汎用認証サイトのファーストステップガイド (4) のバックアップ(No.16)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 汎用認証サイトのファーストステップガイド (4) へ行く。
  • 1 (2017-06-06 (火) 16:03:39)
  • 2 (2017-06-06 (火) 18:49:04)
  • 3 (2017-06-06 (火) 20:28:42)
  • 4 (2017-06-08 (木) 13:43:06)
  • 5 (2017-06-08 (木) 18:14:34)
  • 6 (2017-06-09 (金) 09:31:53)
  • 7 (2017-06-13 (火) 21:00:55)
  • 8 (2017-06-14 (水) 09:11:44)
  • 9 (2017-06-14 (水) 20:13:56)
  • 10 (2017-06-22 (木) 07:41:26)
  • 11 (2017-06-30 (金) 11:33:59)
  • 12 (2017-06-30 (金) 15:40:33)
  • 13 (2017-07-23 (日) 15:14:21)
  • 14 (2017-08-11 (金) 17:25:40)
  • 15 (2017-08-11 (金) 21:13:48)
  • 16 (2017-08-17 (木) 14:02:34)
  • 17 (2017-09-14 (木) 16:38:47)
  • 18 (2017-09-15 (金) 13:50:09)
  • 19 (2017-09-21 (木) 22:30:56)
  • 20 (2017-09-22 (金) 16:38:45)
  • 21 (2017-09-26 (火) 15:30:26)
  • 22 (2017-10-24 (火) 10:13:15)
  • 23 (2017-10-24 (火) 17:45:39)
  • 24 (2018-06-14 (木) 17:23:33)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 汎用認証サイトのファーストステップガイド (1)
  • 汎用認証サイトのファーストステップガイド (2)
  • 汎用認証サイトのファーストステップガイド (3)
  • 汎用認証サイトのファーストステップガイド (4)
  • 汎用認証サイトのファーストステップガイド (5)

目次 †

概要 †

汎用認証サイト（Multi-purpose Authentication Site）
の導入前の評価を行うためのファーストステップガイド。

(4) では、「認証連携コードの実装」を行う。

サンプル・プロジェクト †

ココで実装するコートは、

下記に添付した、

• ASP.NET MVC版サンプル
  WebApplication1.zip

• 同様に作成した、ASP.NET WebForms?版サンプル
  WebApplication2.zip

からダウンロード可能です。

汎用認証サイトをセットアップする。 †

• 適当なところに汎用認証サイトをセットアップする。
• 3 分割テストで行ったように、ポート番号が違うならlocalhostでも良い。
• ここでは、別サーバーのIIS上にデプロイ、セットアップしたので汎用認証サイトは常に実行可能状態にある。
• ローカル開発環境でテストする場合は、必要に応じて、汎用認証サイトをデバッグ起動して実行可能状態にする。

クライアントのプロジェクトを作成する。 †

ここでは、クライアントのプロジェクトとして、ASP.NET MVCを選択する。

ASP.NET MVCのプロジェクトを新規作成する。 †

ASP.NET MVCの（ASP.NET Web Application）プロジェクトを新規作成する。

[メニュー] ---> [新規作成] --->

[プロジェクト] ---> [ASP.NET Web Application(.NET Framework)]

新しいプロジェクト †

• 任意のパスを指定

• 名前を入力
  • 例えば[WebApplication1]という既定の名称を使用する。
  • ソリューション名も同じ名称のままにする。

• [OK]ボタンを押下。

テンプレート選択 †

テンプレート選択画面で以下のように選択する。

• テンプレートとして、[MVC]を選択する。
• [認証の変更ボタン]を押下し、[認証なし]に変更する。
• [OK]ボタンを押下してプロジェクトを作成する。
• ※ [クラウドにホストする]チェック ボックスのチェックは外す。

