Saturday, June 15, 2013

OAuth là gì?

Bài viết này dành cho những người chưa hiểu cơ bản về OAuth và Single Sign On.
OAuth là gì? Đó là câu hỏi không dễ đối với những người chưa từng làm việc với SSO (Single Sign On). Thực ra thì Single Sign On không liên quan gì mấy đến nội dung của OAuth. Tuy nhiên chúng hay đi liền với nhau. Vì vậy cũng phải có sự phân biệt cho khỏi nhầm lẫn.
  1. Single Sign On là việc bạn có thể đăng nhập vào một website (như google.com) và sử dụng đăng nhập đó trên các website khác.
    • Vì vậy SSO là một tiện ích
    • Thường được sử dụng trên các website liên quan mật thiết đến nhau
    • Tiện ích SSO có nhiều phương pháp để thực hiện, SAML là một trong các phương pháp đó
  2. OAuth là phương pháp chia sẻ tài nguyên giữa các ứng dụng mà không phải đưa ra “giấy thông hành” là username và password.
    • Do đó, OAuth là một phương pháp
    • Thường được sử dụng trên các website … chả liên quan gì nhau (thực ra là có liên quan đấy, nhưng về mặt bản chất chúng có thể hoạt động mà chẳng cần gì đến nhau, việc kết nối là để xin chút tài nguyên thôi).
Ngoài ra, bạn cũng phải phân biệt giữa hai từ Authorization và Authentication. Từ thứ 2 đơn giản là “đăng nhập” hay không, còn từ thứ nhất là “có quyền” hay không. Cần chú ý chúng khác nhau nhiều lắm, đôi khi bạn chẳng cần “đăng nhập” bạn cũng có thể “có quyền”. Ý của tôi ở đây là Authentication thường liên quan đến việc bạn phải “đăng nhập” vào hệ thống. Còn Authorization tức “có quyền” trên tài nguyên hệ thống hay không thì bạn phải yêu cầu chủ thể của tài nguyên cho phép bạn.
Nói vậy thì hơi lan man, bạn có thể bỏ qua đừng suy nghĩ gì về đoạn giải thích như đánh đố trên.
Xin được đi chi tiết hơn về OAuth, nội dung của nó thì không mới, các hãng lớn như Google, Aol, Yahoo… đều có các phương pháp Authorization của riêng mình. Nhưng nó khiến các bên thứ ba khó khăn khi tích hợp với họ. Vì vậy họ họp nhau lại để tạo ra chuẩn Open Authorization.
1. Bắt đầu với Authorization, cụ thể là OAuth bạn phải phân biệt được những bên liên quan như sau
  • Client: là ứng dụng (chú ý là một ứng dụng, có thể là ứng dụng Desktop, cũng có thể là website của bạn như http://www.youbrainy.com
    ), muốn có quyền sử dụng tài nguyên của Server
  • Server: là một ứng dụng khác,  chẳng hạn như google.com.
  • You: chính bạn, bạn có tài nguyên trên Server và bạn muốn cho Client quyền sử dụng nó
Tóm lại: OAuth là phương pháp để Client sử dụng được tài nguyên của You bên phía Server
2. Phân biệt hai loại OAuth
  • 2-legged OAuth: là kiểu Authorization trong đó vai trò của You và Client là như nhau. Tức là Client chính là You của Server. Đó là kịch bản Client-Server thông thường.
  • 3-legged OAuth: là kiểu Authorization trong đó You và Client là phân biệt. Client muốn You chia sẻ tài nguyên đã có bên phía Server.
3. Cách OAuth hoạt động
3.1. 2- legged OAuth
  1. Client đăng ký sử dụng dịch vụ với Server
  2. Server cho Client
    • CONSUMER_KEY
    • CONSUMER_SECRET_KEY
  3. Client sử dụng các keys trên để thực hiện Authorization
3.2. 3- legged OAuth
  1. Client đăng ký sử dụng dịch vụ với Server
  2. Server cho Client
    • CONSUMER_KEY
    • CONSUMER_SECRET_KEY
  3. You có tài nguyên ở Server
  4. You sử dụng dịch vụ ở Client, Client yêu cầu You cho phép khai thác tài nguyên của You ở Server
  5. Client yêu cầu Server gửi REQUEST_TOKEN cho You
  6. Client chuyển You đến Server Authentication
  7. You đăng nhập vào Server, Server hỏi You có muốn chia sẻ quyền khai thác dữ liệu cho Client hay không
  8. You đồng ý, Server chuyển You về Client kèm theo ACCESS_TOKEN
  9.  Client sử dụng ACCESS_TOKEN để thực hiện thao tác trên các tài nguyên của You thuộc Server
4. Chú ý khi cài đặt với PHP
  1. Các trang tích hợp OAuth phần lớn hỗ trợ thư viện để bạn có thể dễ dàng cấu hình OAuth
  2. Nếu trong tình huống xấu, bạn chính là người cung cấp dịch vụ và muốn cung cấp mã nguồn tích hợp OAuth với dịch vụ của bạn. Thì bạn phải code rùi. Tất nhiên đây là trường hợp chủ động
  3. Nếu bên cung cấp dịch vụ ỉm đi, không cho bạn cái gì sất. Bạn phải code phần client chẳng hạn. Bạn nên tìm hiểu các thư viện sẵn có để học hỏi. Như Zend_OAuth chẳng hạn.
5. Tài liệu
Posted by at No comments:
Labels:

Single Sign On Solution

Với hệ thống có nhiều website và application thì việc sử dụng Single Sign On (SSO) là khá cần thiết nhằm đem lại nhiều thuận tiện cho người dùng và tăng tính năng bảo mật.
SSO chỉ được triển khai sau khi đã xây dựng được hệ thống xác thực và phân quyền. SSO có nhiệm vụ cung cấp cho người dùng quyền truy cập nhiều tài nguyên Web, Applications trong phạm vi cho phép chỉ với một lần đăng nhập (xác thực). Nói thêm về Phân quyền (Access Control), có 2 Rules chính:
  • Authentication: Là quá trình để định danh một người dùng có hợp lệ hay không. (Thường thể hiện qua một form đăng nhập)
  • Authorization: Là quá trình kiểm chứng một người dùng đã được xác thực có đủ quyền truy cập vào tài nguyên (mà người dùng) yêu cầu hay không. Tài nguyên yêu cầu có thể phụ thuộc vào Policy domain (cấp quyền theo domain) hoặc một policy đặc biệt nào đó (ví dụ cấp quyền theo cấp).
SSO có thể được sử dụng dưới các dạng:
  1. Single Domain: Khi xác thực thành công vào domain.com, người dùng đồng thời được xác thực vào các sub-domain.domain.com tồn tại.
  2. Multi Domain: Khi xác thực thành công vào facebook.com, người dùng đồng thời được xác thực vào example.com
  3. Applications vs Third-Party Products: ví dụ SSO giữa Oracle Access Manager và IBM WebSphere Application Server
Ở 2 dạng đầu tiên, SSO thường sử dụng Cookie để nhận diện, webserver (hay webgate) gửi cookie đã được mã hóa cho browser đã xác thực thành công, cookie này sẽ là chìa khóa sử dụng cho các xác thực tới các tài nguyên khác hoặc cho các xác thực có cùng cấp.
Phần Cookie được mã hóa có thể bao gồm các thông tin: session, distinguished name của người dùng đã xác thực thành công, IP của client đã yêu cầu, thời điểm khởi tạo cookie, thời điểm sửa đổi cookie.. các thành phần không mã hóa của cookie có thể bao gồm: thời gian expired, domain hoạt động, SSL/ Httponly…
Thuật toán mã hóa được recommend hiện nay là AES,  bên cạnh là các thuật toán kém bền vững hơn nhưng thông dụng như MD5-salt, RC4, RC6 vẫn được sử dụng phổ biến trong các mã hóa cookie/ session.
  • Single Domain SSO
Cookie Path được cấu hình để dùng chung cho mọi subdomain: .domain.com (bao gồm dấu . ở đầu)
SSOMô hình của Oracle® Access Manager
  • Multi Domain SSO
Multi Domain SSO cho phép người dùng truy cập vào nhiều domains/hosts sau 1 lần đăng nhập. Một ứng dụng xác thực chính sẽ cung cấp các cookie hợp lệ cho mỗi domain.Chẳng hạn người dùng truy cập vào gmail.com, khi đó toàn bộ services của Google, như Google.com, Picasa, Blogspot… đều nhận diện tính xác thực cho người dùng đó.
Tuy nhiên cookie không thể được thiết đặt cho across domains do Policy bảo mật của hầu hết browser, do đó một domain chính sẽ được chọn để xác thực ở mọi quy trình, gọi chung là master domain. Với mỗi domain khác mà người dùng thực hiện quá trình xác thực, mỗi webgate của hệ thống đó sẽ redirect tới master domain.
Master domain sẽ hoạt động như quy trình của Single Domain SSO, nó chính là *proxy* để truyền tải cookie hợp lệ về cho mỗi domain có yêu cầu xác thực.
Mô hình của Oracle® Access Manager
Hoạt động
  1. Ta thiết đặt master domain, login-service.domain.com.
  2. Mỗi một domain nằm trong group SSO đều có script login riêng.
  3. Mọi hệ thống trên mỗi domain đều sử dụng chung Session Database.
  4. Khi mỗi Client yêu cầu người dùng xác thực, Webgate của nó sẽ redirects tới master domain có chứa login service. Nếu người dùng chưa đăng nhập, master domain sẽ triệu gọi script login của client để thực hiện việc login vào master domain. Khi người dùng đã xác thực, một session sẽ được tạo trong database và master domain sẽ cung cấp session id cho client yêu cầu để có thể tạo cookie theo session đó.
Notes:
  • Các thuật toán mã hóa session. session id phải được dùng chung (RFC 4122)
  • Master service chỉ xử lý & redirect tới những domain nằm trong whilelist
  • Các domain có thể ở nhiều dạng khác nhau, login.domain.com, domain.com/service, client.abc.com…
Logout
Đây là quá trình quan trọng vì mỗi quá trình logout ở một client chỉ có hiệu lực với cookie của client đó, cần thiết đặt một timeout phù hợp cho cookie hay thiết đặt cơ chế clear cookie ở mọi domain liên quan (chậm chạp), có thể xóa luôn session ở database nhưng lưu ý session có thể tạo lại bởi tính năng Ghi nhớ đăng nhập.
Posted by at No comments:
Labels:

PORTAL - Cơ chế Single Sign On - 2

Central Authenticate Service 

- Giới thiệu
- Triển khai
- Các giải pháp bảo mật ứng dụng

C - Central Authenticate Service (CAS)
CAS là gì?

- Là một giải pháp Single Sign On, mã nguồn mở được phát triển bởi đại hoc Yale.
- Hỗ trợ nhiều thư viện phía client được viết bởi nhiều ngôn ngữ: PHP, Java, PL/SQL, …
- CAS lấy thông tin Single Sign On thông qua cookie. Cookie này sẽ bị hủy khi user đăng xuất khỏi CAS hoặc đóng trình duyệt. Cookie được sinh ra bởi CAS, còn được gọi là TGT Cookie (Ticket Granting Cookie) chứa một id duy nhất và thời gian hết hạn. Thời gian hết hạn là 8 giờ.
- CAS cung cấp nhiều trình quản lý xác thực (authenticate handler) khác nhau. CAS xác thực nhiều loại thông tin người dùng như username/password, X509 Certificate, ...để xác thực những thông tin người dùng khác nhau này, CAS sử dụng những trình quản lý xác thực tương ứng.
- CAS còn cung cấp tính năng “Remember Me”. Developer có thể cấu hình tính năng này trong nhiều file cấu hình khác nhau và khi người dùng chọn “Remember me” trên khung đăng nhập, thì thông tin đăng nhập sẽ được ghi nhớ với thời gian được cấu hình (mặc định là 3 tháng) và khi người dùng mở trình duyệt thì CAS sẽ chuyển đế service url tương ứng mà không cần hiển thị khung đăng nhập.

Các phiên bản của CAS.
• CAS 1.0
- Được tạo bởi Yale University, khởi đầu từ năm 1999.
- Là một Web Single Sign On, dễ sử dụng.
• CAS 2.0
- Cũng được tạo ra bởi Yale University.
- Giới thiệu thêm tính năng mới là Proxy Authentication.
• JA-SIG CAS 3.0
- Trở thành JA-SIG project vào 2004.
- Mục đích là làm cho CAS tương thích cao hơn, mềm dẻo hơn.
- 100% tương thích với CAS 2.0

