汎用認証サイトのファーストステップガイド (4) のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 汎用認証サイトのファーストステップガイド (4) へ行く。
  • 1 (2017-06-06 (火) 16:03:39)
  • 2 (2017-06-06 (火) 18:49:04)
  • 3 (2017-06-06 (火) 20:28:42)
  • 4 (2017-06-08 (木) 13:43:06)
  • 5 (2017-06-08 (木) 18:14:34)
  • 6 (2017-06-09 (金) 09:31:53)
  • 7 (2017-06-13 (火) 21:00:55)
  • 8 (2017-06-14 (水) 09:11:44)
  • 9 (2017-06-14 (水) 20:13:56)
  • 10 (2017-06-22 (木) 07:41:26)
  • 11 (2017-06-30 (金) 11:33:59)
  • 12 (2017-06-30 (金) 15:40:33)
  • 13 (2017-07-23 (日) 15:14:21)
  • 14 (2017-08-11 (金) 17:25:40)
  • 15 (2017-08-11 (金) 21:13:48)
  • 16 (2017-08-17 (木) 14:02:34)
  • 17 (2017-09-14 (木) 16:38:47)
  • 18 (2017-09-15 (金) 13:50:09)
  • 19 (2017-09-21 (木) 22:30:56)
  • 20 (2017-09-22 (金) 16:38:45)
  • 21 (2017-09-26 (火) 15:30:26)
  • 22 (2017-10-24 (火) 10:13:15)
  • 23 (2017-10-24 (火) 17:45:39)
  • 24 (2018-06-14 (木) 17:23:33)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • 汎用認証サイトのファーストステップガイド (1)
  • 汎用認証サイトのファーストステップガイド (2)
  • 汎用認証サイトのファーストステップガイド (3)
  • 汎用認証サイトのファーストステップガイド (4)
  • 汎用認証サイトのファーストステップガイド (5)

目次 †

概要 †

汎用認証サイト（Multi-purpose Authentication Site）
の導入前の評価を行うためのファーストステップガイド。

(4) では、「認証連携コードの実装」を行う。

汎用認証サイトをセットアップする。 †

• 適当なところに汎用認証サイトをセットアップする。
• 3 分割テストで行ったように、ポート番号が違うならlocalhostでも良い。
• ここでは、別サーバーのIIS上にデプロイ、セットアップしたので汎用認証サイトは常に実行可能状態にある。
• ローカル開発環境でテストする場合は、必要に応じて、汎用認証サイトをデバッグ起動して実行可能状態にする。

クライアントのプロジェクトを作成する。 †

ここでは、クライアントのプロジェクトとして、ASP.NET MVCを選択する。

ASP.NET MVCのプロジェクトを新規作成する。 †

ASP.NET MVCの（ASP.NET Web Application）プロジェクトを新規作成する。

[メニュー] ---> [新規作成] --->

[プロジェクト] ---> [ASP.NET Web Application(.NET Framework)]

新しいプロジェクト †

• 任意のパスを指定

• 名前を入力
  • 例えば[WebApplication1]という既定の名称を使用する。
  • ソリューション名も同じ名称のままにする。

• [OK]ボタンを押下。

テンプレート選択 †

テンプレート選択画面で以下のように選択する。

• テンプレートとして、[MVC]を選択する。
• [認証の変更ボタン]を押下し、[認証なし]に変更する。
• [OK]ボタンを押下してプロジェクトを作成する。
• ※ [クラウドにホストする]チェック ボックスのチェックは外す。

余分なコードを削除する。 †

Controller †

HomeController?から以下のアクション・メソッドを削除

• About
• Contact

View †

• 上記のアクション・メソッドに対応するViewも削除する。

  • /Home/About.cshtml

  • /Home/Contact.cshtml

• _Layout.cshtml

• 以下のdivは不要なので消す。

  <div class="navbar navbar-inverse navbar-fixed-top">

• 以下を以下で置き換える。
  • 以下のdivを

    <div class="container body-content">

  • 以下のステートメントで置き換える。

    @RenderBody()

• 以下のような状態になる。

  <!DOCTYPE html>
  <html>
  <head>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
      <meta charset="utf-8" />
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <title>@ViewBag.Title - マイ ASP.NET アプリケーション</title>
      @Styles.Render("~/Content/css")
      @Scripts.Render("~/bundles/modernizr")
  </head>
  <body>
      @RenderBody()
  