余分なコードを削除する。 †

Controller †

HomeController?から以下のアクション・メソッドを削除

• About
• Contact

View †

• 上記のアクション・メソッドに対応するViewも削除する。

  • /Home/About.cshtml

  • /Home/Contact.cshtml

• _Layout.cshtml

• 以下のdivは不要なので消す。

  <div class="navbar navbar-inverse navbar-fixed-top">

• 以下を以下で置き換える。
  • 以下のdivを

    <div class="container body-content">

  • 以下のステートメントで置き換える。

    @RenderBody()

• 以下のような状態になる。

  <!DOCTYPE html>
  <html>
  <head>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
      <meta charset="utf-8" />
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <title>@ViewBag.Title - マイ ASP.NET アプリケーション</title>
      @Styles.Render("~/Content/css")
      @Scripts.Render("~/bundles/modernizr")
  </head>
  <body>
      @RenderBody()
  
      @Scripts.Render("~/bundles/jquery")
      @Scripts.Render("~/bundles/bootstrap")
      @RenderSection("scripts", required: false)
  </body>
  </html>

• /Home/Index.cshtml

• 以下を残して全て消す。

  @{
      ViewBag.Title = "Home Page";
  }

クライアントにRedirectエンドポイントを作成する。 †

サンプルコードをコピーする。 †

汎用認証サイトのAccountControllerからサンプルのRedirectエンドポイントである

Authorization Codeグラント種別 †

AccountController.OAuthAuthorizationCodeGrantClientアクション・メソッドをコピーする。

Implicitグラント種別 †

AccountController.OAuthImplicitGrantClientアクション・メソッドをコピーする。

サンプルコードを貼り付ける。 †

Authorization Codeグラント種別 †

• HomeController?にコピーしたOAuthAuthorizationCodeGrantClient?アクション・メソッドを貼り付ける。

• 最初のうちは、ほぼほぼコンパイル エラーになるので、以下のようにコメント アウトし、

• 最後に、「return View("");」を加えて、

  [HttpGet]
  [AllowAnonymous]
  public async Task<ActionResult> OAuthAuthorizationCodeGrantClient(string code, string state)
  {
      // ・・・コメントアウト・・・
      
      return View("");
  }

• Viewモジュールを~/Home/OAuthAuthorizationCodeGrantClient?.cshtmlという名称で作成しておく。

Implicitグラント種別 †

• HomeController?にコピーしたOAuthImplicitGrantClient?アクション・メソッドを貼り付ける。

• 最初のうちは、ほぼほぼコンパイル エラーになるので、以下のようにコメント アウトし、

• 最後に、「return View("");」を加えて、

  [HttpGet]
  [AllowAnonymous]
  public async Task<ActionResult> OAuthImplicitGrantClient(string code, string state)
  {
      // ・・・コメントアウト・・・
      
      return View("");
  }

• Viewモジュールを~/Home/OAuthImplicitGrantClient?.cshtmlという名称で作成しておく。

汎用認証サイトにRedirectエンドポイントのURLを設定する。 †

• 以下のclient_id部分に、以下のように、Redirectエンドポイントを設定する。

  "f53469c17c5a432f86ce563b7805ab89": {
    "client_secret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM",
    "redirect_uri_code": "http://（MVCクライアント・サイトのアドレス:ポート）/Home/OAuthAuthorizationCodeGrantClient",
    "redirect_uri_token": "http://（MVCクライアント・サイトのアドレス:ポート）/Home/OAuthImplicitGrantClient",
    "client_name": "hogehoge0"
  },
  "b6b393fe861b430eb4ee061006826b03": {
    "client_secret": "p2RgAFKF-JaF0A9F1tyDXp4wMq-uQZYyvTBM8wr_v8g",
    "redirect_uri_code": "http://（WebFormクライアント・サイトのアドレス:ポート）/OAuthAuthorizationCodeGrantClient.aspx",
    "redirect_uri_token": "http://（WebFormクライアント・サイトのアドレス:ポート）/OAuthImplicitGrantClient.aspx",
    "client_name": "hogehoge1"
  },

