/// <summary>
/// Client Credentialsグラント種別のカスタム認証ロジック
/// TokenEndpointPathへの grant_type=client_credentials アクセスは、こちらに到達する。
/// ・client_id, client_secret の検証は、(2) ValidateClientAuthenticationで済。
/// ・クライアントは"access_token"を取得する。
/// </summary>
/// <param name="context">OAuthGrantClientCredentialsContext</param>
/// <returns>Task</returns>
/// <see cref="https://msdn.microsoft.com/ja-jp/library/dn343586.aspx"/>
public override async Task GrantClientCredentials(OAuthGrantClientCredentialsContext context)
{
if (!ASPNETIdentityConfig.EnableClientCredentialsGrantType)
{
throw new NotSupportedException(Resources.ApplicationOAuthBearerTokenProvider.EnableClientCredentialsGrantType);
}
// ASP.Net MVC: Creating an OAuth client credentials grant type token endpoint
// http://www.hackered.co.uk/articles/asp-net-mvc-creating-an-oauth-client-credentials-grant-type-token-endpoint
//var client = clientService.GetClient(context.ClientId);
// WEB API 2 OAuth Client Credentials Authentication, How to add additional parameters? - Stack Overflow
// http://stackoverflow.com/questions/29132031/web-api-2-oauth-client-credentials-authentication-how-to-add-additional-paramet
try
{
ApplicationUser user = null;
ApplicationUserManager userManager
= HttpContext.Current.GetOwinContext().GetUserManager <ApplicationUserManager>();
// client_idに対応するApplicationUserを取得する。
user = await userManager.FindByNameAsync(
OAuth2ProviderHelper.GetInstance().GetClientName(context.ClientId));
if (user == null)
{
// *.configに定義したclient_idの場合は、アカウントが存在しない。
// その場合、どうするか?は案件毎に検討する(既定では、既定の管理者ユーザを使用する)。
user = await userManager.FindByNameAsync(ASPNETIdentityConfig.AdministratorUID);
// ClaimsIdentityを自前で生成する場合、
//ClaimsIdentity identity = new ClaimsIdentity(context.Options.AuthenticationType);
//・・・
}
// ユーザーに対応するClaimsIdentityを生成する。
ClaimsIdentity identity = await userManager.CreateIdentityAsync(
user, DefaultAuthenticationTypes.ExternalBearer);
// ClaimsIdentityに、その他、所定のClaimを追加する。
OAuth2ProviderHelper.AddClaim(identity, context.ClientId, "", "", context.Scope);
// 検証完了
context.Validated(identity);
// オペレーション・トレース・ログ出力
Logging.MyOperationTrace(string.Format("{0}({1}) passed the 'client credentials flow' by {2}({3}).",
user.Id, user.UserName, context.ClientId, OAuth2ProviderHelper.GetInstance().GetClientName(context.ClientId)));
}
catch
{
// ユーザーを取得できませんでした。
context.SetError(
"server_error",
Resources.ApplicationOAuthBearerTokenProvider.server_error1);
// 拒否
context.Rejected();
}
}
/// <summary>Unprotect</summary>
/// <param name="jwt">JWT文字列</param>
/// <returns>AuthenticationTicket</returns>
public AuthenticationTicket Unprotect(string jwt)
{
// 検証
JWT_RS256 jwtRS256 = new JWT_RS256(ASPNETIdentityConfig.OAuthJWT_cer, ASPNETIdentityConfig.OAuthJWTPassword);
if (jwtRS256.Verify(jwt))
{
// 検証できた。
// デシリアライズ、
string[] temp = jwt.Split('.');
string json = CustomEncode.ByteToString(CustomEncode.FromBase64UrlString(temp[1]), CustomEncode.UTF_8);
Dictionary <string, object> authTokenClaimSet = JsonConvert.DeserializeObject <Dictionary <string, object> >(json);
// 以下の検証処理
// ★ "iss":"accounts.google.com",
// ★ "aud":"クライアント識別子.apps.googleusercontent.com",
// ★ "sub":"ユーザーの一意識別子",
// ★ "exp":JWT の有効期限(Unix時間)
// ☆ "nonce":Implicitで必須
// authToken.iss, authToken.expの検証
if ((string)authTokenClaimSet["iss"] == ASPNETIdentityConfig.OAuthIssuerId &&
OAuth2ProviderHelper.GetInstance().GetClientSecret((string)authTokenClaimSet["aud"]) != null &&
long.Parse((string)authTokenClaimSet["exp"]) >= DateTimeOffset.Now.ToUnixTimeSeconds())
{
// authToken.subの検証
// ApplicationUser を取得する。
