👨🏾‍🚒 🌕 🧙🏽 Rutoken WEBを使用したAsp.netサイトでの認証 👵🏿 🚡 🦆

Rootoken WEBソリューションは、GOST R 34-10.2001に準拠した電子署名を使用してWebリソースの強力な認証を可能にします。この記事でアルゴリズムの詳細を読むことができます。ここでは、Asp.netを実行しているサイトでRutoken WEBを使用する現在のバージョンがどのように作成されるかを示し、アセンブリ手順を提供します。

すべてを機能させるのは本当に簡単です。

Rootoken WEBソリューションは、次のコンポーネントで構成されています。

USBトークンRootoken WEB（ドライバーのインストールは不要）
クライアントクロスプラットフォームマルチブラウザプラグイン
プラグインを操作するためのクライアントスクリプト
サーバーコンポーネント

ブラウザプラグインはここからダウンロードできます。サーバーコンポーネント、クライアントjavascriptを作成し、これらすべてを接続します。

認証アルゴリズム

プラットフォームに関係なく、ユーザーの認証には、サブジェクトの特定の識別子の提示、識別子の検証、およびアクセスに関する決定が含まれます。たとえば、パスワードを使用してログインを提示し、データベースのデータを確認し、成功した場合は認証Cookieを設定します。

この場合、識別子はクライアントで生成されたEDSになります。データ署名の正確性を検証します。検証に成功すると、認証は成功したと見なされます。一般に、古典的なハンドシェイクを使用します。

アルゴリズムの実装

準備。

サーバーが署名を検証するには、クライアントの公開鍵を知る必要があります。

したがって、まず、クライアントのキーペアを含むコンテナをRootoken WEBデバイスに作成し、公開キーとRootoken WEBデバイスの一意の識別子をサーバーに転送します。秘密鍵は取得できないため、デバイスから離れません。

また、コンテナをとにかく呼び出すのではなく、スキーム{login}＃％＃{sitename} {port}に従っています。たとえば、yandex @ gmail.com＃％＃dotnet.rutokenweb.ru:80。この名前は、トークン上のログインのリストを表示するときに将来使用されます。

サーバーで、公開キーとトークンのIDを取得し、既存のクライアントにバインドします。誰がアクセスしようとするかを知る必要があります。

準備フェーズが完了し、顧客を認証できます。

認証

クライアントは、認証が必要な識別子とサインを含むリクエストをサーバーに送信します。
サーバーは、文字列などのランダムデータを生成します。データをハッシュし、セッションで記憶し、クライアントに送信します。このデータをs1と呼びます。
クライアントはデータのハッシュを受け取り、そのランダムデータ（s2）を生成し、行の合計のハッシュを生成し、このハッシュに署名します（デジタル署名を取得します）。次に、クライアントは、生成したデータ（s2）と行の合計のデジタル署名をサーバーに送信します。
サーバーは、ランダムクライアントデータ（s2）とEDSを受信し、同様にランダムクライアントデータ（s2）とサーバーによって最初に生成されたデータ（s1）の合計のハッシュを生成します。
その結果、サーバーにはデータ（ハッシュs1 + s2）とこのデータの署名があります。署名が正しいことを確認するためだけに残ります。

C＃実装例

私の場合、Rootoken WEBの認証は3つのサイトにねじ込まれなければなりませんでした。そのうち2つはフォーム認証を使用し、もう1つはWindows Identity Foundationで動作し、認証にSTSサービスを使用します。 3つのサイトはすべてWebFormsを使用しています。

必要な機能、実際には2つのコントロールを備えたWebControlを作成しましょう。 1つは認証に使用され、もう1つはRootoken WEBバインディングの管理に使用されます（たとえば、個人アカウントで）。

サーバーリクエストはすべて、完全なポストバックなしのajaxリクエストになります。したがって、必要な要素とJavaScriptをページに表示するには、概してコントロールが必要であり、httpHandlerがajaxリクエストの処理を処理します。彼はクライアントにローカライズされたjavascriptを提供します。