• なお、このセクションは「CreateClientsIdentity?.exe」使用して自動生成できる。

認可リクエスト・認可レスポンス †

クライアントにスターター（認可リクエスト）のリンクを設置する。 †

スターターのリンクを取得 †

• スターターは汎用認証サイトを実行したトップ画面画から取得する。
  • Authorization Codeグラント種別

    http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=67d328bfe8604aae83fb15fa44780d8b&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L

• Implicitグラント種別

  http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=67d328bfe8604aae83fb15fa44780d8b&response_type=token&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L

スターターのリンクを設置 †

• スターターの「ホスト:ポート」部分を書き換えてIndex.cshtmlに貼り付ける。
  • Authorization Codeグラント種別

    http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=f53469c17c5a432f86ce563b7805ab89&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L

• Implicitグラント種別

  http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=f53469c17c5a432f86ce563b7805ab89&response_type=token&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L

• 次に、client_idを書き換える。
  • 具体的には、「67d328bfe8604aae83fb15fa44780d8b」から
    • MVC「f53469c17c5a432f86ce563b7805ab89」に書き換える。
    • Web Forms「b6b393fe861b430eb4ee061006826b03」に書き換える。

• Authorization Codeグラント種別
  • MVC

    <a href="http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=f53469c17c5a432f86ce563b7805ab89&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L">開始(code)</a><br/>

  • Web Forms

    <a href="http://localhost:63359/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=b6b393fe861b430eb4ee061006826b03&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L">開始(code)</a><br/>

• Implicitグラント種別
  • MVC

    <a href="http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=f53469c17c5a432f86ce563b7805ab89&response_type=token&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L">開始(token)</a><br />

  • Web Forms

    <a href="http://localhost:63359/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=b6b393fe861b430eb4ee061006826b03&response_type=token&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L">開始(token)</a><br />

• ポイント:
  サーバーに指定したRedirectエンドポイントを使用するため、
  ここでは、認可リクエストにredirect_uriパラメタを追加しない。

クライアントをデバッグ実行し、認可レスポンスを確認する。 †

Authorization Codeグラント種別 †

• ブレークポイントを仕掛ける。
  RedirectエンドポイントであるOAuthAuthorizationCodeGrantClient?アクション・メソッドにブレークポイントを仕掛ける。

• クライアントをデバッグ実行してAuthorization Codeグラント種別のスターターをクリック
  この状態でクライアント・サイトをデバッグ実行して、スターターをクリックしてみる。

• プレークポイントにブレーク（中断）するのを確認する。
  

• 汎用認証サイトの認証、（認可エンドポイントでの）認可プロセスを経て、

• クライアント・サイトのRedirectエンドポイントである
  OAuthAuthorizationCodeGrantClient?アクション・メソッドでブレーク（中断）するのを確認する。

• ここで、以下のように、仲介コードを確認することができる。
  以降コレ（仲介コード）を、アクセストークンとリフレッシュトークンに変換する処理を実装する。

  

Implicitグラント種別 †

• ブレークポイントを仕掛ける。
  RedirectエンドポイントであるOAuthImplicitGrantClient?アクション・メソッドにブレークポイントを仕掛ける。

• クライアントをデバッグ実行してImplicitグラント種別のスターターをクリック
  この状態でクライアント・サイトをデバッグ実行して、スターターをクリックしてみる。

• プレークポイントにブレーク（中断）するのを確認する。
  

• 汎用認証サイトの認証、（認可エンドポイントでの）認可プロセスを経て、

• クライアント・サイトのRedirectエンドポイントである
  OAuthImplicitGrantClient?アクション・メソッドでブレーク（中断）するのを確認する。

• Implicitグラント種別では、「URLフラグメント」を使用して情報を受け渡すため、
  サーバー側では、何も確認できないので、F5押下で画面表示し、URLからアクセストークンを確認する。

  

