From b05c7966abd3e47467c179e29dedaa7de465dcfa Mon Sep 17 00:00:00 2001 From: Hisashi Horikawa Date: Wed, 10 Jul 2024 22:49:58 +0900 Subject: [PATCH] fix. --- README.md | 182 +++++++------------ app/controllers/authorizations_controller.rb | 2 +- doc/supported-specifications.md | 98 ++++++++++ 3 files changed, 164 insertions(+), 118 deletions(-) create mode 100644 doc/supported-specifications.md diff --git a/README.md b/README.md index 918f414..cbd0614 100644 --- a/README.md +++ b/README.md @@ -5,11 +5,12 @@ - `"refresh_token"` grant type. トークン有効期限の延長. -# OpenIDConnect OP (IdP) Sample + +# Rails OpenID Connect IdP AS ## What's this? -A sample OpenID Connect provider (OP or IdP) using the `openid_connect` gem. The Authorization Code Flow and the Implicit Flow. +A sample authorization server acting as an OpenID Connect identity provider (OP or IdP) using the `openid_connect` gem. The Authorization Code Flow with PKCE, the Implicit Flow and the Hybrid Flow are supported. クライアントの開発のため、複数のユーザを切り替えて払い出す。デバッグのため、正常なレスポンスだけでなく、異常なレスポンスも返す。 @@ -20,106 +21,16 @@ Ruby on Rails 6.1. -## サポートする仕様 - -### OpenID Connect Discovery 1.0 ✓ - - - Issuer discovery ユーザ識別子のドメインパートのホストに対して、次のような `GET` リクエストを投げると、issuer を返す. -``` - GET /.well-known/webfinger?resource=acct:example@example.com& - rel=http://openid.net/specs/connect/1.0/issuer -``` - ユーザ識別子のドメインパートが IdP ホストとは限らない。現在ではほとんど用いられない - - - OpenID Provider Configuration - `/.well-known/openid-configuration` を `GET` する - - -実装者による Financial-grade API (FAPI) 解説 を踏まえて、現代的な挙動へのアップデートを行うこと。Part 1: Baseline だけでよい。 - - - - No.4 クライアント認証 -```json -"token_endpoint_auth_methods_supported": [ - "client_secret_post", - "private_key_jwt", ●●未了. このサポートが必須. マジか. Entra ID (旧 AzureAD) ぐらいしかサポートする IdP はないようだが. - "client_secret_basic" - ], -``` - -No.5 `"private_key_jwt"` で RSA を用いる場合、キーサイズは 2048bit 以上。 - - - No.7 PKCE (RFC 7636) with `S256`: ●●未了. このサポートが必須. - 認可リクエストは明示的に `code_challenge_method=S256` を含めなければならない。 - discovery に `code_challenge_methods_supported` がある。(RFC 8414) - + Yahoo! discovery あり. リクエストは任意 - + Azure AD -- 推奨, SPAの場合は必須. https://learn.microsoft.com/ja-jp/entra/identity-platform/v2-oauth2-auth-code-flow - + Google Identity -- discovery あり. モバイル/デスクトップアプリのみ? https://developers.google.com/identity/protocols/oauth2/native-app?hl=ja - + LINE -- discovery あり. - -●● rack-oauth2 パッケージにサーバ側の PKCE サポートがある。これを使うか - - - No.12 過去に認可された scope よりもリクエストされた scope が多ければ、再度ユーザに認可を求める。 - Fake Users 画面から、認可した scope を削除できるようにする。●●未了 - - - クライアントが `openid` スコープを要求した場合, `nonce` パラメータが必須。 - レスポンスの ID Token 内に `nonce` を埋め込む. - The Authorization Code Flow では OPTIONAL, The Implicit Flow では REQUIRED だが、前者でもリクエストに含めるべき。 - ●●未了。わざとレスポンスから `nonce` を抜いて、きちんとクライアントが確認しているかを見れるようにする。 - - - クライアントが `openid` スコープを要求しなかった場合, `state` パラメータが必須。ブラウザ cookie に埋め込むことで、CSRF/XSRF 緩和。 - 仕様では RECOMMENDED となっている。 - ●●未了。同様にレスポンスを不正にして、クライアントの様子を確認。 - - - - -## OpenSSL v3.0 (Fedora 36, CentOS Stream 9) - -`openid_connect` gem が依存する `json-jwt` 1.13.0 で次のエラーが発生. OpenSSL::PKey::PKeyError 型. - -
