Sistema centralizado de autenticación/autorización a través de terceros OAuth"

Transcripción

1 Sistema centralizado de autenticación/autorización a través de terceros OAuth" Ingeniería de Sistemas de Información! Grado en Ingeniería en Tecnologías de Telecomunicación" GSyC"

2 2012 Departamento GSyC, URJC" Algunos derechos reservados. Este trabajo se distribuye bajo la licencia Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License" 2012 Armando Armando Fox & David Patterson" Licensed under Creative Commons Attribution- NonCommercial-ShareAlike 3.0 Unported License" 2"

3 Sistema centralizado de autenticación/autorización a través de terceros OAuth (ELLS 7.2)"

4 Autenticación / Autorización" Autenticación: prueba que eres quien dices ser" Usuarios: Nombre de usuario + password secreta " Servidores: con certificado criptográfico firmado por una tercera parte de confianza" Autorización: prueba que tienes permiso para hacer lo que estás pidio" te tiene registrado el sistema como usuario con ciertos privilegios?" posees un token o una capability que te habilita para hacer algo?" 4"

5 Web 1.0" Cada sitio mantiene sus propias passwords" Muchos sitios no tienen APIs RESTful, por lo que tenías que identificarte ( log in )" No funciona con SOA" No puedes introducir interactivamente tu nombre de usuario y password en cada servicio, cada vez que lo usas" Solución deseable: single-sign-on (SSO)" Me autentico en un sitio en el que obtengo unas credenciales que utilizo para identificarme ante los demás" Pero no quieres revelar al servicio B toda la info que tiene de ti el sitio A, en particular la password! 5"

6 Autenticación mediante terceras partes" El servicio A conoce algo acerca de tu identidad" Te autenticas ante el servicio A, donde obtienes unas credenciales" Quieres aprovechar que ya te has autenticado ante el servicio A para acceder al servicio B, pero sin revelar las credenciales obtenidas en el Servicio A" Ejemplo de servicio B: aplicaciones Web como The New York Times o myrottenpotatoes" Servicio A: proveedor de autenticación (aunque puede además proporcionar otros servicios)" Auth only: OpenID, Kerberos" Auth + otros servicios: OAuth2 " Se puede utilizar con proveedores de autenticación como Twitter, Facebook, Google Apps, Microsoft Live, FourSquare, Paypal, Instagram, Netflix, GitHub, Soundcloud, " 6"

7 Token seguro e inviolable en OAuth2" La seguridad se basa en un Token seguro inviolable que genera el proveedor (servicio A) para cada pareja usuario / aplicación (servicio B)! Usando técnicas criptográficas el proveedor puede generar un string que:" Sólo el proveedor puede descrifrar" Puede detectar si ha sido alterado (tamper evident)" Nadie que no conozca la clave privada que guarda el proveedor para cada usuario puede haber creado ese string" Habitualmente el string sólo contiene un handle a la info interesante que almaceno en el servidor" Si el proveedor recibe el string sé que puedo confiar en el handle" El token tiene caducidad y se puede renovar" 7"

8 OAuth2 con Twitter y MyRottenPotatoes" 1. Login con Twitter de Sancho Panza 2. Redirección a la página de login de Twitter 3. Te fías de RottenPotatoes? MyRottenPotatoes 8"

9 Autenticación mediante terceras partes con Twitter y RottenPotatoes" 7. Bienvenido, Sancho Panza 5. Redirección a página callback de MyRottenPotatoespage pasándole el token de acceso 4. Sí, puedes darle mi info personal MyRottenPotatoes 6. Aquí te paso un token que prueba que tengo permiso para acceder a la info personal de este usuario, dámela (nombre y apellidos p.ej.) 9"