アクセストークン・リクエスト、レスポンス（Authorization Codeのみ） †

• アクセストークン・リクエスト
• アクセストークン・レスポンス
  

によって、仲介コードを

• アクセストークンと
• リフレッシュトークンに

変換する。

なお、この処理は、Authorization Codeでのみ必要になる。

必要な情報の収集 †

以下を必要とする。

アクセストークン・リクエストの仕方。 †

• アクセストークン・リクエストについては、コチラを参照。

• ザックリと、以下のようなリクエストを送信する。

  POST /token HTTP/1.1
   Host: server.example.com
   Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
   Content-Type: application/x-www-form-urlencoded
  
   grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
   &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

• ここでは、以下のようになる。

  POST /MultiPurposeAuthSite/OAuthBearerToken
  HTTP/1.1
   Host: （汎用認証サイトのアドレス:ポート）
   Authorization: Basic ["client_Id:client_secret"をbase64 url encodeした値]
   Content-Type: application/x-www-form-urlencoded
  
   grant_type=authorization_code&code=[取得した仲介コードの値]

TokenエンドポイントのURL †

• app.configにTokenエンドポイントのパスが設定されている。
• 汎用認証サイト（AuthorizationServer?エンドポイント）のURLと繋げて、以下のようになる。

  http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/OAuthBearerToken

client_Idとclient_secret †

• app.configにclient_Idとclient_secretが設定されている。

• ここでは、client_Idとclient_secretの値として、それぞれ、
  
  • client_Id : f53469c17c5a432f86ce563b7805ab89
  • client_secret : cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM

を利用する。

RedirectエンドポイントのURL †

• Redirectエンドポイントは前述の値。

• ここでは、以下のようになる。

  http://（クライアント・サイトのアドレス:ポート）/Home/OAuthAuthorizationCodeGrantClient

HttpClientを使用して仲介コードをアクセストークンとリフレッシュトークンに変換する。 †

コード †

だいたい、以下のような感じのコードになる。

using System;
using System.Text;
using System.Collections.Generic;
using System.Web.Mvc;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Threading.Tasks;

using Microsoft.Owin.Security.DataHandler.Encoder;

using Newtonsoft.Json;
using Newtonsoft.Json.Linq;

namespace WebApplication1.Controllers
{
    public class HomeController : Controller
    {
        public ActionResult Index()
        {
            return View();
        }

        [HttpGet]
        [AllowAnonymous]
        public async Task<ActionResult> OAuthAuthorizationCodeGrantClient(string code, string state)
        {
            if (state == "vj9NCxij4L") // CSRF(XSRF)対策のstateの検証は重要
            {
                HttpClient httpClient = new HttpClient();

                HttpRequestMessage httpRequestMessage = null;
                HttpResponseMessage httpResponseMessage = null;

                // HttpRequestMessage (Method & RequestUri)
                httpRequestMessage = new HttpRequestMessage
                {
                    Method = HttpMethod.Post,
                    RequestUri = new Uri("http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/OAuthBearerToken"),
                };

                // HttpRequestMessage (Headers & Content)
                httpRequestMessage.Headers.Authorization = new AuthenticationHeaderValue(
                    "Basic",
                    Convert.ToBase64String(System.Text.Encoding.ASCII.GetBytes(
                        string.Format("{0}:{1}",
                            "f53469c17c5a432f86ce563b7805ab89",
                            "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM"))));

                httpRequestMessage.Content = new FormUrlEncodedContent(
                    new Dictionary<string, string>
                    {
                        { "grant_type", "authorization_code" },
                        { "code", code },
                        { "redirect_uri", System.Web.HttpUtility.HtmlEncode("http://（クライアント・サイトのアドレス:ポート）/Home/OAuthAuthorizationCodeGrantClient") },
                    });

                // HttpResponseMessage
                httpResponseMessage = await httpClient.SendAsync(httpRequestMessage);
                string response = await httpResponseMessage.Content.ReadAsStringAsync();

