Tích hợp OpenID và OAuth với CardSpace

Một phần của tài liệu Tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace (Trang 40 - 44)

Từ việc nghiên cứu , tìm hiều việc tích hợp OpenID với CardSpace , OAuth với CardSpace ở chương 2, chúng tôi đã đưa ra giao thức tích hợp giữa OpenID và OAuth mở rộng với CardSpace được thể hiện như trong Hình 3.1 và gốm các bước chính sau:

1. UA → RP: Người dùng yêu cầu một trang đăng nhập từ RP

2. RP → UA: Một trang đăng nhập được RP trả lại. Trang đăng nhập này có chứa những thẻ cho phép gọi CardSpace và những trường và chính sách bảo mật của RP cũng được nhúng vào trong trang đăng nhập của RP trả về.

3. Extension → UA: Chương trình tích hợp sẽ thực hiện các bước sau:

1. Extension kiểm tra trang đăng nhập mà RP trả về cho UA để phát hiện xem RP có hỗ trợ CardSpace hay không. Nếu RP có hỗ trợ thì chương trình tiếp tục xử lý còn nếu RP không hỗ trợ thì chương trình sẽ dừng lại. 2. Extension xem xét chính sách của RP để kiểm tra xem việc sử dụng thẻ

cá nhân có được chấp nhận hay không. Nếu có thì tiếp tục xử lý và nếu không thì cho CardSpace hoạt động bình thường.

3. Extension giữ lại các trường và những khai báo mà RP yêu cầu.

4. Extension chỉnh sửa chính sách của RP bao gồm kiểu của các trường được sử dụng trong IDCard. Ví dụ: nếu “OpenID identifier” của người dùng được lưu trữ trong trường “web page” của IDCard, thì sau đó Extension phải đảm bảo rằng chính sách bảo mật của RP sẽ có trường “web page”. Chú ý rằng việc thêm kiểu trường này vào chính sách RP để đảm bảo rằng token được cung cấp bởi SIIP có chứa những giá trị của những trường này mà có thể được xử lý bởi Extension

5. Extension khám phá ra giao thức mà RP sử dụng để giao tiếp là HTTP hay HTTPS.

4. Người dùng → UA: Trang đăng nhập của RP sẽ đưa ra gợi ý cho người dùng lựa chọn CardSpace. Việc lựa chọn này sẽ kích hoạt Selector nếu như thỏa mãn được các chính sách của RP.

5. Selector → InfoCards: Sau khi kiểm tra và thẩm định các chính sách của RP thì Selector sẽ hiển thị nổi bật những thẻ mà thỏa mãn với chính sách của RP. 6. Người dùng → Selector: Sau khi hiển thị những thẻ thỏa mãn với chính sách

của RP thì người dùng sẽ lựa chọn một thẻ cá nhân phù hợp nhất. Tuy nhiên, người dùng có thể tạo và chọn một thẻ cá nhân mới. Người dùng có thể chỉnh sửa những trường thông tin bên trong thẻ để sao cho thẻ được tạo ra thỏa mãn với những chính sách và yêu cầu của RP.

Hình 3.1: Giao thức tích hợp giữa OpenID và OAuth mở rộng với CardSpace 7. Selector ↔ SIIP: Selector sẽ tạo và gửi một yêu cầu token bảo mật SAML

(RST - Request Security Token) tới SIIP. Khi SIIP nhận được yêu cầu thì sẽ trả lại một RSTR (Request Security Token Response).

8. Selector → Extension/UA: Sau khi người sử dụng lựa chọn và gửi một OpenIDOAuthCard phù hợp, thì không giống như trường hợp chuẩn, RSTR sẽ không được gửi tới RP ngay, thay vào đó Extension sẽ chặn RSTR và tạm thời lưu trữ RSTR lại.

1. Nếu RP sử dụng HTTP: Extension sẽ sử dụng nội dung của RSTR để khởi tạo và xây dựng một yêu cầu xác thực OpenID, yêu cầu này sẽ được Extension chuyển tiếp tới một IdP phù hợp (địa chỉ IdP được khám phá và xác định từ RSTR). Yêu cầu xác thực OpenID này có nhúng thêm yêu cầu chấp nhận OAuth.

User Agent

Plug-in Selector

Yêu cầu SAML SAML phản hồi User gọi và Gửi một IDcard High ligh t ID Car d

HTTP yêu cầu trang đăng nhập RP trả lại trang đăng nhập (policy của

RP được nhúng vào trang đăng nhập) Plug-in xử lý và ngăn

chặn một SAML token User gọi CardSpace

Plug-in: Bắt SAML và nhúng OAuth approval vào OpenID auth request. Chuyển OpenID auth request tới IdP

OpenID auth response chứa access token Plug-in: Nhận thuộc tính user bằng

cách sử dụng access token Plug-in: Khởi tạo SAML token (RSTR + thuộc tính user)

Cho phép /từ chối user truy cập

Phân tích Thẩm định Quyết định (CardSpace - enable RP IdP Phân tích Auth user Ủy quyền

2. Nếu RP sử dụng HTTPS: Đầu tiên, Extension sẽ hỏi người dùng xem có muốn sử dụng giao thức tích hợp này hay không. Nếu người dùng không muốn sử dụng thì Extension sẽ dừng chương trình lại và cho phép CardSpace hoạt động bình thường. Nếu người dùng muốn sử dụng giao thức tích hợp này thì Extension sẽ hướng dẫn người dùng nhập vào URI của IdP. Sau khi người dùng đã nhập URI của IdP rồi thì Extension sẽ khởi tạo và xây dựng một yêu cầu xác thực OpenID, yêu cầu này sẽ được Extension chuyển hướng tới IdP (địa chỉ IdP này được xác định dựa vào URI mà người dùng cung cấp). Yêu cầu OpenID này có nhúng thêm yêu cầu chấp nhận OAuth.

