1
Moderne Authentifizierungslösungen mit
OAuth 2.0 und AngularJS
Manfred Steyer
ManfredSteyer
Page  3
Aktuelles Buch
2
Ziele
Möglichkeiten bezüglich SSO und Delegation mit
OAuth 2.0 und OpenId Connect (OIDC) kennen
lernen
Möglichkeiten z...
3
MOTIVATION
Page  8
Ein Benutzer - zu viele Konten
Folie 9
4
Clients benötigen Zugriff
Folie 10
ÜBERBLICK ZU OAUTH 2.0
Page  11
5
Was ist OAuth ?
Ursprünglich Entwickelt von Twitter und Ma.gnolia
Protokoll zum Delegieren von (eingeschränkten)
Recht...
6
Prinzipieller Ablauf
Folie 14
Client
Authorization-Server
Resource-Server
1. Umleitung
2. Umleitung
3. Access-Token
Det...
7
Flows
Authorization Code Grant
 Am meisten Sicherheitsmerkmale
 Klassische Web-Anwendungen
 "Langzeit-Delegation"
I...
8
TOKEN
Page  18
Bearer-Token
Folie 19
9
Kein Bearer-Token
Folie 20
Token-Format
OAuth 2 schreibt kein Token-Format vor
Resource Server muss Token validieren ...
10
Mögliche Token-Formate
GUID (Referenz-Token)
Eigenes Tokenformat
 Verschlüsselung und/oder Signatur durch Auth-Serve...
11
SSO mit OAuth
Folie 39
Client
Authorization-Server
Resource-
Server
3. /user/profile + Access-Token
1. Token anfordern...
12
OIDC
Folie 45
Authorization-Server
Client 1 Service 1
Access-Token
ID-Token
/voucher + Access-Token
DEMO
Page  47
13
Fazit
 OAuth 2.0 zum Delegieren von Rechten
 Implicit Flow: Single Page Applications
 SSO: Recht zum Lesen von Profi...
Nächste SlideShare
Wird geladen in …5
×

AngularJS mit OAuth 2 und OpenId Connect, w-jax 2015

751 Aufrufe

Veröffentlicht am

Moderne Auth-Lösungen mit OAuth 2 und AngularJS. Zeigt auch die Nutzung von OIDC

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
751
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

AngularJS mit OAuth 2 und OpenId Connect, w-jax 2015

  1. 1. 1 Moderne Authentifizierungslösungen mit OAuth 2.0 und AngularJS Manfred Steyer ManfredSteyer Page  3 Aktuelles Buch
  2. 2. 2 Ziele Möglichkeiten bezüglich SSO und Delegation mit OAuth 2.0 und OpenId Connect (OIDC) kennen lernen Möglichkeiten zur Nutzung mit JavaScript und AngularJS kennen lernen Folie 6 Inhalt Motivation Überblick zu OAuth 2.0 SSO mit OAuth 2.0 OpenId Connect DEMO Folie 7
  3. 3. 3 MOTIVATION Page  8 Ein Benutzer - zu viele Konten Folie 9
  4. 4. 4 Clients benötigen Zugriff Folie 10 ÜBERBLICK ZU OAUTH 2.0 Page  11
  5. 5. 5 Was ist OAuth ? Ursprünglich Entwickelt von Twitter und Ma.gnolia Protokoll zum Delegieren von (eingeschränkten) Rechten Mittlerweile verwendet von Google, Facebook, Flickr, Microsoft, Salesforce.com oder Yahoo! Folie 12 Rollen Folie 13 Client Authorization-Server Resource-Server Resource-Owner Registriert mit client_id, client_secret, redirect_uri Registriert mit Credentials
  6. 6. 6 Prinzipieller Ablauf Folie 14 Client Authorization-Server Resource-Server 1. Umleitung 2. Umleitung 3. Access-Token Details legt Flow fest Ein zentrales Benutzerkonto Nur Auth-Svr. kennt Passwort Auth. von Client entkoppelt Flexibilität durch Token SPA: Kein Cookie: Kein CSRF FLOWS Page  15
  7. 7. 7 Flows Authorization Code Grant  Am meisten Sicherheitsmerkmale  Klassische Web-Anwendungen  "Langzeit-Delegation" Implicit Grant  Clients ohne Client-Secret  Single Page Applications Flows Resource Owner Password Credentials Grant  Benutzer vertraut Client seine Credentials an Client Credentials Grant  Client "in eigener Mission" Extension Grants
  8. 8. 8 TOKEN Page  18 Bearer-Token Folie 19
  9. 9. 9 Kein Bearer-Token Folie 20 Token-Format OAuth 2 schreibt kein Token-Format vor Resource Server muss Token validieren und auswerten können Möglichkeiten zum Validieren  Bei Auth-Server nachfragen  Signatur prüfen  Token entschlüsseln Folie 21
  10. 10. 10 Mögliche Token-Formate GUID (Referenz-Token) Eigenes Tokenformat  Verschlüsselung und/oder Signatur durch Auth-Server JWT: JSON Web Token  JSON-Dokument beschreibt Claims  Kann signiert und/oder verschlüsselt sein  Header gibt Auskunft über verwendete Krypto-Algorithmen Folie 22 SSO MIT OAUTH 2.0 UND OPENID CONNECT Page  38
  11. 11. 11 SSO mit OAuth Folie 39 Client Authorization-Server Resource- Server 3. /user/profile + Access-Token 1. Token anfordern { "user_name": "susi", "email": "susi@sorglos.at", … } 2. Token &scope=profile Nicht durch OAuth 2.0 definiert OpenId Connect (OIDC) Erweiterung zu OAuth 2.0 Standardisiert User-Profil-Endpunkt Standardisiert Übermittlung von Profil-Infos Client erhält auch ID-Token  JWT-Token mit Infos zum Benutzer + Audience  JWT-Token kann vom Aussteller signiert sein Folie 44
  12. 12. 12 OIDC Folie 45 Authorization-Server Client 1 Service 1 Access-Token ID-Token /voucher + Access-Token DEMO Page  47
  13. 13. 13 Fazit  OAuth 2.0 zum Delegieren von Rechten  Implicit Flow: Single Page Applications  SSO: Recht zum Lesen von Profil delegieren  OpenID Connect: Authentifizierung mit OAuth 2.0  OpenID Connect: JWT  Sicherheitsmerkmale  Vorteile  Zentrale Benutzerkonten  Entkopplung der Authentifizierung und Autorisierung  Flexibilität durch Token Folie 48 [mail] manfred.steyer@SOFTWAREarchitekt.at [web] SOFTWAREarchitekt.at [twitter] ManfredSteyer Kontakt

×