そして最後に、コントロールとハンドラーは、 ITokenProcessorインターフェイスを実装するオブジェクトを使用してサイトの残りの部分と対話します。ITokenProcessorインターフェイスでは、ソリューションに必要な特定の各サイトに固有のメソッドが宣言されます。たとえば、公開鍵の取得、ユーザー名の取得など。

概略的には、すべて次のようになります。

すでに述べたように、認証の準備は、プライベートおよびパブリックキーを使用したRutokenでのWEBコンテナの形成と、ユーザーアカウントへのデータバインディングを使用した公開キーとトークンのIDのサーバーへの転送に限定されます。この操作は認証されたユーザーが利用できる必要があり、機能を備えたコントロール自体は、たとえば個人アカウントに配置できます。管理という珍しい名前のコントロールがこれを処理し、ログインという名前のコントロールが認証プロセスを処理します。

HttpHandlerの実装

ハンドラーのタスク：

1. Rutoken WEBでajaxクライアントリクエストを処理します。

ハンドラーは、既知のヘッダー（ 'X-Requested-With'、 'XhrRutoken'）を持つajaxリクエストのみを処理します。

リクエストを解析するためのクラス（CMessageRequest）とレスポンスを生成するためのクラス（CMessageResponse）を作成しましょう。リクエストに応じて、クラスのインスタンスを作成してリクエストを解析し、ハンドラのメンバーに割り当てます。構文解析はコンストラクターで行われます。

_mRequest = new CMessageRequest(context);

リクエストでは、メソッドの名前が送信され、見つかった場合はリフレクションによって起動されます。

 GetType().InvokeMember(_mRequest.act, BindingFlags.InvokeMethod, null, this, new object[] {});

メソッドでは、リクエストが処理され、その結果、クラスのインスタンスとレスポンスが作成されます。最後に、応答はjsonでシリアル化され、Responseに渡されます。

2.ローカライズされたJavaScriptをページに渡します。

このようにページにJavascriptが追加されます-

 <script src=" /RutokenWebSTS/rutokenweb/ajax.rtw?getRutokenJavaLocal=1" type="text/javascript"></script>

マークアップは制御を提供します（詳細は以下を参照）。 getRutokenJavaLocal = 1のリクエストの場合、再びハンドラーを使用し、今回はjavascriptを返します。

すべてのJavaScriptは、埋め込みリソースとしてアセンブリに追加されます。リソースを追加するだけに制限される場合があります。最初はそうだった。しかし、その後、顧客がホワイトアラビアから現れ、ローカライズの可能性を望みました。そのため、次のように、単純ではなく、ゴールドのローカライズバージョンを追加します。

  private void SendLocalizeScript() { using (Stream stream = Assembly.GetExecutingAssembly().GetManifestResourceStream( "RutokenWebPlugin.javascript.tokenadmin.js")) { if (stream != null) { var reader = new StreamReader(stream); HttpContext.Current.Response.Write(Utils.LocalizeScript(reader.ReadToEnd())); } } }

LocalizeScriptは、すでにローカライズされたバージョンのスクリプトを返します。このバージョンでは、スクリプトを解析して必要な行を返し、すべてのLOCALIZEエントリ（resource_key）をRutokenLocalText.resxリソースファイルの行に置き換えます。

 private static Regex REGEX = new Regex(@"LOCALIZE\(([^\))]*)\)", RegexOptions.Singleline | RegexOptions.Compiled); … public static string LocalizeScript(string text) { var matches = REGEX.Matches(text); foreach (Match match in matches) { string strResourceStringID = match.Groups[1].Value; string str = (string)HttpContext.GetGlobalResourceObject("RutokenLocalText", strResourceStringID) ?? strResourceStringID; text = str != strResourceStringID ? text.Replace(match.Value, MakeValidString(str)) : text.Replace(match.Value, string.Format("'LOCALIZE.{0}'", str)); } return text; }