-rsa#set_key= is incompatible with OpenSSL 3.0
-
- -OpenSSL の仕様変更により ruby/openssl v3.0 のいくつかのメソッドが取り除かれた。とはいえ、Ruby v2.x のときからそれらのメソッドは非推奨 deprecated になっており、しかも OpenSSL v3.0 との組み合わせでは動かない。 - -関連 issue: Add OpenSSL 3 support · Issue #100 · nov/json-jwt - -修正待つしかなさそう。 - - - - -## Resources - -For this sample: - * View source on GitHub: https://github.com/netsphere-labs/openid_connect_sample/ - -For more information, see readme and wiki for `openid_connect` gem: - * https://github.com/nov/openid_connect/ - -OAuth 2.0 server library: - * https://github.com/nov/rack-oauth2/ - - -Also of interest, the corresponding sample RP: - * [OmniAuth2, OpenID Connect RP sample](https://gitlab.com/netsphere/rails-examples/-/tree/main/omniauth-oidc-rp-sample/) the Authorization Code Flow, the Implicit Flow. And, Single Logout (SLO) based on OpenID Connect RP-Initiated Logout 1.0. - - * [OpenID Connect - Implicit Flow Relying Party (RP) sample](https://github.com/netsphere-labs/openid-connect-implicit-flow-rp-sample/) - - - -## How to Run This Example on Your Machine +## How to Run ### Requirements - Ruby on Rails v6.1 - fb_graph2 - - sorcery + - sorcery ※認証フレームワークは何でもよい。 - openid_connect -This sample application does not use "omniauth-openid-connect" gem. +This IdP does not use "omniauth-openid-connect" or "doorkeeper-openid_connect" gem. ### Localhost @@ -136,14 +47,12 @@ To run this in development mode on your local machine:
   # su postgres
-  $ createdb --owner rails --encoding utf-8 openid-connect-sample_dev
+  $ createdb --owner DBユーザ名 --encoding utf-8 openid-connect-sample_dev
 
-

rake db:migrate, rake db:seed でもよい。 -

-  $ rails db:migrate
-  $ rails db:seed
+  $ bin/rails db:migrate
+  $ bin/rails db:seed
 
5. Copy `config/connect/facebook.yml.sample` to `facebook.yml`. And Google's. @@ -152,16 +61,16 @@ Set `client_id` and `client_secret` Sorcery による OpenID Connect Login, Facebook Login のサンプルを兼ねている。 - 6. Modify `config/connect/id_token/issuer.yml` -- change `issuer` value to `http://localhost:3000` + 6. Modify `config/connect/id_token/issuer.yml` -- change `issuer` value to `http://localhost:4000` 7. Run! ``` - $ bin/yarn + $ bin/rails assets:precompile $ bundle exec rails server -p 3000 ``` -production 環境の場合は, まず、次のようにしてコンパイルする。 +production 環境の場合は, 次のようにしてコンパイルする。 ``` $ RAILS_ENV=production bin/rails assets:precompile @@ -176,28 +85,72 @@ RAILS_ENV=production passenger start ``` -### 使い方 + + +## 使い方 1. Facebook または Google でログインする -Admin user としてログインする。 +Admin user としてログインする。払い出すユーザは "Fake Users" から確認できる。 + 2. [Register New Client...] から, RPを登録する。 -redirect_uri は複数登録可能。 +`redirect_uri` は複数登録可能。 + + 3. RP側で, `client_id`, `client_secret` を登録する。 + + 4. RP 側からログイン可能か確認する。 + この IdP では、払い出すユーザを都度選択するようになっている。 - 3. RP側で, client_id, client_secret を登録する。 -To see it in action right now: -* press "Discover" -* the RP will use the OP to authenticate +## Copyright + +Copyright (c) 2011 nov matake. See LICENSE for details. + +Copyright (c) 2020-2021,2024 Hisashi Horikawa. + - -Point your browser at http://localhost:3000 +## Resources + +This IdP: + * View source on GitHub: https://github.com/netsphere-labs/rails-openid-connect-idp-as/ + +For more information, see readme and wiki for `openid_connect` gem: + * https://github.com/nov/openid_connect/ + +OAuth 2.0 server library: + * https://github.com/nov/rack-oauth2/ + +Also of interest, the corresponding sample RP: + * [Rails OpenID Connect RP Sample](https://github.com/netsphere-labs/rails-openid-connect-rp-sample/) the Authorization Code Flow, the Implicit Flow. And, Single Logout (SLO) based on OpenID Connect RP-Initiated Logout 1.0. + + + + + +## Topic: OpenSSL v3.0 (Fedora 36, CentOS Stream 9) + +`openid_connect` gem が依存する `json-jwt` 1.13.0 で次のエラーが発生. OpenSSL::PKey::PKeyError 型. + +
+rsa#set_key= is incompatible with OpenSSL 3.0
+
+ +OpenSSL の仕様変更により ruby/openssl v3.0 のいくつかのメソッドが取り除かれた。とはいえ、Ruby v2.x のときからそれらのメソッドは非推奨 deprecated になっており、しかも OpenSSL v3.0 との組み合わせでは動かない。 + +関連 issue: Add OpenSSL 3 support · Issue #100 · nov/json-jwt + + + + + + +#### Obviously, external servers will not be able to connect to an OP that is running on localhost. @@ -230,8 +183,3 @@ This problem is beyond the scope of this README, but may be of help. -## Copyright - -Copyright (c) 2011 nov matake. See LICENSE for details. - -Copyright (c) 2020-2021,2024 Hisashi Horikawa. diff --git a/app/controllers/authorizations_controller.rb b/app/controllers/authorizations_controller.rb index 93d14ac..db759d3 100644 --- a/app/controllers/authorizations_controller.rb +++ b/app/controllers/authorizations_controller.rb @@ -162,7 +162,7 @@ def request_validation req, res # FAPI: `openid` scope を要求した場合は `nonce` 必須. if (res.protocol_params_location == :fragment || Scope.ary_find(@scopes, 'openid')) && req.nonce.blank? - req.invalid_request! 'nonce required' + req.invalid_request! "`nonce` required" end if !Scope.ary_find(@scopes, 'openid') diff --git a/doc/supported-specifications.md b/doc/supported-specifications.md new file mode 100644 index 0000000..d28130c --- /dev/null +++ b/doc/supported-specifications.md @@ -0,0 +1,98 @@ + +# Supported Specifications + +実装者による Financial-grade API (FAPI) 解説 を踏まえて、現代的な挙動へのアップデートを行う。 + +Part 1: Baseline だけでよい。 よくない。Baseline は採用されず、英国オープンバンキングでは FAPI 1.0 Part 2: Advanced だけが採用された。技術的にも両者は差が大きく、わざわざ両方を参照せず, Part 2 のみを参照すればよい。 + +
+

FAPI 1.0 Advanced Final is an evolution of the FAPI RW draft. The ‘read write’ part was removed from the specification name to avoid confusion, due to many ecosystems choosing to use the more secure ‘read write’ profile for read-only operations. +