ApplicationUserManager userManager
= HttpContext.Current.GetOwinContext().GetUserManager <ApplicationUserManager>();
ApplicationUser user = userManager.FindByName((string)authTokenClaimSet["sub"]); // 同期版でOK。
if (user != null)
{
// User Accountの場合
// ユーザーに対応するClaimsIdentityを生成する。
ClaimsIdentity identity = userManager.CreateIdentity(user, DefaultAuthenticationTypes.ExternalBearer);
// ClaimsIdentityに、その他、所定のClaimを追加する。
List <string> scopes = new List <string>();
foreach (string s in (JArray)authTokenClaimSet["scopes"])
{
scopes.Add(s);
}
OAuth2ProviderHelper.AddClaim(identity,
(string)authTokenClaimSet["aud"],
"", (string)authTokenClaimSet["nonce"], scopes);
// AuthenticationPropertiesの生成
AuthenticationProperties prop = new AuthenticationProperties();
// AuthenticationTicketに格納不要
//prop.IssuedUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["iat"]));
//prop.ExpiresUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["exp"]));
AuthenticationTicket auth = new AuthenticationTicket(identity, prop);
// 認証結果を返す。
return(auth);
}
else
{
// Client Accountの場合
// ClaimとStoreのAudienceに対応するSubjectが一致するかを確認し、一致する場合のみ、認証する。
// でないと、UserStoreから削除されたUser Accountが、Client Accountに化けることになる。
if ((string)authTokenClaimSet["sub"] == OAuth2ProviderHelper.GetInstance().GetClientName((string)authTokenClaimSet["aud"]))
{
// ClaimsIdentityを生成し、
ClaimsIdentity identity = new ClaimsIdentity(OAuthDefaults.AuthenticationType);
// ClaimsIdentityに、client_idに対応するclient_nameを設定する。
identity.AddClaim(new Claim(ClaimTypes.Name, (string)authTokenClaimSet["sub"]));
// ClaimsIdentityに、その他、所定のClaimを追加する。
List <string> scopes = new List <string>();
foreach (string s in (JArray)authTokenClaimSet["scopes"])
{
scopes.Add(s);
}
OAuth2ProviderHelper.AddClaim(identity,
(string)authTokenClaimSet["aud"],
"", (string)authTokenClaimSet["nonce"], scopes);
// AuthenticationPropertiesの生成
AuthenticationProperties prop = new AuthenticationProperties();
// AuthenticationTicketに格納不要
//prop.IssuedUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["iat"]));
//prop.ExpiresUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["exp"]));
AuthenticationTicket auth = new AuthenticationTicket(identity, prop);
// 認証結果を返す。
return(auth);
}
}
}
}
// 検証、認証ナドナド、できなかった。
return(null);
}
/// <summary>
/// Authorization Code、Implicitグラント種別において、
/// AuthorizeEndpointPathを処理する場合に発生する。
/// 以下の両方の要素を検証する処理を実装するためのメソッド。
/// ・context.ClientId が、登録された "client_id" であること。
/// ・context.RedirectUri が、そのクライアント用に登録された "redirect_uri" であること。
/// </summary>
/// <param name="context">OAuthValidateClientRedirectUriContext</param>
/// <returns>Task</returns>
/// <see cref="https://msdn.microsoft.com/ja-jp/library/dn385496.aspx"/>
public override Task ValidateClientRedirectUri(OAuthValidateClientRedirectUriContext context)
{
// context.Validatedに事前登録したRedirectエンドポイントを指定して呼び出し、contextを検証完了に設定する。
// ・ 検証完了にしなければ要求はそれ以上先には進まない。
// ・ RFC上の記載で、RedirectEndpointのURIは、AbsoluteUriである必要があるとの記載あり。
// ASP.NET IdentityのチェックでAbsoluteUriである必要があるとの記載あり形式でないと弾かれる。
// response_type
string response_type = context.Request.Query.Get("response_type");
if (!string.IsNullOrEmpty(response_type))
{
if (response_type.ToLower() == "code")
{
if (!ASPNETIdentityConfig.EnableAuthorizationCodeGrantType)
{
throw new NotSupportedException(Resources.ApplicationOAuthBearerTokenProvider.EnableAuthorizationCodeGrantType);
}
}
else if (response_type.ToLower() == "token")
{
if (!ASPNETIdentityConfig.EnableImplicitGrantType)
{
throw new NotSupportedException(Resources.ApplicationOAuthBearerTokenProvider.EnableImplicitGrantType);
}
}
}