9. IdP → Người dùng: IdP sẽ xác thực người dùng. Nếu xác thực không thành công thì chương trình sẽ kết thúc. Nếu IdP xác thực người dùng thành công thì sẽ đưa ra gợi ý cho người dùng về việc ủy quyền cho RP lấy và truy cập vào dữ liệu của người dùng trên IdP. Nếu người dùng đồng ý thì IdP sẽ gửi thẻ yêu cầu về cho RP.

10.RP ↔ IdP: RP sử dụng thẻ yêu cầu đã được người dùng ủy quyền để trao đổi lấy thẻ truy cập với IdP. Quá trình trao đổi này giống với quá trình trao đổi trong OAuth chuẩn. RP sử dụng những giá trị dưới đây để tạo yêu cầu thẻ truy cập:

 consumer key: RP sử dụng chung “consumer key” với IdP.

 consumer secret: RP sử dụng chung “consumer secret” với IdP.

 oauth token: RP sử dụng “request token” ở bước trước.

 oauth token secret: RP sử dụng một chuỗi trống.

 IdP thẩm định lại các giá trị mà RP gửi. Nếu thỏa mãn thì IdP sẽ gửi “access token” về cho RP.

11.Extension/UA → RP: Sau khi khôi phục các giá trị thuộc tính yêu cầu của người sử dụng từ IdP, Extension xây dựng một mã thông báo SAML giống như CardSpace và gửi nó tới RP. Một mã thông báo như vậy bao gồm các thuộc tính của người dùng mà được cung cấp bởi IdP và chữ ký số RSTR được SIIP phát ra (có chứa PPID).

12.RP → Người dùng: RP xác minh SAML token (bao gồm xác minh cả chữ ký RSTR, PPID, nonce, timestamp, …). Nếu thỏa mãn thì RP cho phép người dùng truy cập.

Dựa trên những nội dung và giao thức của OpenID, OAuth, OpenID và OAuth mở rộng mà luận văn đã tìm hiểu được thì việc sử dụng OpenID và OAuth mở rộng tích hợp với thẻ thông tin CardSpace có những ưu điểm so với chỉ sử dụng OpenID hoặc OAuth như sau:

Những ưu điểm của việc sử dụng OpenID và OAuth mở rộng với OAuth

 OAuth sử dụng cơ chế ba bước gồm: Bước 1 là RP lấy thẻ yêu cầu (request token) từ IdP, bước 2 là xác thực và xin quyền truy cập người dùng cho thẻ

yêu cầu, bước 3 là RP dùng thẻ yêu cầu để trao đổi thẻ truy cập (access token) từ IdP, khi có thẻ truy cập thì RP có thể truy cập vào dữ liệu người dùng. Trong khi đó, OpenID và OAuth mở rộng chỉ sử dụng với hai bước sau: Bước 1 là RP lấy thẻ yêu cầu mà đã có sự ủy quyền của người dùng từ IdP, bước 2, RP dùng thẻ yêu cầu để trao lấy thẻ truy cập từ IdP.

Giảm tương tác giữa RP và IdP : Trong OAuth, để RP có thể lấy được dữ liệu người dùng từ IdP phải trải qua ba bước. Còn khi sử dụng OAuth và OpenID mở rộng, chỉ cần trải qua 2 bước thì RP có thể lấy được dữ liệu của người dùng trên IdP. Từ đó, việc sử OAuth và OpenID mở rộng sẽ làm giảm tương tác giữa RP và IdP so với việc sử dụng OAuth.

Tăng hiệu năng của mô hình tích hợp với thẻ thông tin CardSpace: Từ mô hình, phương pháp tích hợp OAuth với CardSpace, OpenID và OAuth mở rộng với CardSpace thì chúng ta thấy việc xác thực và lấy thông tin người dùng khi sử dụng OpenID và OAuth mở rộng sẽ nhanh hơn so với việc sử dụng OAuth. Điều này xuất phát từ việc giảm thiểu số bước trao đổi thông tin giữa RP và IdP của OpenID và OAuth mở rộng so với OAuth.

Nhưng ưu điểm của việc sử dụng OpenID và OAuth mở rộng với OpenID

 Sử dụng OpenID chỉ là một cơ chế xác thực người dùng.

 Sử dụng OpenID và OAuth mở rộng vừa là cơ chế xác thực người dùng vừa l à cơ chế truy cập vào dữ liệu của người dùng.

Trong chương 3, luận văn đã trình bày chi tiết nội dung , giao thức OpenID và OAuth mở rộng, phân tích những ưu điểm của OpenID và OAuth mở rộng so với OpenID, OAuth. Từ đó đưa ra mô hình và phương pháp tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace.

Chương 4

THỰC NGHIỆM HỆ THỐNG

Chương này trình bày về phần thực nghiệm hệ thống cho mô hình , phương pháp mà luận văn đã đề xuất ở trong Chương 3.

Một phần của tài liệu Tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace (Trang 40 - 44)

Tải bản đầy đủ (PDF)

(55 trang)