      @Scripts.Render("~/bundles/jquery")
      @Scripts.Render("~/bundles/bootstrap")
      @RenderSection("scripts", required: false)
  </body>
  </html>

• /Home/Index.cshtml

• 以下を残して全て消す。

  @{
      ViewBag.Title = "Home Page";
  }

クライアントにRedirectエンドポイントを作成する。 †

サンプルコードをコピーする。 †

汎用認証サイトのAccountControllerからサンプルのRedirectエンドポイントである
AccountController?.OAuthAuthorizationCodeGrantClient?アクション・メソッドをコピーする。

サンプルコードを貼り付ける。 †

• HomeController?にコピーしたOAuthAuthorizationCodeGrantClient?アクション・メソッドを貼り付ける。

• 最初のうちは、ほぼほぼコンパイル エラーになるので、以下のようにコメント アウトし、

• 最後に、「return View("");」を加えておく。

  [HttpGet]
  [AllowAnonymous]
  public async Task<ActionResult> OAuthAuthorizationCodeGrantClient(string code, string state)
  {
      // ・・・コメントアウト・・・
      
      return View("");
  }

汎用認証サイトにRedirectエンドポイントのURLを設定する。 †

• 以下のclient_id部分に、以下のように、Redirectエンドポイントを設定する。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/app.config#L235

  "f53469c17c5a432f86ce563b7805ab89": {
  "client_secret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM",
  "redirect_uri_code": "http://（クライアント・サイトのアドレス:ポート）/Home/OAuthAuthorizationCodeGrantClient",
  "redirect_uri_token": "http://hogehoge0/bbb",
  "client_name": "test_icon"

• なお、このセクションは「CreateClientsIdentity?.exe」使用して自動生成できる。

クライアントにスターターのリンクを設置する。 †

スターターのリンクを取得 †

• スターターは汎用認証サイトを実行したトップ画面画から取得する。

  http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=67d328bfe8604aae83fb15fa44780d8b&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L

  

スターターのリンクを設置 †

• スターターの「ホスト:ポート」部分を書き換えてIndex.cshtmlに貼り付ける。

  <a href="http://（クライアント・サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=67d328bfe8604aae83fb15fa44780d8b&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L">開始</a>

• 次に、client_idを書き換える。具体的には、「67d328bfe8604aae83fb15fa44780d8b」から「f53469c17c5a432f86ce563b7805ab89」に書き換える。

  <a href="http://（クライアント・サイトのアドレス:ポート）/MultiPurposeAuthSite/Account/OAuthAuthorize?client_id=f53469c17c5a432f86ce563b7805ab89&response_type=code&scope=profile%20email%20phone%20address%20userid%20aaa%20bbb&state=vj9NCxij4L">開始</a>

クライアントをデバッグ実行し、仲介コードを確認する。 †

ブレークポイントを仕掛ける。 †

RedirectエンドポイントであるOAuthAuthorizationCodeGrantClient?アクション・メソッドにブレークポイントを仕掛ける。

クライアントをデバッグ実行してスターターをクリック †

この状態でクライアント・サイトをデバッグ実行して、スターターをクリックしてみる。

プレークポイントにブレーク（中断）するのを確認する。 †

• 汎用認証サイトの認証、（認可エンドポイントでの）認可プロセスを経て、

• クライアント・サイトのRedirectエンドポイントである
  OAuthAuthorizationCodeGrantClient?アクション・メソッドでブレーク（中断）するのを確認する。

• ここで、以下のように、仲介コードを確認することができる。
  以降コレ（仲介コード）を、AccessToken?とRefreshToken?に変換する処理をじっそうする。
  

仲介コードをAccessToken?とRefreshToken?に変換する。 †

必要な情報の収集 †

以下を必要とする。

アクセストークン・リクエストの仕方。 †

• アクセストークン・リクエストについては、コチラを参照。

• ザックリと、以下のようなリクエストを送信する。

  POST /token HTTP/1.1
   Host: server.example.com
   Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
   Content-Type: application/x-www-form-urlencoded
  
   grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
   &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

• ここでは、以下のようになる。

  POST /MultiPurposeAuthSite/OAuthBearerToken
  HTTP/1.1
   Host: （汎用認証サイトのアドレス:ポート）
   Authorization: Basic ["client_Id:client_secret"をbase64 url encodeした値]
   Content-Type: application/x-www-form-urlencoded
  
   grant_type=authorization_code&code=[取得した仲介コードの値]