10 Implementación con RoR" Creamos un nuevo modelo, moviegoer, y una tabla, moviegoers, para representar a un usuario de nuestra app" Almacena las credenciales obtenidas por el usuario en twitter (u otros proveedores) cuando se ha autenticado. Credenciales == provider(twitter), id en twitter, nombre en twitter" Creamos un nuevo controlador de sesiones" El controlador gestiona la creación y eliminación de la sesión de los usuarios, e interactúa con el proveedor de autenticación" Una vez se haya autenticado un usuario, el usuario mantiene una sesión activa" Activa == mientras que en session[:user_id] esté su clava primaria en la tabla moviegoers no le hacemos autenticarse en cada interacción con nuestro servidor" Cuando hace logout eliminamos su sesión" delete session.delete(:user_id)" Usaremos la gema OmniAuth para interactuar con proveedores de autenticación (twitter)" ayuda proporcionando una API común para diferentes strategies (proveedores de autenticación como Twitter, Facebook, )" 10"

11 Ejemplo de uso de proveedor de autenticación twitter con la aplicación myrottenpotatoes (ELLS 7.2)"

12 Creamos aplicación en twitter" Da de alta tu aplicación myrottenpotatoes en twitter: Si no tienes cuenta en twitter créala antes desde esa misma página" Puedes seleccionar lo que la app podrá saber de la identidad de un usuario de twitter" Tienes que decir la url de tu aplicación a la que twitter tiene que redirigir al navegador en el paso 5 de la interacción entre twitter y tu aplicación: " Fíjate en el consumer key y comsumer secret que te genera, los necesitas para configurar la gema omniauth 12"

13 Configuramos la gema OmniAuth" Añadimos gema a Gemfile y corremos bundle install:" 'gem omniauth-twitter # las hay para facebook, Configuramos gema con consumer_key y consumer_secret obtenidos en twitter, en el fichero config/initializers/omniauth.rb Rails.application.config.middleware.use OmniAuth::Builder do provider :twitter, "consumer_key", "consumer_secret Creamos en config/routes.rb rutas de acciones para SessionsController" match 'auth/:provider/callback' => 'sessions#create' match '/logout' => 'sessions#destroy' match '/login' => 'sessions#login' 13"

14 Añadimos modelo para moviegoer Creamos el modelo y la migración: rails generate model Moviegoer name:string provider:string uid:string Corremos rake db:migrate: rake db:migrate Editamos el modelo: # Edit app/models/moviegoer.rb to look like this: class Moviegoer < ActiveRecord::Base include ActiveModel::MassAssignmentSecurity attr_accessible :uid, :provider, :name def self.create_with_omniauth(auth) Moviegoer.create!( :provider => auth["provider"], :uid => auth["uid"], :name => auth["info"]["name"]) 14"

15 Filtro para forzar a que se autentique el usuario que no tenga una sesión activa" Filtro aplicable a toda acción de la aplicación: class ApplicationController < ActionController::Base protect_from_forgery before_filter :set_current_user, :except => 'login' protected # prevents method from being invoked by a route def set_current_user # we exploit the fact that find_by_id(nil) returns = Moviegoer.find_by_id(session[:user_id]) redirect_to '/login' and return Si no tiene una sesión activa ( == no está su :user_id en session[]) tiene que autenticarse en twitter, para lo cuál le redirigimos a la página de login 15"

16 Controlador SessionController Create es la acción a la que twitter Redirige al browser en el paso 5, class SessionsController < ApplicationController en la que recibimos el token # user shouldn't have to be logged in before logging in! skip_before_filter :set_current_user def create auth = request.env["omniauth.auth"] user = Moviegoer.find_by_provider_and_uid(auth["provider"], auth["uid"]) Moviegoer.create_with_omniauth(auth) session[:user_id] = user.id redirect_to movies_path def destroy session.delete(:user_id) flash[:notice] = 'Logged out successfully.' redirect_to movies_path def login 16"

17 Vista(s) de login" En app/views/layouts/application.html.haml!!! 5 %html %head %title Rotten Potatoes! = stylesheet_link_tag 'application' = javascript_include_tag 'application' = csrf_meta_tags %body - if flash[:notice] #notice.message= flash[:notice] - elsif flash[:warning] #warning.message= flash[:warning] = rer :partial => 'sessions/login = yield sessions/_login.html.haml #login - %p.welcome Welcome, #{@current_user.name}! = link_to 'Log Out', logout_path - else %p.login= link_to 'Log in with your Twitter account', '/auth/twitter? force_login=true' touch sessions/login.html.haml "