// redirect_uri
string redirect_uri = context.RedirectUri;
#region redirect_uriのチェック
if (string.IsNullOrEmpty(redirect_uri))
{
// redirect_uriの指定が無い。
// クライアント識別子に対応する事前登録したredirect_uriを取得する。
redirect_uri = OAuth2ProviderHelper.GetInstance().GetClientsRedirectUri(context.ClientId, response_type);
if (!string.IsNullOrEmpty(redirect_uri))
{
// 事前登録されている。
if (redirect_uri.ToLower() == "test_self_code")
{
// Authorization Codeグラント種別のテスト用のセルフRedirectエンドポイント
context.Validated(
ASPNETIdentityConfig.OAuthClientEndpointsRootURI
+ ASPNETIdentityConfig.OAuthAuthorizationCodeGrantClient_Account);
}
else if (redirect_uri.ToLower() == "test_self_token")
{
// Implicitグラント種別のテスト用のセルフRedirectエンドポイント
context.Validated(
ASPNETIdentityConfig.OAuthClientEndpointsRootURI
+ ASPNETIdentityConfig.OAuthImplicitGrantClient_Account);
}
else
{
// 事前登録した、redirect_uriをそのまま使用する。
context.Validated(redirect_uri);
}
}
else
{
// 事前登録されていない。
}
}
else
{
// redirect_uriの指定が有る。
// 指定されたredirect_uriを使用する場合は、チェックが必要になる。
if (
// self_code : Authorization Codeグラント種別
redirect_uri == (ASPNETIdentityConfig.OAuthClientEndpointsRootURI + ASPNETIdentityConfig.OAuthAuthorizationCodeGrantClient_Manage)
)
{
// 不特定多数のクライアント識別子に許可されたredirect_uri
context.Validated(redirect_uri);
}
else
{
// クライアント識別子に対応する事前登録したredirect_uriに
string preRegisteredUri = OAuth2ProviderHelper.GetInstance().GetClientsRedirectUri(context.ClientId, response_type);
//if (redirect_uri.StartsWith(preRegisteredUri))
if (redirect_uri == preRegisteredUri)
{
// 完全一致する場合。
context.Validated(redirect_uri);
}
else
{
// 完全一致しない場合。
context.SetError(
"server_error",
Resources.ApplicationOAuthBearerTokenProvider.Invalid_redirect_uri);
}
}
}
#endregion
// 結果を返す。
return(Task.FromResult(0));
}
/// <summary>
/// Resource Owner Password Credentials Grantのカスタム認証ロジック
/// TokenEndpointPathへの grant_type = password アクセスは、こちらに到達する。
/// ・context.Username および context.Password を検証する。
/// ・クライアントは"access_token" および "refresh_token" を取得する。
/// </summary>
/// <param name="context">OAuthGrantResourceOwnerCredentialsContext</param>
/// <returns>Task</returns>
/// <see cref="https://msdn.microsoft.com/ja-jp/library/dn343587.aspx"/>
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
if (!ASPNETIdentityConfig.EnableResourceOwnerCredentialsGrantType)
{
throw new NotSupportedException(Resources.ApplicationOAuthBearerTokenProvider.EnableResourceOwnerCredentialsGrantType);
}
// この実装は、ValidateClientAuthenticationの続きで、ClientのOAuth権限を確認する。
// 権限がある場合、Resource Owner Password Credentialsグラント種別の処理フローを継続する。
try
{
// ApplicationUser を取得する。
ApplicationUserManager userManager
= HttpContext.Current.GetOwinContext().GetUserManager <ApplicationUserManager>();
// username=ユーザ名&password=パスワードとして送付されたクレデンシャルを検証する。
ApplicationUser user = await userManager.FindAsync(context.UserName, context.Password);
if (user != null)
{
// ユーザーが見つかった場合。
try
{
// ユーザーに対応するClaimsIdentityを生成する。
ClaimsIdentity identity = await userManager.CreateIdentityAsync(
user, DefaultAuthenticationTypes.ExternalBearer);
// ClaimsIdentityに、その他、所定のClaimを追加する。
OAuth2ProviderHelper.AddClaim(identity, context.ClientId, "", "", context.Scope);
// 検証完了
context.Validated(identity);
// オペレーション・トレース・ログ出力
Logging.MyOperationTrace(string.Format("{0}({1}) passed the 'resource owner password credentials flow' by {2}({3}).",
user.Id, user.UserName, context.ClientId, OAuth2ProviderHelper.GetInstance().GetClientName(context.ClientId)));
}
catch
{
// ClaimManagerIdentityは、UserManagerで作成できませんでした。
context.SetError(
"server_error",
Resources.ApplicationOAuthBearerTokenProvider.server_error2);
// 拒否