                // 汎用認証サイトのOAuth2.0のレスポンスに含まれるaccess_tokenは、id_tokenのようなformatをしている。ここからsubを取得可能。
                Base64UrlTextEncoder base64UrlEncoder = new Base64UrlTextEncoder();
                Dictionary<string, string> dic = JsonConvert.DeserializeObject<Dictionary<string, string>>(response);
                string jwtPayload = Encoding.UTF8.GetString(base64UrlEncoder.Decode(dic["access_token"].Split('.')[1]));

                // id_tokenライクなJWTなので、中からsubなどを取り出すことができる。
                JObject jobj = ((JObject)JsonConvert.DeserializeObject(jwtPayload));
                string sub = (string)jobj["sub"];
            }

            return View("");
        }

    }
}

実行結果 †

上記の、「dic["access_token"]」の部分が、アクセストークンである。

汎用認証サイトでは、設定によってアクセストークンのformatを、ASP.NET Identity形式とJWT形式から選択できる。

署名検証、内容検証 †

アクセストークンのformatgが、JWT形式の場合、
必要に応じて、JWTの署名検証、内容検証を行えば、セキュリティ的に、より確実と言える。

• 署名検証
  • 汎用認証サイトから公開鍵を入手する。
  • Open棟梁では、JWTの署名検証ライブラリを提供している。
  • JWTの署名検証ライブラリの使用方法については以下が参考になる。
    https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Models/ASPNETIdentity/TokenProviders/AccessTokenFormatJwt.cs#L191

• 内容検証
  まず、"sub"が取得できれば、アクセストークンの取得に成功していると言える。
  そして、最低限、"iss"・"aud"、"nonce"クレームの内容検証を行うと良い。
  • "iss"クレームには、当該トークンを発行したSTSを表すUri値が格納される。
  • "aud"クレームには、起動パラメタの"client_id"値が格納される。
  • "nonce"クレームには、起動パラメタの"state"値が格納される。

• このJWTの署名検証、内容検証には「https://jwt.io/」を使用できる。
  • 詳しくはコチラを参照。

アクセストークンを使用しResource ServerのWebAPIへのアクセス結果を出力する。 †

Authorization Codeグラント種別 †

必要な情報の収集 †

• /userinfoエンドポイントのURL
  • app.configに/userinfoエンドポイントのパスが設定されている。

• 汎用認証サイト（Resource Serverエンドポイント）のURLと繋げて、以下のようになる。

  http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/userinfo

/userinfoエンドポイントにアクセスして、ユーザ属性を取得する。 †

• コード
  先程のコードに追記を行い、以下のような感じにする。

  using System;
  using System.Text;
  using System.Collections.Generic;
  using System.Web.Mvc;
  using System.Net.Http;
  using System.Net.Http.Headers;
  using System.Threading.Tasks;
  
  using Microsoft.Owin.Security.DataHandler.Encoder;
  
  using Newtonsoft.Json;
  using Newtonsoft.Json.Linq;
  
  namespace WebApplication1.Controllers
  {
      public class HomeController : Controller
      {
          public ActionResult Index()
          {
              return View();
          }
  
          [HttpGet]
          [AllowAnonymous]
          public async Task<ActionResult> OAuthAuthorizationCodeGrantClient(string code, string state)
          {
              if (state == "vj9NCxij4L") // CSRF(XSRF)対策のstateの検証は重要
              {
                  HttpClient httpClient = new HttpClient();
  
                  HttpRequestMessage httpRequestMessage = null;
                  HttpResponseMessage httpResponseMessage = null;
  
                  // HttpRequestMessage (Method & RequestUri)
                  httpRequestMessage = new HttpRequestMessage
                  {
                      Method = HttpMethod.Post,
                      RequestUri = new Uri("http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/OAuthBearerToken"),
                  };
  