リソースは例のソースコードにあります。

ITokenController

コントロールとハンドラーは、ITokenControllerインターフェイスを介してサイト/アプリケーションと対話します。インターフェイスメソッドはソースコードで詳しく説明されています。サイト固有の機能を実装します。たとえば、キーの取得/保存、ユーザー名の取得など。

すべてが機能するには、このインターフェイスを実装するオブジェクトを制御メソッドに渡す必要があります。次に例を示します。

 class CustomTokenProcessor : ITokenProcessor ... // tokenLogin -  tokenlogin.SetRequired(new CustomTokenProcessor(), returnurl);

メソッドは実際にセッションにオブジェクトを配置します

  public void SetRequired(ITokenProcessor processor, string successurl) { var session = HttpContext.Current.Session; if (session != null) { if (session["TokenProcessor"] == null) { session["TokenProcessor"] = processor; } session["SuccessUrl"] = successurl; } }

そして、オブジェクトはハンドラーで利用可能になります。

ハンドラーは、認証が成功するとトリガーされるOnSuccessAuthイベントも使用します。さらに、イベントは、ハンドラーではなく、コントロールでサブスクライブできます。これは、イベントに追加されたメソッドでセッションにアクセスできるようにするために行われます。この場合、セッションオブジェクトはメソッドに渡されます

 if ((OnSuccessAuth = (EventHandler) _mContext.Session["OnSuccessAuth"]) != null) { OnSuccessAuth(_mContext.Session, new EventArgs()); _mContext.Session["OnSuccessAuth"] = null; }

そしてメソッドでは、このようなセッションを取得します

  private void tokenlogin_OnSuccessAuth(object sender, EventArgs e) { HttpSessionState session = (HttpSessionState) sender; if (session != null) { //   session["dssVerify"] = true; } }

コントロールの実装。

最初に、両方のコントロールの親を作成します。主なタスクは次のとおりです。

1.テンプレートを設定する機能を提供する

そうする

 [TemplateContainer(typeof (AdministrationData)), TemplateInstance(TemplateInstance.Single)] public virtual ITemplate Template { get; set; }

2. Rutoken WEBを操作するためのオブジェクトをページに追加する

ブラウザープラグインの操作は、特別に宣言されたオブジェクトでメソッドを呼び出すことになります。次の形式で宣言されます。

 <object id="cryptoPlugin" type="application/x-rutoken" width="0" height="0"></object>

onLoadコントロールでこれを行うには

  private void EnsureRutokenPlugin() { var rtObject = new HtmlGenericControl("object") {ClientIDMode = ClientIDMode.Static, ID = JStokenObjectID}; rtObject.Attributes.Add("type", "application/x-rutoken"); rtObject.Attributes.Add("width", "0"); rtObject.Attributes.Add("height", "0"); var rtParam = new HtmlGenericControl("param") {TagName = "onload"}; rtParam.Attributes.Add("value", "pluginit"); rtObject.Controls.Add(rtParam); //          bool bControlAdded = false; if (Page.Form == null) { throw new Exception("define 'Form' tag on page!"); } foreach (PlaceHolder control in Page.Form.Controls.OfType<PlaceHolder>()) { (control).Controls.Add(rtObject); bControlAdded = true; break; } if (!bControlAdded) { throw new Exception("define an empty 'PlaceHolder' tag after the tag 'Form'"); } //   Utils.IdToJavaScript(rtObject, JScontrolVar, "token", Page); //    Page.ClientScript.RegisterStartupScript(typeof(Control), "settings", string.Format("{0}.settings = {{}}; {0}.settings.mainurl = '{1}/rutokenweb/ajax.rtw';", JScontrolVar, HttpContext.Current.Request.ApplicationPath) , true); }

ここには1つの機能があります。プラグインオブジェクトは、display：none;の隠し要素に入れないでください。たとえば、その後、仕事を拒否します。そして、PlaceHolderに投稿します。これは、コントロールと共にメインページで具体的に発表します。マスターページが使用されている場合は、その上で、Formタグの直後に。

  <form id="form1" runat="server"> <asp:PlaceHolder ID="tokenPlaceHolder" runat="server"></asp:PlaceHolder>