context.Rejected();
}
}
else
{
// ユーザーが見つからなかった場合。
// Resources Ownerの資格情報が無効であるか、Resources Ownerが存在しません。
context.SetError(
"access_denied",
Resources.ApplicationOAuthBearerTokenProvider.access_denied);
// 拒否
context.Rejected();
}
}
catch
{
// ユーザーを取得できませんでした。
context.SetError(
"server_error",
Resources.ApplicationOAuthBearerTokenProvider.server_error1);
// 拒否
context.Rejected();
}
}
/// <summary>
/// Authorization Code、Resource Owner Password Credentialsl、Client Credentialsグラント種別において、
/// OAuthBearerTokenEndpointPathを処理する場合に発生する、" クライアント認証 " を行なうメソッド。
/// " クライアント認証 "では、以下の両方の要素を検証する。
/// ・context.ClientId が、登録された "client_id" であること。
/// ・その他、資格情報が要求に存在していることを検証する。
/// </summary>
/// <param name="context">OAuthValidateClientAuthenticationContext</param>
/// <returns>Task</returns>
/// <see cref="https://msdn.microsoft.com/ja-jp/library/dn385497.aspx"/>
public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
// クライアント識別子
string clientId = "";
string clientSecret = "";
// ・context.Validated を呼び出し、contextを検証完了に設定する。
// ・検証完了にしなければ要求はそれ以上先には進まない。
//context.Validated(clientId);
#region クライアント認証を行なう。
if (string.IsNullOrEmpty(context.Parameters["grant_type"]))
{
// 指定なし。
// 検証未完
}
else if (context.Parameters["grant_type"].ToLower() == "authorization_code")
{
#region Authorization Codeグラント種別
// "client_id" および "client_secret"を基本認証の認証ヘッダから取得
if (context.TryGetBasicCredentials(out clientId, out clientSecret))
{
if ((string.IsNullOrEmpty(clientId) && string.IsNullOrEmpty(clientSecret)) == false)
{
// *.config or OAuth2Dataテーブルを参照してクライアント認証を行なう。
if (clientSecret == OAuth2ProviderHelper.GetInstance().GetClientSecret(context.ClientId))
{
// 検証完了
context.Validated(clientId);
}
else
{
// 検証未完
}
}
}
#endregion
}
else if (context.Parameters["grant_type"].ToLower() == "password")
{
#region Resource Owner Password Credentialsグラント種別
#region 参考
// Simple OAuth Server: Implementing a Simple OAuth Server with Katana
// OAuth Authorization Server Components (Part 1) - Tugberk Ugurlu's Blog
// http://www.tugberkugurlu.com/archive/simple-oauth-server-implementing-a-simple-oauth-server-with-katana-oauth-authorization-server-components-part-1
// ・・・ 基本認証を使用する既存のクライアントを認証してOAuthに移行する。
#endregion
// "client_id" および "client_secret"を基本認証の認証ヘッダから取得
if (context.TryGetBasicCredentials(out clientId, out clientSecret))
{
if ((string.IsNullOrEmpty(clientId) && string.IsNullOrEmpty(clientSecret)) == false)
{
// *.config or OAuth2Dataテーブルを参照してクライアント認証を行なう。
if (clientSecret == OAuth2ProviderHelper.GetInstance().GetClientSecret(context.ClientId))
{
// 検証完了
context.Validated(clientId);
}
else
{
// 検証未完
}
}
}
#endregion
}
else if (context.Parameters["grant_type"].ToLower() == "client_credentials")
{
#region Client Credentialsグラント種別
// "client_id" および "client_secret"を基本認証の認証ヘッダから取得
if (context.TryGetBasicCredentials(out clientId, out clientSecret))
{
if (string.IsNullOrEmpty(clientId) && string.IsNullOrEmpty(clientSecret) == false)
{
// *.config or OAuth2Dataテーブルを参照してクライアント認証を行なう。
if (clientSecret == OAuth2ProviderHelper.GetInstance().GetClientSecret(context.ClientId))
{
// 検証完了
context.Validated(clientId);
}
else
{
// 検証未完
}
}
}
#endregion
}
else if (context.Parameters["grant_type"].ToLower() == "refresh_token")
{
// refresh_tokenでは、不要。
//if (context.TryGetBasicCredentials(out clientId, out clientSecret))
//{
//}
if (!ASPNETIdentityConfig.EnableRefreshToken)
{
throw new NotSupportedException(Resources.ApplicationOAuthBearerTokenProvider.EnableRefreshToken);
}
// 検証完了
context.Validated();
}
else
{
// 不明な値
// 検証未完
}
#endregion
// 結果を返す。
return(Task.FromResult(0));
}
