Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Login und Access-Control für SPA

Manfred Steyer
PRO
November 08, 2017
Programming
0
210

Login und Access-Control für SPA

Session from w-jax 2017 in Munich

Manfred Steyer
PRO

November 08, 2017
Tweet

More Decks by Manfred Steyer

See All by Manfred Steyer
Micro Frontends with Modern Angular and Island Architectures @ijs London 2024
manfredsteyer
PRO
0
57
Modern State Management in Angular: 3+n Flavors of the Signal Store @ijs London 2024
manfredsteyer
PRO
0
45
Changed Rules: Architectures with Lightweight Stores
manfredsteyer
PRO
0
230
Migrating to Signals: A Practical Workshop
manfredsteyer
PRO
0
390
Micro Frontends with Web Standards
manfredsteyer
PRO
1
290
The New NGRX Signal Store for Angular: 3+n Flavors
manfredsteyer
PRO
1
210
Leveraging the new NGRX Signal Store
manfredsteyer
PRO
0
170
Modern State Management in Angular: The 3+n Flavors of the NGRX Signal Store
manfredsteyer
PRO
0
100
NGRX Signal Store
manfredsteyer
PRO
0
200

Other Decks in Programming

See All in Programming
"config" ってなんだ? / What is "config"?
okashoi
0
210
Front-end application development, Symfony-style(s)
dunglas
2
1.9k
Java 22 Overview
kishida
1
170
Elm 0.19.0 Changes
bkuhlmann
0
480
코틀린으로 멀티플랫폼 만들기
pangmoo
0
120
try! Swift Tokyo 初参加報告LT
hinakko2
0
190
SpringBoot+MyBatisで例外が出たときどこを見るか
syukai
0
110
データアナリストが行うDatabricksを活用したETLの自動化事例
shinoa
0
250
App Router への移行は「改善」となり得るのか?/ Can migration to App Router be an improvement
takefumiyoshii
8
2.1k
Javaエンジニアのための Nodejs/Nuxt3入門
hidekatsu_izuno
0
280
ドメイン・ファーストで考える問題解決に役立つモデル設計 / Domain First Model Design
suzushin54
2
2.1k
OpenTelemetry のサービスという概念について
azukiazusa1
2
1.1k

Featured

See All Featured
How STYLIGHT went responsive
nonsquared
92
4.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
8.8k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
6
990
Done Done
chrislema
178
15k
Product Roadmaps are Hard
iamctodd
43
9.7k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
240
1.2M
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Producing Creativity
orderedlist
PRO
336
39k
The Language of Interfaces
destraynor
151
23k
Building Adaptive Systems
keathley
30
1.8k
Art, The Web, and Tiny UX
lynnandtonic
288
19k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.4k

Transcript

  1. Muster für Login- und Access Control in SPA Manfred Steyer

    SOFTWAREarchitekt.at ManfredSteyer

  2. Über mich … • Manfred Steyer • SOFTWAREarchitekt.at • Trainer

    & Consultant • Fokus: Angular • Google Developer Expert (GDE) Page ▪ 3 Manfred Steyer

  3. Inhalt • Motivation • OAuth 2 • OpenId Connect •

    Token Refresh • Single Sign out • DEMO mit Angular

  4. Zugriff auf App und Backend

  5. HTTP Basic und Co? Username+Password Username+Password ? ?

  6. Probleme Sensible Daten immer übertragen? Delegation an andere Server? Jeder

    Server prüft Credentials? Single Sign on?

