]Service Accountを使ってGoogle APIを利用する
  • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api.html
  • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api_5.html

これが、

「OAuth 2.0 JWT Bearer Token Flow（JWT Bearer Token Profile）」

の用例である模様。

• GoogleのOAuth 2.0実装からみえたClientの扱い - r-weblife
  http://d.hatena.ne.jp/ritou/20121104/1352036133

上記のサイトには、

Service Accounts = JWT Bearer Token Profile

であることが明記されている。

Microsoft (AzureAD) の例 †

Googleと同様に、以下を見ると、

• Azure AD : ログインをしない Backend Server-Side アプリの開発 (Daemon など) – Tsmatz
  https://blogs.msdn.microsoft.com/tsmatsuz/2015/04/09/azure-ad-backend-server-side-deamon-service/
• Azure ADに登録されているAPI用のアクセストークンをJWTで取得するには | hrendoh's memo
  http://blog.hrendoh.com/active-directory-dotnet-daemon-certificate-credential/
  • Authenticating to Azure AD in daemon apps with certificates | Microsoft Azure
    https://azure.microsoft.com/ja-jp/resources/samples/active-directory-dotnet-daemon-certificate-credential/

通常のOAuth 2.0の

• Authorization Codeグラント種別
• Implicitグラント種別

以外に、

「OAuth 2.0 JWT Bearer Token Flow（JWT Bearer Token Profile）」

をサポートしている模様。

ただし、処理は、ADAL(Active Directory Authentication Library)
にラップされているためJWT作成処理の詳細などを見ることは出来ない。

• active-directory-dotnet-daemon-certificate-credential/Program.cs
  at master · Azure-Samples/active-directory-dotnet-daemon-certificate-credential
  https://github.com/Azure-Samples/active-directory-dotnet-daemon-certificate-credential/blob/master/TodoListDaemonWithCert/Program.cs

Salesforceの例 †

以下のQiita記事を参照すると、Salesforceは、

• OAuth 2.0 JWT べアラートークンフロー
• OAuth 2.0 SAML ベアラーアサーションフロー

の2つのフローをサポートしている模様。

• OAuth2 JWT Bearer Token フローを使ってSalesforceへアクセスする - Qiita
  http://qiita.com/stomita/items/4542ce1b48e5fa849ef1

• help.salesforce.
  • OAuth 2.0 JWT べアラートークンフロー
    https://help.salesforce.com/articleView?id=remoteaccess_oauth_jwt_flow.htm&language=ja&type=0
  • OAuth 2.0 SAML ベアラーアサーションフロー
    https://help.salesforce.com/articleView?id=remoteaccess_oauth_SAML_bearer_flow.htm&language=ja&type=0

原理はほぼ同じで、SAMLよりJWTのほうが動作環境的な制約は少ないとのこと。

その他の例 †

• OAuth 2.0 - JWT Bearer token authorization grant type
  https://developer.atlassian.com/cloud/jira/platform/oauth-2-jwt-bearer-token-authorization-grant-type/

IoT deviceの認証 †

Wio Node (Wio Link) †

HCP (SAP HANA Cloud Platform) †

Wio Linkの生成したToken（Query Stringに指定）に加えて、
HCPに登録・生成したDevice IDとOAuthのBearer TokenをAuthorizationヘッダに追加している。

• From WioLink? via Beagle Bone Green (wireless) to SAP HCP IoT Service | SAP Blogs
  https://blogs.sap.com/2016/05/19/from-wiolink-via-beagle-bone-green-wireless-to-sap-hcp-iot-service/

実装例 †

ASP.NET Web APIの例 †

JWT形式のAccess TokenをFilterAttribute?で認証してClaimsPrincipal?を通じて連携する。
この場合、ASP.NETIdentityには依存すること無く認証を行うことができる。

• ActionFilterAttribute?, IAuthenticationFilter?
  https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/C%23/Frameworks/Infrastructure/Business/Presentation/MyBaseApiControllerAsync.cs

---

Tags: :プログラミング, :通信技術, :.NET Core, :.NET Standard, :.NET Core, :ASP.NET, :ASP.NET Web API

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.050 sec.