                  // HttpRequestMessage (Headers & Content)
                  httpRequestMessage.Headers.Authorization = new AuthenticationHeaderValue(
                      "Basic",
                      Convert.ToBase64String(System.Text.Encoding.ASCII.GetBytes(
                          string.Format("{0}:{1}",
                              "f53469c17c5a432f86ce563b7805ab89",
                              "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM"))));
  
                  httpRequestMessage.Content = new FormUrlEncodedContent(
                      new Dictionary<string, string>
                      {
                          { "grant_type", "authorization_code" },
                          { "code", code },
                          { "redirect_uri", System.Web.HttpUtility.HtmlEncode("http://（クライアント・サイトのアドレス:ポート）/Home/OAuthAuthorizationCodeGrantClient") },
                      });
  
                  // HttpResponseMessage
                  httpResponseMessage = await httpClient.SendAsync(httpRequestMessage);
                  string response = await httpResponseMessage.Content.ReadAsStringAsync();
  
                  // 汎用認証サイトのOAuth2.0のレスポンスに含まれるaccess_tokenは、id_tokenのようなformatをしている。ここからsubを取得可能。
                  Base64UrlTextEncoder base64UrlEncoder = new Base64UrlTextEncoder();
                  Dictionary<string, string> dic = JsonConvert.DeserializeObject<Dictionary<string, string>>(response);
                  string jwtPayload = Encoding.UTF8.GetString(base64UrlEncoder.Decode(dic["access_token"].Split('.')[1]));
  
                  // id_tokenライクなJWTなので、中からsubなどを取り出すことができる。
                  JObject jobj = ((JObject)JsonConvert.DeserializeObject(jwtPayload));
                  string sub = (string)jobj["sub"];

↓↓↓ 下を追加 ↓↓↓

                // Userエンドポイントに問い合わせを行う。
                
                // HttpRequestMessage (Method & RequestUri)
                httpRequestMessage = new HttpRequestMessage
                {
                    Method = HttpMethod.Get,
                    RequestUri = new Uri("http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/userinfo"),
                };

                // HttpRequestMessage (Headers)
                httpRequestMessage.Headers.Authorization = new AuthenticationHeaderValue("Bearer", dic["access_token"]);

                // HttpResponseMessage
                httpResponseMessage = await httpClient.SendAsync(httpRequestMessage);
                string userinfo = await httpResponseMessage.Content.ReadAsStringAsync();
                jobj = ((JObject)JsonConvert.DeserializeObject(userinfo));
                sub = (string)jobj["sub"];
            }

            // 基本的に、仲介コードやアクセストークンは画面に露見させないこと。
            // このまま画面に表示させるとQuerystringに仲介コードが露見するので、
            // 必要な情報位を取得した後に、一段、Redirect処理などを経由させると良い。

↑↑↑ 上を追加 ↑↑↑

            return View("");
        }

    }
}

• 実行結果

  

注意事項 †

• 仲介コードやアクセストークンは画面に露見させないこと。

• このまま画面に表示させるとQuerystringに仲介コードが露見するので、
  必要な情報位を取得した後に、一段、Redirect処理などを経由させると良い。

Implicitグラント種別 †

前述のAuthorization Codeグラント種別と異なり、
この後の処理をクライアントサイドのJavaScript?で行う。

必要な情報の収集 †

前述と同じ。

/userinfoエンドポイントにアクセスして、ユーザ属性を取得する。 †

以下のモジュールから、

• OAuthImplicitGrantClient?.cshtml
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Views/Account/OAuthImplicitGrantClient.cshtml
• oauthimplicit.js
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/Scripts/touryo/oauthimplicit.js

以下のようにOAuthImplicitGrantClient?.cshtmlにコードを移植する。

• コード

  <a href="#" id="OAuthGetUserClaimsWebAPI" url="http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/userinfo">Get user claims</a>
  
  @section scripts{
      <script type="text/javascript">
  
          var fragment = "";
          var token = "";
  
          function CallOAuthAPI(url, httpMethod, postdata) {
              alert(
                  "<httpMethod>" + "\n" + httpMethod + "\n" +
                  "<url>" + "\n" + url + "\n" +
                  "<token>" + "\n" + token);
  
