Multi-AuthSystem のバックアップ(No.15)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• ソース を表示
• Multi-AuthSystem は削除されています。
  • 1 (2016-11-08 (火) 10:11:27)
  • 2 (2016-11-08 (火) 11:53:49)
  • 3 (2016-11-08 (火) 19:44:02)
  • 4 (2016-11-09 (水) 16:30:30)
  • 5 (2016-12-02 (金) 09:25:30)
  • 6 (2016-12-05 (月) 19:43:47)
  • 7 (2016-12-06 (火) 09:43:57)
  • 8 (2016-12-08 (木) 13:57:55)
  • 9 (2016-12-08 (木) 20:30:19)
  • 10 (2016-12-13 (火) 15:01:54)
  • 11 (2016-12-16 (金) 13:39:39)
  • 12 (2016-12-16 (金) 18:53:29)
  • 13 (2016-12-19 (月) 23:29:46)
  • 14 (2016-12-20 (火) 10:30:47)
  • 15 (2016-12-22 (木) 13:31:52)
  • 16 (2016-12-23 (金) 15:40:47)
  • 17 (2016-12-23 (金) 17:42:48)
  • 18 (2017-01-04 (水) 13:05:46)
  • 19 (2017-02-27 (月) 18:36:46)
  • 20 (2017-04-06 (木) 16:36:57)
  • 21 (2017-04-07 (金) 15:34:58)
  • 22 (2017-04-11 (火) 13:39:52)
  • 23 (2017-04-18 (火) 17:35:01)

---

Open棟梁 wiki

• 戻る

目次 †

概要 †

• ASP.NET Identityを使用した認証サイト。

• Multi-AuthSystem?と略してしまったので、多要素認証と間違いそうだが、これは、
  Multi-purpose Authentication System（汎用 認証Webサイト）の略なので注意。

機能 †

基本機能 †

サインアップ †

サインイン †

サインアウト †

アカウント編集 †

• パスワード変更
• 電話番号

• 2要素認証のON/OFF

• 外部ログイン
  • 一覧
  • 削除

サインアップの機能強化 †

ユーザ名の重複不可設定 †

パスワード検証 †

2要素認証 †

以下で使用される。

• アカウント確認（E-mail confirmation）
• アカウント編集（電話番号、SMS）
• パスワード・リセット（E-mail）

アカウント確認（E-mail confirmation） †

サインインの機能強化 †

SecurityStamp †

外部ログイン †

セキュアトークンサービス（STS） †

運用の機能強化 †

アカウント・ロックアウト †

パスワード・リセット †

管理機能 †

• ユーザ編集・削除
• ロール編集・削除

• 注
  • 編集可能なユーザ属性が少ない（現状、Name = E-mailのみ編集可能）
  • データ量が多い場合に耐えられない実装になっている（ページング実装無し）。
  • マルチテナント対応の無い実装になっている。

独自仕様部分の説明? †

Idp仕様? †

外部認証仕様（≒ OAuth 2.0 Client仕様）? †

OAuth2.0 Server仕様? †

関連する機能 †

オンライン決済サービス? †

メール送信? †

SMS送信? †

動作検証 †

認証専用WebAPIへのアクセスを検証する。

Authorization Codeグラント種別 †

「http://localhost:nnnnn/home/index」で表示されるAuthorization Codeグラント種別の認証テスト用linkをclickする。

Implicitグラント種別 †

「http://localhost:nnnnn/home/index」で表示されるImplicitグラント種別の認証テスト用linkをclickする。

Resource Owner Password Credentialsグラント種別 †

cURLコマンドする。

• 認証の拡張仕様の部分は、朱書きにしてある。
• 通常のリソース用WebAPIへのアクセス時はこのパラメタの指定は不要。

処理の概要 †

• Tokenエンドポイントに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
  • POST
  • Authorization: Basic ZZZZZZZZZZ ---> 「クライアントID:クライアント・パスワード」をBase64エンコードしたもの。
  • body : grant_type=password, username=ユーザID, password=ユーザ・パスワード, scope=auth

• Bearer Tokenをヘッダに指定して認証専用のWebAPIにアクセスすると認証情報を取得できる。
  • POST
  • Authorization: Bearer XXXXXXXXXX
  • body : client_id=クライアントID, client_secret=クライアント・パスワード

cURLコマンド †

Debug ProxyにFiddler等を使用すると尚良（其の際は、 --proxy オプションを指定する必要がある）。

• Bearer Tokenの取得

• Request (cURLコマンド)

  >curl "http://localhost:nnnnn/OAuthBearerToken"-u "クライアントID:クライアント・パスワード" -d "grant_type=password" -d "username=ユーザID" -d "password=ユーザ・パスワード" -d "scope=auth"