これにより、非表示ページ要素内のトークンオブジェクトの意図しないヒットを回避できます。

今、私たちはコントロールの実装に従事します-相続人。 1つはトークン管理用、もう1つはクライアント認証用です。コントロールはテンプレート化されているため、ページにマークアップを設定する必要があり、特定の名前を持つ特定のマークアップ要素がテンプレートに存在する必要があります。ボタン、ラベルなど可用性はコードでチェックされます。

両方のコントロールで、CreateChildControlsをオーバーライドします。

 protected override void CreateChildControls() { if (Template != null) //   { Controls.Clear(); administrationData = new AdministrationData(); Template.InstantiateIn(administrationData); ...

さらにメソッドでは、ボタン、テーブルなどを見つけ、必要に応じてそれらのプロパティを公開します。たとえば、トークンバインドボタン：

 var rtwConnect = (Button)administrationData.FindControl("rtwConnect");

また、ページに変数を追加します-グローバルJavaScript変数$ grd_ctrlsのプロパティとして、これらのdomオブジェクトへのポインター

 IdToJavaScript(rtwConnect, JScontrolVar, "rtwConnect", Page); public static void IdToJavaScript(Control ctrl, string jsvar, string field, Page page) { page.ClientScript.RegisterStartupScript(typeof (Control), field, jsvar + "." + field + " = rtwGID('" + ctrl.ClientID + "'); ", true); }

合計すると、必要なマークアップとこれらのマークアップ要素へのリンクが$ grd_ctrlsのプロパティとして用意されます。

制御パターンを考慮してください。

運営

このコントロールのマークアップはかなり面倒です。しかし、すべてのデータはそこにあります。

 <token:Administration ID="backoffice" runat="server" Port="12345"> <template> <label> :</label> <asp:GridView runat="server" ID="rtwEnable" CssClass="OrdersGr" AutoGenerateColumns="False" GridLines="None" ShowHeaderWhenEmpty="False"> <EmptyDataTemplate>    </EmptyDataTemplate> <Columns> <asp:TemplateField HeaderText="Token Id"> <ItemTemplate> <%# ((uint)Container.DataItem) %> </ItemTemplate> </asp:TemplateField> <asp:TemplateField HeaderText=""> <ItemTemplate> <asp:Label ID="rtwEnabledToken" runat="server"></asp:Label> </ItemTemplate> </asp:TemplateField> <asp:TemplateField HeaderText=""> <ItemTemplate> <asp:Button runat="server" ID="rtwEnableSwitch" OnClientClick="return false;"/> <asp:Button ID="rtwRemove" runat="server" Text=" " OnClientClick="return false;" ClientIDMode="Predictable"/> </ItemTemplate> </asp:TemplateField> </Columns> </asp:GridView> <br /> <label>   Web:</label> <asp:Button ID="rtwConnect" runat="server" Text=" "/> <br /> <asp:Image ID="rtwAjaxImg" runat="server" ImageUrl="~/ajax_loader.gif" /> <br /> <asp:Label ID="rtwErrorMessage" runat="server" CssClass="errLabel" /> <asp:Label ID="rtwMessage" runat="server" CssClass="status ok" /> </template> </token:Administration>

原則として、ここでは、トークン、バインド、アンタイイング、およびトークンの切り替えのためのボタン、および情報メッセージとエラーメッセージ用の2つのスパンを持つテーブルのみです。

トークンテーブルのデータは、ITokenController GetUserTokensインターフェイスメソッドによって提供されます

  // List<uint> GetUserTokens(string login); rtwEnable.DataSource = m_tokenProcessor.GetUserTokens(m_tokenProcessor.GetUserName()); rtwEnable.DataBind();

ログイン、記憶

認証またはアクセス回復の制御。 トークンを使用せずに復旧することができます。RootokenWEBカードに記載されているログインおよび復旧コードを入力する必要があります（トークンが付属）