              $.ajax({
                  type: httpMethod,
                  url: url,
                  crossDomain: true,
                  headers: {
                      'Authorization': 'Bearer ' + token
                  },
                  data: postdata,
                  xhrFields: {
                      withCredentials: true
                  },
                  success: function (responseData, textStatus, jqXHR) {
                      alert(textStatus + ', ' + JSON.stringify(responseData));
                  },
                  error: function (responseData, textStatus, errorThrown) {
                      alert(textStatus + ', ' + errorThrown.message);
                  }
              });
          }
  
          $(function () {
              // フラグメントを取得し、
              fragment = getFragment();
              // フラグメントに access_token (Bearer Token) がある場合、
              if (fragment.access_token) {
  
                  // access_token (Bearer Token) を使用して
                  // ResourceServerのWebAPIにアクセスする。
                  token = fragment.access_token;
  
                  // 「access_token」（Bearer Token）が
                  // "露見"しないようwindow.location.hashを消去。
                  // ~~~~~~
                  window.location.hash = fragment.state || '';
                  
                  // OAuthGetUserClaimsWebAPI
                  $('#OAuthGetUserClaimsWebAPI').on('click', function () {
                      CallOAuthAPI($('#OAuthGetUserClaimsWebAPI').attr("url"), 'get', null)
                  });
              }
          });
  
          // -----------------------------------------------------------
          // フラグメント（#～の部分）を取得する。
          // -----------------------------------------------------------
          function getFragment() {
              // URLの「#」記号の後の部分を取得し、
              if (window.location.hash.indexOf("#") === 0) {
                  // # が1文字目にある場合
                  // 2文字目以降をobjectにparse。
                  return parseQueryString(window.location.hash.substr(1));
              } else {
                  // そうではない場合。
                  return {}; // 空
              }
          };
          
          // -----------------------------------------------------------
          // QueryStringをobjectにparseする。
          // -----------------------------------------------------------
          function parseQueryString(queryString) {
              //alert(queryString);
              var data = {},
                  pairs, pair, separatorIndex, escapedKey, escapedValue, key, value;
          
              if (queryString === null) {
                  return data; // 空で返す。
              }
          
              // 分解して、
              pairs = queryString.split("&");
          
              // 詰めて、
              for (var i = 0; i < pairs.length; i++) {
                  pair = pairs[i];
                  separatorIndex = pair.indexOf("=");
          
                  if (separatorIndex === -1) {
                      escapedKey = pair;
                      escapedValue = null;
                  } else {
                      escapedKey = pair.substr(0, separatorIndex);
                      escapedValue = pair.substr(separatorIndex + 1);
                  }
          
                  key = decodeURIComponent(escapedKey);
                  value = decodeURIComponent(escapedValue);
          
                  // インデクサで。
                  data[key] = value;
              }
          
              // 返す。
              return data;
          }
  
      </script>
  }

• 実行結果

  

注意事項 †

URLフラグメントを使用するため、Authorization Codeグラント種別と比べ、
非常に、アクセストークンが画面に露見し易いので注意する。

OpenID Connect †

Authorization Code Flow †

OpenID ConnectのAuthorization Code Flowをテストする。

上記のスターターのScopeにopenidを加えるだけで、
OpenID ConnectのAuthorization Code Flowをテストできる。

<a href="http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=f53469c17c5a432f86ce563b7805ab89&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20openid&state=vj9NCxij4L">開始</a>

Implicit Flow †

OpenID ConnectのImplicit Flowをテストする。

Implicit Flowでは、Scopeにopenidを加えるだけでなく、
response_typeを、response_type=id_token token, id_tokenに変更する必要がある。

<a href="http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=f53469c17c5a432f86ce563b7805ab89&response_type=id_token%20token&scope=profile%20email%20phone%20address%20userid%20aaa%20openid&state=vj9NCxij4L">開始</a>

ライブラリを使用してみる。 †

OAuth 2ライブラリ †

OpenID Connectライブラリ †

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.106 sec.