• Response (Body)

  {"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn,"refresh_token":"YYYYYYYYYY"}

• Bearer Tokenを使用したOAuthリソースへのアクセス

• Request (cURLコマンド)

  >curl "http://localhost:nnnnn/api/OAuthResourceApi/GetAuthenticatedUsersClaim" -H "Authorization: Bearer XXXXXXXXXX" -d "client_id=クライアントID" -d "client_secret=クライアント・パスワード"

• Response (Body)

  {"userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}

Client Credentialsグラント種別 †

cURLコマンドする。

• 認証の拡張仕様の部分は、朱書きにしてある。
• 通常のリソース用WebAPIへのアクセス時はこのパラメタの指定は不要。

処理の概要 †

• Tokenエンドポイントに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
  • POST Authorization: Basic ZZZZZZZZZZ ---> 「クライアントID:クライアント・パスワード」をBase64エンコードしたもの。
  • body:grant_type=client_credentials, scope=auth

• Bearer Tokenをヘッダに指定して認証専用のWebAPIにアクセスすると認証情報を取得できる。
  • POST
  • Authorization: Bearer XXXXXXXXXX
  • body : client_id=クライアントID, client_secret=クライアント・パスワード

cURLコマンド †

Debug ProxyにFiddler等を使用すると尚良（其の際は、 --proxy オプションを指定する必要がある）。

• Bearer Tokenの取得

• Request (cURLコマンド)

  >curl "http://localhost:nnnnn/OAuthBearerToken" -u "クライアントID:クライアント・パスワード" -d "grant_type=client_credentials" -d "scope=auth"

• Response (Body)

  {"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn,"refresh_token":"YYYYYYYYYY"}

• Bearer Tokenを使用したOAuthリソースへのアクセス

• Request (cURLコマンド)

  >curl "http://localhost:63359/api/OAuthResourceApi/GetAuthenticatedUsersClaim" -H "Authorization: Bearer XXXXXXXXXX" -d "client_id=クライアントID" -d "client_secret=クライアント・パスワード"

• Response (Body)

  {"userName":"XXXXX","email":"XXXXX","phoneNumber":"XXXXX"}

メモ †

SecurityStamp †

詳しくはコチラを参照。

外部ログイン †

詳しくはコチラを参照。

ExternalLoginCallback?の条件分岐 †

1. 外部ログインの成否
   • 失敗（異常終了）
   • 成功、（２）へ。
2. 外部ログインの有・無
   • 外部ログインがある→そのままサインイン（正常終了）
   • 外部ログインがない→外部ログインの作成、（３）へ。
3. 外部ログインの作成
   • 当該ユーザが既にサインアップされている。
     → 外部ログインを追加してサインイン（正常終了）
   • 当該ユーザが未だサインアップされていない。
     → サインアップ後に外部ログインを追加してサインイン（正常終了）

＃外部ログイン追加、サインアップ、サインインの成否は省略。

外部ログイン削除のテストケース †

• サインアップ→サインアップ済みの状態から外部ログイン
  1. 内部ログイン→内部ログアウト
  2. 外部ログイン追加（外部ログイン）→外部ログアウト
  3. 外部ログイン→外部ログイン削除→★→外部ログアウト
  4. 外部ログイン追加（外部ログイン）→外部ログアウト
  5. 外部ログイン→外部ログイン削除→★→外部ログアウト
  6. 内部ログイン→内部ログアウト（外部ログイン削除後も、内部ログインは可能）

• サインアップせずに、外部ログイン
  1. 外部ログイン追加（外部ログイン）→外部ログアウト
  2. 外部ログイン→☆外部ログイン削除→外部ログアウト
  3. 外部ログイン追加（外部ログイン）→外部ログアウト

• 外部ログイン削除のポイント

• ★の外部ログイン削除後のタイミングで、ログアウトしていないのは、
  代替のログイン手段を持っているため問題無いという認識。

• ☆サインアップしていない場合に、外部ログインの削除ができなかった。
  （削除によりログイン手段を持たない状態になるのに、ログインしている状態になってしまうため）
  試しに外部ログイン✕２の状態でテストした所、外部ログインの削除が可能であることを確認できた。

セキュアトークンサービス（STS） †

• クレームベース認証 による認証・認可の仕組みを使用する。

• 詳しくは以下を参照のこと。

• OAuth - マイクロソフト系技術情報 Wiki
• ASP.NET IdentityによるSTS実装 - マイクロソフト系技術情報 Wikiを参照。

他サイトとの連携機能 †

.NET †

ASP.NET Identityを使用して連携できる（データストアは共有する）。

その他 †

前述の「セキュアトークンサービス（STS）」を使用して連携する。

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.040 sec.