/// <summary> /// Client Credentialsグラント種別のカスタム認証ロジック /// TokenEndpointPathへの grant_type=client_credentials アクセスは、こちらに到達する。 /// ・client_id, client_secret の検証は、(2) ValidateClientAuthenticationで済。 /// ・クライアントは"access_token"を取得する。 /// </summary> /// <param name="context">OAuthGrantClientCredentialsContext</param> /// <returns>Task</returns> /// <see cref="https://msdn.microsoft.com/ja-jp/library/dn343586.aspx"/> public override async Task GrantClientCredentials(OAuthGrantClientCredentialsContext context) { if (!ASPNETIdentityConfig.EnableClientCredentialsGrantType) { throw new NotSupportedException(Resources.ApplicationOAuthBearerTokenProvider.EnableClientCredentialsGrantType); } // ASP.Net MVC: Creating an OAuth client credentials grant type token endpoint // http://www.hackered.co.uk/articles/asp-net-mvc-creating-an-oauth-client-credentials-grant-type-token-endpoint //var client = clientService.GetClient(context.ClientId); // WEB API 2 OAuth Client Credentials Authentication, How to add additional parameters? - Stack Overflow // http://stackoverflow.com/questions/29132031/web-api-2-oauth-client-credentials-authentication-how-to-add-additional-paramet try { ApplicationUser user = null; ApplicationUserManager userManager = HttpContext.Current.GetOwinContext().GetUserManager <ApplicationUserManager>(); // client_idに対応するApplicationUserを取得する。 user = await userManager.FindByNameAsync( OAuth2ProviderHelper.GetInstance().GetClientName(context.ClientId)); if (user == null) { // *.configに定義したclient_idの場合は、アカウントが存在しない。 // その場合、どうするか?は案件毎に検討する(既定では、既定の管理者ユーザを使用する)。 user = await userManager.FindByNameAsync(ASPNETIdentityConfig.AdministratorUID); // ClaimsIdentityを自前で生成する場合、 //ClaimsIdentity identity = new ClaimsIdentity(context.Options.AuthenticationType); //・・・ } // ユーザーに対応するClaimsIdentityを生成する。 ClaimsIdentity identity = await userManager.CreateIdentityAsync( user, DefaultAuthenticationTypes.ExternalBearer); // ClaimsIdentityに、その他、所定のClaimを追加する。 OAuth2ProviderHelper.AddClaim(identity, context.ClientId, "", "", context.Scope); // 検証完了 context.Validated(identity); // オペレーション・トレース・ログ出力 Logging.MyOperationTrace(string.Format("{0}({1}) passed the 'client credentials flow' by {2}({3}).", user.Id, user.UserName, context.ClientId, OAuth2ProviderHelper.GetInstance().GetClientName(context.ClientId))); } catch { // ユーザーを取得できませんでした。 context.SetError( "server_error", Resources.ApplicationOAuthBearerTokenProvider.server_error1); // 拒否 context.Rejected(); } }
/// <summary>Unprotect</summary> /// <param name="jwt">JWT文字列</param> /// <returns>AuthenticationTicket</returns> public AuthenticationTicket Unprotect(string jwt) { // 検証 JWT_RS256 jwtRS256 = new JWT_RS256(ASPNETIdentityConfig.OAuthJWT_cer, ASPNETIdentityConfig.OAuthJWTPassword); if (jwtRS256.Verify(jwt)) { // 検証できた。 // デシリアライズ、 string[] temp = jwt.Split('.'); string json = CustomEncode.ByteToString(CustomEncode.FromBase64UrlString(temp[1]), CustomEncode.UTF_8); Dictionary <string, object> authTokenClaimSet = JsonConvert.DeserializeObject <Dictionary <string, object> >(json); // 以下の検証処理 // ★ "iss":"accounts.google.com", // ★ "aud":"クライアント識別子.apps.googleusercontent.com", // ★ "sub":"ユーザーの一意識別子", // ★ "exp":JWT の有効期限(Unix時間) // ☆ "nonce":Implicitで必須 // authToken.iss, authToken.expの検証 if ((string)authTokenClaimSet["iss"] == ASPNETIdentityConfig.OAuthIssuerId && OAuth2ProviderHelper.GetInstance().GetClientSecret((string)authTokenClaimSet["aud"]) != null && long.Parse((string)authTokenClaimSet["exp"]) >= DateTimeOffset.Now.ToUnixTimeSeconds()) { // authToken.subの検証 // ApplicationUser を取得する。 ApplicationUserManager userManager = HttpContext.Current.GetOwinContext().GetUserManager <ApplicationUserManager>(); ApplicationUser user = userManager.FindByName((string)authTokenClaimSet["sub"]); // 同期版でOK。 if (user != null) { // User Accountの場合 // ユーザーに対応するClaimsIdentityを生成する。 ClaimsIdentity identity = userManager.CreateIdentity(user, DefaultAuthenticationTypes.ExternalBearer); // ClaimsIdentityに、その他、所定のClaimを追加する。 