+ + + + +## OpenID Connect Discovery 1.0 ✓ + + - Issuer discovery ユーザ識別子のドメインパートのホストに対して、次のような `GET` リクエストを投げると、issuer を返す. +``` + GET /.well-known/webfinger?resource=acct:example@example.com& + rel=http://openid.net/specs/connect/1.0/issuer +``` + ユーザ識別子のドメインパートが IdP ホストとは限らない。現在ではほとんど用いられない + + - OpenID Provider Configuration 必須✓ + `/.well-known/openid-configuration` を `GET` する + + + + +## OpenID Connect Core 1.0 + + - No.4 Token Endpoint におけるクライアント認証 + + "client_secret_basic" ✓ + + "client_secret_post" ✓ + + "private_key_jwt", ●●未了. FAPI はこのサポートが必須. マジか. Entra ID (旧 AzureAD) ぐらいしかサポートする IdP はない. + + - No.5 `"private_key_jwt"` で RSA を用いる場合、キーサイズは 2048bit 以上。 + + - No.12 過去に認可された scope よりもリクエストされた scope が多ければ、再度ユーザに認可を求める。 + + テストのため, Fake Users 画面から、認可した scope を削除できるようにする。●●未了 + + - クライアントが `openid` スコープを要求した場合, `nonce` パラメータが必須。 + レスポンスの ID Token 内に `nonce` を埋め込む. ✓ + + The Authorization Code Flow では OPTIONAL, The Implicit Flow, Hybrid Flow では REQUIRED だが、前者でもリクエストに含めるべき。 + + - クライアントが `openid` スコープを要求しなかった場合, `state` パラメータが必須。ブラウザ cookie に埋め込むことで、CSRF/XSRF 緩和。 + 仕様では RECOMMENDED となっている。 + ●●テスト未了。同様にレスポンスを不正にして、クライアントの様子を確認。 + + + + +## Proof Key for Code Exchange by OAuth Public Clients (PKCE, RFC 7636) ✓ + + - No.7 PKCE (RFC 7636) with `S256` 実装すみ✓ + + - 認可リクエストは明示的に `code_challenge_method=S256` を含めなければならない。 + + - discovery に `code_challenge_methods_supported` がある。(RFC 8414) ✓ + +ほかの IdP: + + Yahoo! discovery あり. リクエストは任意 + + Azure AD -- 推奨, SPAの場合は必須. https://learn.microsoft.com/ja-jp/entra/identity-platform/v2-oauth2-auth-code-flow + + Google Identity -- discovery あり. モバイル/デスクトップアプリのみ? https://developers.google.com/identity/protocols/oauth2/native-app?hl=ja + + LINE -- discovery あり. + + + + +### The OAuth 2.0 Authorization Framework: JWT-Secured Authorization Request (JAR, RFC 9101) + + - クライアントは, `request` パラメータで署名付きの request object を送付。OpenID Connect Core 1.0 で要求されるパラメータであっても、request object の外側のものは無視。✓ + + - AS 側でクライアントの公開鍵を使って署名の検証 ●未了 + + - `request_uri` パラメータで request object 参照を送付。これは非常に筋が悪い。次の PAR のみをサポート。 + + + + +### OAuth 2.0 Pushed Authorization Requests (PAR, RFC 9126) + +2021年9月に発行された仕様。 + +まずクライアントが直接認可サーバ (AS) にリクエストを POST, AS がトークンを発行し, リダイレクトを介したリクエスト時は, `request_uri` パラメータにそのトークンを set. + +長い長い年月を経て, OAuth 1.0 (2010年) に還ってきた。Temporary Credentials (Request Token and Secret) の取得からの Resource Owner Authorization URI. + +OAuth 2.0 and the Road to Hell +コメントの一つ: https://alexbilbie.github.io/2012/07/oauth-2-0-and-the-road-to-hell/ + +OAuth 1.0 は "confidential" client type しかサポートしない。Yes, FAPI も同様に "confidential" client type しかサポートしない。 + +フロー図がある; https://oauth.jp/blog/2014/06/23/csrf-on-twitter-login/ OAuth 1.0 であっても当然, 実装が下手打つと穴ができる。他方、仕様のとおりに実装したら巨大な穴があく OAuth 2.0 は、仕様に穴がある。 + +