Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Login und Access-Control für SPA

15934fa2aa7b2ce21f091e9b7cffa856?s=47 Manfred Steyer
PRO
November 08, 2017
Programming
0
130

Login und Access-Control für SPA

Session from w-jax 2017 in Munich

15934fa2aa7b2ce21f091e9b7cffa856?s=128

Manfred Steyer
PRO

November 08, 2017
Tweet

More Decks by Manfred Steyer

See All by Manfred Steyer
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
44
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
97
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
63
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
220
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
160
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
130
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
1
180
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
1
340
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
2
290

Other Decks in Programming

See All in Programming
D76231a2114896dfcc7b79ac69558b79?s=48 yosuke_furukawa
PRO
1
650
D07d36d7d3263da869c7d030ba4a64a6?s=48 y__mattu
0
280
4047c64e3a1e2f81addd4ba675ddc451?s=48 zsmb
0
130
8673a339e4002704b42bc66c43c65445?s=48 scrpgil
0
130
A760a90c9afd981004343b9861f1e8b4?s=48 daipresents
12
4.6k
C655ad8165b97ea420bd8a33c62e7895?s=48 pco2699
0
120
9e840766611f942c7c0a9ad6987a5d78?s=48 kishida
1
480
942bb606679caf4c57b38927f83178e1?s=48 qsona
26
6.5k
F6baf93a0833a98bdc8184c214f4c468?s=48 rgoswami
1
150
2350801025b8e8592dbaa8dd98a24cbb?s=48 ewolff
0
290
09923d8b0c79423a289b7d5dc31a59e4?s=48 mururu
3
1.1k
75baf8a56acce7086013da05fd125af5?s=48 dhmegane
0
360

Featured

See All Featured
78b475797a14c84799063c7cd073962f?s=48 holman
448
140k
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
331
36k
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
20
780
D36d2c1821af9249b69ff7f5ed60529b?s=48 tammielis
237
23k
E195ae45320d9202eaa01c9f1d31a416?s=48 marktimemedia
8
490
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
8
820
Aebc2d07a50011e2a30d38435fde564a?s=48 jrom
116
7.2k
B47b288784fda77a94aeb234ca743c24?s=48 keavy
108
14k
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
442
29k
2bb923c57a1fdc3a2eb484bb8d565fd2?s=48 ufuk
57
5.5k
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
86
8.7k
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
657
54k

Transcript

  1. Muster für Login- und Access Control in SPA Manfred Steyer

    SOFTWAREarchitekt.at ManfredSteyer

  2. Über mich … • Manfred Steyer • SOFTWAREarchitekt.at • Trainer

    & Consultant • Fokus: Angular • Google Developer Expert (GDE) Page ▪ 3 Manfred Steyer

  3. Inhalt • Motivation • OAuth 2 • OpenId Connect •

    Token Refresh • Single Sign out • DEMO mit Angular

  4. Zugriff auf App und Backend

  5. HTTP Basic und Co? Username+Password Username+Password ? ?

  6. Probleme Sensible Daten immer übertragen? Delegation an andere Server? Jeder

    Server prüft Credentials? Single Sign on?

  7. Cookies? Username + Password Cookie Cookie ? ?

  8. Probleme XSRF Delegation an andere Server? Cross Origin? Single Sign

    on?
  9. None

  10. Token? Username + Password Token Token Token' Token

  11. Probleme Anbindung existierender Identity Lösungen? Lose Kopplung zu Identity Lösung?

    Single Sign On? Client sieht Passwort

  12. Rollen Folie▪ 13 Client Authorization-Server Resource-Server

  13. Prinzipieller Ablauf Folie▪ 14 Client Authorization-Server Resource-Server 1. Umleitung 2.

    Umleitung mit Access-Token 3. Access-Token Ein zentrales Benutzerkonto Nur Auth-Svr. kennt Passwort Auth. von Client entkoppelt Flexibilität durch Token SPA: Kein Cookie: Kein CSRF

  14. OAuth 2

  15. Was ist OAuth ? • Ursprünglich Entwickelt von Twitter und

    Ma.gnolia • Protokoll zum Delegieren von (eingeschränkten) Rechten • Mittlerweile verwendet von Google, Facebook, Flickr, Microsoft, Salesforce.com oder Yahoo! • Verschiedene Flows Folie▪ 16

  16. Implicit Flow für SPA Folie▪ 17 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token 3. Access-Token

  17. Token (typische Inhalte) • Informationen über Benutzer (Claims) • Rechte,

    die der Client wahrnehmen darf • Aussteller • Audience (für wen wurde Token ausgestellt) • Gültigkeitsdatum • Signatur des Ausstellers Folie▪ 18

  18. Token-Format • OAuth 2 schreibt kein Token-Format vor • Ressource

    Server muss Token validieren können Folie▪ 19

  19. Token-Formate (Auswahl) • GUID (Referenz-Token) • Eigenes Tokenformat • JWT:

    JSON Web Token • JSON-Dokument beschreibt Claims • Kann signiert und/oder verschlüsselt sein Folie▪ 20

  20. SSO und OpenID Connect Page ▪ 23

  21. SSO mit OAuth Folie▪ 24 Client Authorization-Server Ressource- Server 3.

    /user/profile + Token 1. Token anfordern { "user_name": "susi", "email": "susi@sorglos.at", … } 2. Token &scope=profile Nicht durch OAuth 2.0 definiert

  22. OpenId Connect (OIDC) • Erweiterung zu OAuth 2.0 • Standardisiert

    User-Profil-Endpunkt (Service mit Daten zum Benutzer) • Client erhält auch ID-Token • JWT-Token mit Infos zum Benutzer + Audience • JWT-Token kann vom Aussteller signiert sein Folie▪ 25

  23. Implicit Flow mit OIDC Folie▪ 26 Client Authorization-Server Resource-Server 1.

    Umleitung 2. Umleitung mit Access-Token und Id-Token 3. Access-Token

  24. Demo • Angular • angular-oauth2-oidc • OIDC Certified • Identity

    Server in Cloud

  25. DEMO

  26. Refresh Page ▪ 29

  27. Warum Refresh? Kurzlebige Token erhöhen Sicherheit Benutzer möchte sich aber

    nicht ständig manuell anmelden

  28. Refresh Token (1) Folie▪ 31 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token und Refresh-Token

  29. Refresh Token (2) Folie▪ 32 Client Authorization-Server Resource-Server 3. Refresh-Token

    4. Umleitung mit Access-Token und Id-Token und neuem Refresh-Token

  30. Kein Refresh-Token bei Implicit Flow Leider oder zum Glück?

  31. Refresh dank Cookie Folie▪ 34 Client Authorization-Server Resource-Server 1. Umleitung

    2. Umleitung mit Access-Token und Id-Token

  32. Silent Refresh Folie▪ 35 Client Authorization-Server Resource-Server 1. Umleitung in

    verstecktem iFrame 2. Umleitung mit Access-Token und Id-Token

  33. DEMO

  34. Single Sign out

  35. Single Sign out Folie▪ 38 Client B Authorization-Server Resource-Server 1.

    Abmelden 2. Abmelden Client A

  36. Kanal zum Client offenhalten? • Websockets • Server Send Events

    • Hidden IFrame • OIDC Session Management

  37. DEMO Page ▪ 40

  38. Fazit Token: Flexibilität und Cross Origin OAuth 2: Autorisierung OpenId

    Connect: Authentifizierung Implicit Flow Silent Refresh Single Sign out

  39. Kontakt und Downloads [mail] manfred.steyer@SOFTWAREarchitekt.at [blog] SOFTWAREarchitekt.at [twitter] ManfredSteyer