List <string> scopes = new List <string>(); foreach (string s in (JArray)authTokenClaimSet["scopes"]) { scopes.Add(s); } OAuth2ProviderHelper.AddClaim(identity, (string)authTokenClaimSet["aud"], "", (string)authTokenClaimSet["nonce"], scopes); // AuthenticationPropertiesの生成 AuthenticationProperties prop = new AuthenticationProperties(); // AuthenticationTicketに格納不要 //prop.IssuedUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["iat"])); //prop.ExpiresUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["exp"])); AuthenticationTicket auth = new AuthenticationTicket(identity, prop); // 認証結果を返す。 return(auth); } else { // Client Accountの場合 // ClaimとStoreのAudienceに対応するSubjectが一致するかを確認し、一致する場合のみ、認証する。 // でないと、UserStoreから削除されたUser Accountが、Client Accountに化けることになる。 if ((string)authTokenClaimSet["sub"] == OAuth2ProviderHelper.GetInstance().GetClientName((string)authTokenClaimSet["aud"])) { // ClaimsIdentityを生成し、 ClaimsIdentity identity = new ClaimsIdentity(OAuthDefaults.AuthenticationType); // ClaimsIdentityに、client_idに対応するclient_nameを設定する。 identity.AddClaim(new Claim(ClaimTypes.Name, (string)authTokenClaimSet["sub"])); // ClaimsIdentityに、その他、所定のClaimを追加する。 List <string> scopes = new List <string>(); foreach (string s in (JArray)authTokenClaimSet["scopes"]) { scopes.Add(s); } OAuth2ProviderHelper.AddClaim(identity, (string)authTokenClaimSet["aud"], "", (string)authTokenClaimSet["nonce"], scopes); // AuthenticationPropertiesの生成 AuthenticationProperties prop = new AuthenticationProperties(); // AuthenticationTicketに格納不要 //prop.IssuedUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["iat"])); //prop.ExpiresUtc = DateTimeOffset.FromUnixTimeSeconds(long.Parse((string)authTokenClaimSet["exp"])); AuthenticationTicket auth = new AuthenticationTicket(identity, prop); // 認証結果を返す。 return(auth); } } } } // 検証、認証ナドナド、できなかった。 return(null); }
/// <summary> /// Resource Owner Password Credentials Grantのカスタム認証ロジック /// TokenEndpointPathへの grant_type = password アクセスは、こちらに到達する。 /// ・context.Username および context.Password を検証する。 /// ・クライアントは"access_token" および "refresh_token" を取得する。 /// </summary> /// <param name="context">OAuthGrantResourceOwnerCredentialsContext</param> /// <returns>Task</returns> /// <see cref="https://msdn.microsoft.com/ja-jp/library/dn343587.aspx"/> public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context) { if (!ASPNETIdentityConfig.EnableResourceOwnerCredentialsGrantType) { throw new NotSupportedException(Resources.ApplicationOAuthBearerTokenProvider.EnableResourceOwnerCredentialsGrantType); } // この実装は、ValidateClientAuthenticationの続きで、ClientのOAuth権限を確認する。 // 権限がある場合、Resource Owner Password Credentialsグラント種別の処理フローを継続する。 try { // ApplicationUser を取得する。 ApplicationUserManager userManager = HttpContext.Current.GetOwinContext().GetUserManager <ApplicationUserManager>(); // username=ユーザ名&password=パスワードとして送付されたクレデンシャルを検証する。 ApplicationUser user = await userManager.FindAsync(context.UserName, context.Password); if (user != null) { // ユーザーが見つかった場合。 try { // ユーザーに対応するClaimsIdentityを生成する。 ClaimsIdentity identity = await userManager.CreateIdentityAsync( user, DefaultAuthenticationTypes.ExternalBearer); // ClaimsIdentityに、その他、所定のClaimを追加する。 OAuth2ProviderHelper.AddClaim(identity, context.ClientId, "", "", context.Scope); // 検証完了 context.Validated(identity); // オペレーション・トレース・ログ出力 Logging.MyOperationTrace(string.Format("{0}({1}) passed the 'resource owner password credentials flow' by {2}({3}).", user.Id, user.UserName, context.ClientId, OAuth2ProviderHelper.GetInstance().GetClientName(context.ClientId))); } catch { // ClaimManagerIdentityは、UserManagerで作成できませんでした。 context.SetError( "server_error", Resources.ApplicationOAuthBearerTokenProvider.server_error2); // 拒否 context.Rejected(); } } else { // ユーザーが見つからなかった場合。 // Resources Ownerの資格情報が無効であるか、Resources Ownerが存在しません。 context.SetError( "access_denied", Resources.ApplicationOAuthBearerTokenProvider.access_denied); // 拒否 context.Rejected(); } } catch { // ユーザーを取得できませんでした。 context.SetError( "server_error", Resources.ApplicationOAuthBearerTokenProvider.server_error1); // 拒否 context.Rejected(); } }