CAS URIs

CAS thực hiện Single Sign On thông qua những URI và sinh ra những ticket khác nhau. CAS sẽ sử dụng những URI sau:
-/logout
o Hủy Single Sign On session và ticket granting cookie
o Hiển thị một trang trạng thái để báo với user đã đăng xuất.
Tham số “url” có thể được chỉ định đến /logout và nếu được chỉ định, “url” sẽ được hiển thị trong trang logout cùng với thông báo đăng xuất.
-/validate
oKiểm tra tính hợp lệ của service. CAS làm service ticket có hiệu lực, service ticket được sinh ra từ thông tin xác thực lấy từ request.
oNhững tham số sau có thể chỉ định đến /validate URI
+ Service (bắt buộc)
+ Ticket (bắt buộc) – service ticket được sinh ra bởi /login
+ Renew (không bắt buộc) – nếu tham số này được thiết lập.
+ Ptgurl – url của proxy callback
-/serviceValidate sẽ trả về một xml-formatted response. Khi thành công, response chứa username và proxy-granting ticket. Khi thất bại, response chứa một mã lỗi với thông điệp thất bại tương ứng. Sau đây là một số mã lỗi được trả về response nếu /serviceValidate thất bại.
oINVALID_REQUEST: Không tìm thấy tham số cần tìm trong request.
oINVALID_TICKET: Ticket được cung cấp không hợp lệ hoặc ticket không đến từ login và “renew” được thiết lập trên validation.
oINVALID_SERVICE: Ticket được cung cấp không hợp lệ nhưng service được chỉ định không khớp với service mà liên kết với ticket.
oINTERNAL_ERROR: Lỗi cục bộ xuất hiện trong khi kiểm tra tinh hợp lệ của ticket.
-/proxyValidate làm việc giống như /serviceValidate, ngoại trừ nó làm cho proxy ticket có hiệu lực. Những tham số và mã lỗi giống tương tự. Khi thành công, respone chứa PGT và danh sách các proxy cá mà việc xác thực được thực thi. Những proxy được viếng thăm gần nhất sẽ nằm trên đỉnh, và ngược lại
-/proxy
oCung cấp proxy ticket đến những service, lấy PTG thông qua /proxyValidate hoặc /serviceValidate
oNhững tham số sau được yêu cầu cho /proxy URI
+ Pgt – proxy granting ticket
+ TargetService – service identifier của back-end service. Service identifier phải khớp với service identifier được chỉ định đến /proxyValidate nhờ vào sự hợp lệ của proxy ticket.
o/proxy sẽ trả về xml-formatted service response. Thành công, response sẽ chứa đựng proxy ticket. Thất bại, response chứa đựng mã lỗi với thông điệp tương ứng. Các mã lỗi sẽ được trả về trong /proxy: INVALID_REQUEST, BAD_PGT, INTERNAL_ERROR. BAD_PGT có nghĩa là pgt không hợp lệ.
-/samlValidate
o SAML (Secuirty Assertion Markup Language) framework

CAS Tickets

Ticket đơn giản là một chuỗi ký tự ngẫu nhiên và bắt đầu với một tiền tố như (ST-,TGC-,…) và nó là id duy nhất cho một thao tác nào đó.
Trong quá trình xác thực của CAS, một số ticket được tạo ra với mục đích lưu trữ thông tin và bảo mật. Sau đây là khái niệm một số ticket được sử dụng trong CAS.

Ticket-Granting Ticket (TGT)

-Là một chuỗi ký tự chứa dữ liệu bảo mật ngẫu nhiên và bắt đầu bằng “TGT”, chứa id duy nhất và thời gian hết hạn.
-TGT được tạo ra CAS Server xác thực thành công.
-Không có TGT, user của CAS không thể Single Sign On
-TGT sẽ được thêm vào HTTP Cookie (cở sở để Single Sign On) và nó sẽ được kiểm tra khi truy cập ứng dụng.
Ví dụ: TGT sẽ được lưu xuống browser là TGC (Ticket Granting Cookie) là một HTTP Cookie của CAS. Cookie này duy trì trạng thái đăng nhập cho client. Khi client chuyển đến các ứng dụng khác, cookie này sẽ được kiểm tra đế tự động đăng nhập cho user. TGC sẽ bị hủy khi đóng trình duyệt hay client chọn logout từ ứng dụng. Giá trị của TGC bắt đầu bằng “TGC-“.

Service Ticket (ST)

-Service Ticket sẽ được tạo ra khi CAS Url có chứa tham số service và thông tin xác thực được truyền đến và xác thực thành công.