  7. Cookies? Username + Password Cookie Cookie ? ?

  8. Probleme XSRF Delegation an andere Server? Cross Origin? Single Sign

    on?
  9. None

  10. Token? Username + Password Token Token Token' Token

  11. Probleme Anbindung existierender Identity Lösungen? Lose Kopplung zu Identity Lösung?

    Single Sign On? Client sieht Passwort

  12. Rollen Folie▪ 13 Client Authorization-Server Resource-Server

  13. Prinzipieller Ablauf Folie▪ 14 Client Authorization-Server Resource-Server 1. Umleitung 2.

    Umleitung mit Access-Token 3. Access-Token Ein zentrales Benutzerkonto Nur Auth-Svr. kennt Passwort Auth. von Client entkoppelt Flexibilität durch Token SPA: Kein Cookie: Kein CSRF

  14. OAuth 2

  15. Was ist OAuth ? • Ursprünglich Entwickelt von Twitter und

    Ma.gnolia • Protokoll zum Delegieren von (eingeschränkten) Rechten • Mittlerweile verwendet von Google, Facebook, Flickr, Microsoft, Salesforce.com oder Yahoo! • Verschiedene Flows Folie▪ 16

  16. Implicit Flow für SPA Folie▪ 17 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token 3. Access-Token

  17. Token (typische Inhalte) • Informationen über Benutzer (Claims) • Rechte,

    die der Client wahrnehmen darf • Aussteller • Audience (für wen wurde Token ausgestellt) • Gültigkeitsdatum • Signatur des Ausstellers Folie▪ 18

  18. Token-Format • OAuth 2 schreibt kein Token-Format vor • Ressource

    Server muss Token validieren können Folie▪ 19

  19. Token-Formate (Auswahl) • GUID (Referenz-Token) • Eigenes Tokenformat • JWT:

    JSON Web Token • JSON-Dokument beschreibt Claims • Kann signiert und/oder verschlüsselt sein Folie▪ 20

  20. SSO und OpenID Connect Page ▪ 23

  21. SSO mit OAuth Folie▪ 24 Client Authorization-Server Ressource- Server 3.

    /user/profile + Token 1. Token anfordern { "user_name": "susi", "email": "[email protected]", … } 2. Token &scope=profile Nicht durch OAuth 2.0 definiert

  22. OpenId Connect (OIDC) • Erweiterung zu OAuth 2.0 • Standardisiert

    User-Profil-Endpunkt (Service mit Daten zum Benutzer) • Client erhält auch ID-Token • JWT-Token mit Infos zum Benutzer + Audience • JWT-Token kann vom Aussteller signiert sein Folie▪ 25

  23. Implicit Flow mit OIDC Folie▪ 26 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token und Id-Token 3. Access-Token

  24. Demo • Angular • angular-oauth2-oidc • OIDC Certified • Identity

    Server in Cloud

  25. DEMO

  26. Refresh Page ▪ 29

  27. Warum Refresh? Kurzlebige Token erhöhen Sicherheit Benutzer möchte sich aber

    nicht ständig manuell anmelden

  28. Refresh Token (1) Folie▪ 31 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token und Refresh-Token

  29. Refresh Token (2) Folie▪ 32 Client Authorization-Server Resource-Server 3. Refresh-Token

    4. Umleitung mit Access-Token und Id-Token und neuem Refresh-Token

  30. Kein Refresh-Token bei Implicit Flow Leider oder zum Glück?

  31. Refresh dank Cookie Folie▪ 34 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token

  32. Silent Refresh Folie▪ 35 Client Authorization-Server Resource-Server 1. Umleitung in

    verstecktem iFrame 2. Umleitung mit Access-Token und Id-Token

  33. DEMO

  34. Single Sign out

  35. Single Sign out Folie▪ 38 Client B Authorization-Server Resource-Server 1.

    Abmelden 2. Abmelden Client A

  36. Kanal zum Client offenhalten? • Websockets • Server Send Events

    • Hidden IFrame • OIDC Session Management

  37. DEMO Page ▪ 40

  38. Fazit Token: Flexibilität und Cross Origin OAuth 2: Autorisierung OpenId

    Connect: Authentifizierung Implicit Flow Silent Refresh Single Sign out

  39. Kontakt und Downloads [mail] [email protected] [blog] SOFTWAREarchitekt.at [twitter] ManfredSteyer