Login und Access-Control für SPA

15934fa2aa7b2ce21f091e9b7cffa856?s=47 Manfred Steyer
November 08, 2017
Programming
0
120

Login und Access-Control für SPA

Session from w-jax 2017 in Munich

15934fa2aa7b2ce21f091e9b7cffa856?s=128

Manfred Steyer

November 08, 2017
Tweet

More Decks by Manfred Steyer

See All by Manfred Steyer
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
190
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
65
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
170
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
190
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
290
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
1
320
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
36
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
1
51
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
350

Other Decks in Programming

See All in Programming
A6a5e01b331d18dbd9c5de1f2cc2879f?s=48 erukiti
2
340
C302e84057a922dce0ecbe80207e3fcc?s=48 mu_zaru
1
170
3e049ed33195d00a8b745b16c63dce6e?s=48 leew
0
130
1405a601755e5fcbfdc93a2560368bb1?s=48 freddi
1
200
0ca0c0ec6efe3a7f5220332a910e6da0?s=48 shinyoshiaki
1
510
0b26590a0a8b0f1da140ed5de9b68379?s=48 usamik26
0
110
F9e11bea0c22333596791dd0696f5d4f?s=48 daiksy
0
1.2k
933291444e456bfb511a66a2fa9c6929?s=48 j5ik2o
7
1.1k
Fb1b9f3d7332a7a7e262b70013b5f7dd?s=48 mtsmfm
0
120
Aae878e0b108379a60ca627ee262befa?s=48 susanpotter
0
170
817e89f88197980860f1854b74fbee25?s=48 lcdsmao
2
340
1d1580fb0945b0ffadff18e28bead3c5?s=48 adarapata
0
270

Featured

See All Featured
282d599b414022eba5096510f675b6e2?s=48 chrislema
231
16k
F68cb25ae3e5c2106997454b13b7737d?s=48 brad_frost
154
6.1k
E195ae45320d9202eaa01c9f1d31a416?s=48 marktimemedia
4
63
Dad095ea7038f89f760419ce475d5d14?s=48 michaelherold
224
8.2k
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
69
1.2k
A60068bce2e73de3a37ca9d2dbe36092?s=48 bryan
28
3.1k
Be9caeb9d4ef9944d151af909063ed6e?s=48 samlambert
236
9.7k
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
391
60k
78b475797a14c84799063c7cd073962f?s=48 holman
287
130k
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
164
6.7k
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
183
14k
Fe6b81005d1553accd6b2a28f6a2bef1?s=48 phodgson
83
3.8k

Transcript

  1. Muster für Login- und Access Control in SPA Manfred Steyer

    SOFTWAREarchitekt.at ManfredSteyer

  2. Über mich … • Manfred Steyer • SOFTWAREarchitekt.at • Trainer

    & Consultant • Fokus: Angular • Google Developer Expert (GDE) Page ▪ 3 Manfred Steyer

  3. Inhalt • Motivation • OAuth 2 • OpenId Connect •

    Token Refresh • Single Sign out • DEMO mit Angular

  4. Zugriff auf App und Backend

  5. HTTP Basic und Co? Username+Password Username+Password ? ?

  6. Probleme Sensible Daten immer übertragen? Delegation an andere Server? Jeder

    Server prüft Credentials? Single Sign on?

  7. Cookies? Username + Password Cookie Cookie ? ?

  8. Probleme XSRF Delegation an andere Server? Cross Origin? Single Sign

    on?
  9. None

  10. Token? Username + Password Token Token Token' Token

  11. Probleme Anbindung existierender Identity Lösungen? Lose Kopplung zu Identity Lösung?

    Single Sign On? Client sieht Passwort

  12. Rollen Folie▪ 13 Client Authorization-Server Resource-Server

  13. Prinzipieller Ablauf Folie▪ 14 Client Authorization-Server Resource-Server 1. Umleitung 2.

    Umleitung mit Access-Token 3. Access-Token Ein zentrales Benutzerkonto Nur Auth-Svr. kennt Passwort Auth. von Client entkoppelt Flexibilität durch Token SPA: Kein Cookie: Kein CSRF

  14. OAuth 2

  15. Was ist OAuth ? • Ursprünglich Entwickelt von Twitter und

    Ma.gnolia • Protokoll zum Delegieren von (eingeschränkten) Rechten • Mittlerweile verwendet von Google, Facebook, Flickr, Microsoft, Salesforce.com oder Yahoo! • Verschiedene Flows Folie▪ 16

  16. Implicit Flow für SPA Folie▪ 17 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token 3. Access-Token

  17. Token (typische Inhalte) • Informationen über Benutzer (Claims) • Rechte,

    die der Client wahrnehmen darf • Aussteller • Audience (für wen wurde Token ausgestellt) • Gültigkeitsdatum • Signatur des Ausstellers Folie▪ 18

  18. Token-Format • OAuth 2 schreibt kein Token-Format vor • Ressource

    Server muss Token validieren können Folie▪ 19

  19. Token-Formate (Auswahl) • GUID (Referenz-Token) • Eigenes Tokenformat • JWT:

    JSON Web Token • JSON-Dokument beschreibt Claims • Kann signiert und/oder verschlüsselt sein Folie▪ 20

  20. SSO und OpenID Connect Page ▪ 23

  21. SSO mit OAuth Folie▪ 24 Client Authorization-Server Ressource- Server 3.

    /user/profile + Token 1. Token anfordern { "user_name": "susi", "email": "susi@sorglos.at", … } 2. Token &scope=profile Nicht durch OAuth 2.0 definiert

  22. OpenId Connect (OIDC) • Erweiterung zu OAuth 2.0 • Standardisiert

    User-Profil-Endpunkt (Service mit Daten zum Benutzer) • Client erhält auch ID-Token • JWT-Token mit Infos zum Benutzer + Audience • JWT-Token kann vom Aussteller signiert sein Folie▪ 25

  23. Implicit Flow mit OIDC Folie▪ 26 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token und Id-Token 3. Access-Token

  24. Demo • Angular • angular-oauth2-oidc • OIDC Certified • Identity

    Server in Cloud

  25. DEMO

  26. Refresh Page ▪ 29

  27. Warum Refresh? Kurzlebige Token erhöhen Sicherheit Benutzer möchte sich aber

    nicht ständig manuell anmelden

  28. Refresh Token (1) Folie▪ 31 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token und Refresh-Token

  29. Refresh Token (2) Folie▪ 32 Client Authorization-Server Resource-Server 3. Refresh-Token

    4. Umleitung mit Access-Token und Id-Token und neuem Refresh-Token

  30. Kein Refresh-Token bei Implicit Flow Leider oder zum Glück?

  31. Refresh dank Cookie Folie▪ 34 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token

  32. Silent Refresh Folie▪ 35 Client Authorization-Server Resource-Server 1. Umleitung in

    verstecktem iFrame 2. Umleitung mit Access-Token und Id-Token

  33. DEMO

  34. Single Sign out

  35. Single Sign out Folie▪ 38 Client B Authorization-Server Resource-Server 1.

    Abmelden 2. Abmelden Client A

  36. Kanal zum Client offenhalten? • Websockets • Server Send Events

    • Hidden IFrame • OIDC Session Management

  37. DEMO Page ▪ 40

  38. Fazit Token: Flexibilität und Cross Origin OAuth 2: Autorisierung OpenId

    Connect: Authentifizierung Implicit Flow Silent Refresh Single Sign out

  39. Kontakt und Downloads [mail] manfred.steyer@SOFTWAREarchitekt.at [blog] SOFTWAREarchitekt.at [twitter] ManfredSteyer