Ví dụ: https://server/CAS/login?service=http%3A%2F%2Fwww.service.com
- Mỗi Service chỉ có một service ticket duy nhất và được sử dụng một lần duy nhất.
- ST là một chuỗi ký tự, được sử dụng bởi client như là thông tin xác thực để truy cập đến dịch vụ.
- Service ticket phải bắt đầu với ký tự “ST-“.
Ví dụ: ticket=ST-1856339-aA5Yuvrxzpv8Tau1cYQ7

Proxy Ticket (PT)

- CAS Proxy là một service muốn truy xuất những service khác thay mặt cho một user riêng biệt. Proxy Ticket (PT) được sinh ra từ CAS nhờ vào một service thể hiện của một Proxy Granting Ticket hợp lệ và một service identifier (giá trị của tham số “url” của /proxy url) cho back-end service đến cái nó kết nối.
- Proxy Ticket là một chuỗi ký tự ngẫu nhiên mà một service sử dụng như thông tin đăng nhập để truy cập vào một back-end service thay mặt cho client.
- Proxy ticket chỉ hợp lệ cho service identifier được chỉ định đến /proxy url khi chúng được sinh ra.
- Proxy ticket bắt đầu bằng “PT”.
Proxy-Granting Ticket (PGT).
- PGT được lấy từ CAS nhờ vào sự hợp lệ của service ticket hoặc proxy ticket. Nếu một service mong muốn proxy xác thực client đến một back-end service, nó yêu cầu một proxy-granting ticket.

Proxy-Granting Ticket IOU

Trên một ticket hợp lệ, một service có thể yêu cầu một proxy ticket. Trong CAS 2.0, cách chúng ta xác thực service được yêu cầu để gởi PGT, PGTIOU đến proxy callback url được chỉ định như một request parameter. Proxy callback url phải chạy thông qua kênh bảo mật. Chúng ta xác minh certificate của nó. Sau đó, trả về trong ticket hợp lệ, phản hồi TGTIOU. Từ response này, service sẽ rút TGTIOU và sử dụng nó để tìm TGT từ bộ nhớ.

Login Ticket

- Là một chuỗi ký tự, được sinh ra bởi /login, là một thông tin đăng nhập và được đưa đến /login.
- Mục đích là ngăn cản sử phản hồi lại thông tin xác thực.
- Login ticket được sinh ra bởi /login, phải là duy nhất và bắt đầu với “LT-”

Nguyên tắc hoạt động của CAS

Chứng thực người dùng với CAS server

-Người dùng nhập UserId / Password vào khung đăng nhập. Các thông tin này được truyền cho CAS server thông qua giao thức HTTPS là một giao thức bảo đảm dữ liệu được mã hóa trước truyền đi.
-Xác thực thành công, TGC được sinh ra và thêm vào trình duyệt dưới hình thức là cookie.TGC này sẽ được sử dụng để Single Sign On với tất cả các ứng dụng

Truy cập vào ứng dụng

-Người dùng truy cập vào ứng dụng khi đã chứng thực với CAS server.
oNgười dùng truy xuất ứng dụng thông qua trình duyệt.
oỨng dụng lấy TGC từ trình duyệt và chuyển nó cho CAS server thông qua giao thức HTTPS.
oNếu TGC này là hợp lệ, CAS server trả về một Service Ticket cho trình duyệt, trình duyệt truyền ST vừa nhận cho ứng dụng.
oỨng dụng sử dụng ST nhận được từ trình duyệt và sau đó chuyển nó cho CAS server.
oCAS server sẽ trả về ID của người dùng cho ứng dụng, mục đích là để thông báo với ứng dụng người dùng này đã được chứng thực bởi CAS server.
oỨng dụng đăng nhập cho người dùng và bắt đầu phục vụ người dùng.

Hình - Người dùng truy cập vào ứng dụng khi đã chứng thực với CAS server
-Người dùng truy cập vào ứng dụng mà chưa chứng thực với CAS server
oNgười dùng truy xuất ứng dụng thông qua trình duyệt. Vì chưa nhận được TGC nên ứng dụng sẽ chuyển hướng người dùng cho CAS server
oNgười dùng cung cấp UserId / Password của mình thông qua khung đăng nhập để CAS xác thực. Thông tin được truyền đi thông qua giao thức HTTPS
oXác thực thành công, CAS server sẽ trả về cho trình duyệt đồng thời TGC và ST
oỨng dụng sẽ giữ lại TGC để sử dụng cho các ứng dụng khác (nếu có) và truyền ST cho ứng dụng
oỨng dụng chuyển ST cho CAS server và nhận về ID của người dùng
oỨng dụng đăng nhập cho người dùng và bắt đầu phục vụ người dùng
Posted by at No comments:
Subscribe to: Posts (Atom)