TokenエンドポイントのURL †

• Tokenエンドポイントのパスは、以下に設定されている。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/app.config#L201

• 汎用認証サイトのURLと繋げて、以下のようになる。

  http://（汎用認証サイトのアドレス:ポート）/MultiPurposeAuthSite/OAuthBearerToken

client_Idとclient_secret †

• client_Idとclient_secretは以下に設定されている。
  https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSite/MultiPurposeAuthSite/app.config#L235

• client_Idとclient_secretの値はそれぞれ、
  
  • client_Id : f53469c17c5a432f86ce563b7805ab89
  • client_secret : cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM

を利用する。

RedirectエンドポイントのURL †

• Redirectエンドポイントは前述の値。

• ここでは、以下のようになる。

  http://（クライアント・サイトのアドレス:ポート）/Home/OAuthAuthorizationCodeGrantClient

HttpClientを使用してアクセストークン・リクエストを行う。 †

コード †

だいたい、以下のような感じのコードになる。

using System;
using System.Text;
using System.Collections.Generic;
using System.Web.Mvc;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Threading.Tasks;

using Microsoft.Owin.Security.DataHandler.Encoder;

using Newtonsoft.Json;
using Newtonsoft.Json.Linq;

namespace WebApplication1.Controllers
{
    public class HomeController : Controller
    {
        public ActionResult Index()
        {
            return View();
        }

        [HttpGet]
        [AllowAnonymous]
        public async Task<ActionResult> OAuthAuthorizationCodeGrantClient(string code, string state)
        {
            if (state == "vj9NCxij4L") // CSRF(XSRF)対策のstateの検証は重要
            {
                HttpClient httpClient = new HttpClient();

                // HttpRequestMessage (Method & RequestUri)
                HttpRequestMessage httpRequestMessage = new HttpRequestMessage
                {
                    Method = HttpMethod.Post,
                    RequestUri = new Uri("http://10.231.20.145/MultiPurposeAuthSite/OAuthBearerToken"),
                };

                // HttpRequestMessage (Headers & Content)
                httpRequestMessage.Headers.Authorization = new AuthenticationHeaderValue(
                    "Basic",
                    Convert.ToBase64String(System.Text.Encoding.ASCII.GetBytes(
                        string.Format("{0}:{1}",
                            "f53469c17c5a432f86ce563b7805ab89",
                            "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM"))));

                httpRequestMessage.Content = new FormUrlEncodedContent(
                    new Dictionary<string, string>
                    {
                        { "grant_type", "authorization_code" },
                        { "code", code },
                        { "redirect_uri", System.Web.HttpUtility.HtmlEncode("http://localhost:62517/Home/OAuthAuthorizationCodeGrantClient") },
                    });

                // HttpResponseMessage
                HttpResponseMessage httpResponseMessage = await httpClient.SendAsync(httpRequestMessage);
                string response = await httpResponseMessage.Content.ReadAsStringAsync();

                // 汎用認証サイトのOAuth2.0のレスポンスに含まれるaccess_tokenは、id_tokenのようなformatをしている。ここからsubを取得可能。
                Base64UrlTextEncoder base64UrlEncoder = new Base64UrlTextEncoder();
                Dictionary<string, string> dic = JsonConvert.DeserializeObject<Dictionary<string, string>>(response);
                JObject jobj = ((JObject)JsonConvert.DeserializeObject(Encoding.UTF8.GetString(base64UrlEncoder.Decode(dic["access_token"].Split('.')[1]))));

                string sub = (string)jobj["sub"];
            }

            return View("");
        }

    }
}

実行結果 †

• 上記の、「dic["access_token"]」の部分が、JWT形式のアクセストークンである。
• このJWT検証には「https://jwt.io/」を使用できる。詳しくはコチラを参照。
• subが取得できれば、アクセストークンの取得に成功している。
• 必要に応じて、JWTの署名検証、内容検証を行えば、より確実と言える。

その後 †

必要に応じて、/userinfoエンドポイントなどのResourcesServer?のWebAPIにアクセスして結果を画面に出力する。

注意事項 †

• 基本的に、仲介コードやアクセストークンは画面に露見させないこと。

• このまま画面に表示させるとQuerystringに仲介コードが露見するので、
  必要な情報位を取得した後に、一段、Redirect処理などを経由させると良い。

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.053 sec.