ログインマークアップの例：

 <aktivlogin:Login ID="tokenlogin" runat="server" LoginType="Login"> <Template> <asp:Literal ID="rtwUsers" runat="server" /> <asp:Label ID="rtwErrorMessage" runat="server" CssClass="rutoken error" style="display: block; color: #c00;" /> <asp:Label ID="rtwMessage" runat="server" CssClass="rutoken message" style="display: block; color: green;" /> <asp:Button ID="rtwLogin" runat="server" OnClientClick="return false;" Text="" style="margin-top:12px;" /> <asp:Image ID="rtwAjaxImg" runat="server" ImageUrl="~/ajax_loader.gif" /> </Template> </aktivlogin:Login>

Literalのようなコントロールがあり、結果としてselectを生成します。 DropDownListを使用することもできますが、javascriptのトークンにログインのリストを追加し、ポストバックがある場合、ページのEventValidationを誓います。オフにしないために、自分で選択して描画します。

 rtwUsers.Text = "<select id=\"rtwUsers\"></select>";

アクセスリカバリパーティションの例：

 <aktivlogin:Login ID="tokenlogin" runat="server" LoginType="Remember"> <Template> : <asp:TextBox ID="rtwRepairUser" runat="server" /><br />  : <asp:TextBox ID="rtwRepair" runat="server" /><br /> <asp:Label ID="rtwErrorMessage" runat="server" style="display: block; color: #c00;" /> <asp:Label ID="rtwMessage" runat="server" style="display: block; color: green;" /> <asp:Button ID="rtwRepairBtn" runat="server" OnClientClick="return false;" Text="" style="margin-top:12px;" /> <asp:Image ID="rtwAjaxImg" runat="server" ImageUrl="/ajax_loader.gif" /> </Template> </aktivlogin:Login>

ご覧のとおり、LoginType = LoginまたはRememberを示すことで異なります。

Javascript

メインのjavascriptはtokenadmin.jsにあり、ハンドラーによって処理されます。スクリプトは、ユーザーインターフェイス要素、プラグイン、サーバーを接続します。

インターフェイス要素は、グローバル変数$ grd_ctrlsのプロパティにバインドされています。コントロールコードでバインドし、page.ClientScript.RegisterStartupScriptを使用してページに変数を配置します。プラグインオブジェクトは$ grd_ctrls.tokenです。

Tokenadmin。次に、コールバックを使用してユーザーリクエストの処理を行います。たとえば、認証中に、スクリプトは最初にトークン上のすべてのログインを読み取り、それらを選択（rtwUsers）に追加します。

 var containerCount = g.token.rtwGetNumberOfContainers(); for (i = 0; i < containerCount; i++) { var contName = g.token.rtwGetContainerName(i); g.rtwUsers.options[i] = new Option(contName.replace("#%#", " - "), contName); }

ユーザーは目的のログインを選択し、「ログイン」ボタンを押します。

rndコマンドとトークンIDを使用してサーバーにリクエストを送信します。すべてが正常であれば、次の形式のjsonを取得します。

{「テキスト」：「94156e9a6642d42a47fc94c6f4b1b8c000dab4bfd24f321f5976e4d3a5a4e994」、「タイプ」：「通知」}

これはサーバーで生成されたシーケンスであり、アルゴリズムに従って、ランダムデータを追加する必要があります。コールバック関数はこのデータを生成し、サーバーが送信したものと連結し、ブラウザープラグインのハッシュとサインを考慮します。データの署名にはPINコード入力が必要です。ユーザーがピンを入力します。すべてが正常で、ピンが正しい場合、署名とランダムデータをサーバーに送信します。サーバーは文字列を連結し、署名を検証します。署名が正しい場合、答えが得られます。

{「テキスト」：「True」、「タイプ」：「通知」、「URL」：「\ / RutokenWebSTS \ / Admin \ /」}

認証Cookieが回答と共に提供されるため、送信されたURLにユーザーをリダイレクトします。認証に合格しました。

署名検証

私はすべての暗号化を別個のdllで取り出しました。 3つの方法は外見です。

ランダムハッシュ生成
文字列ハッシュ計算
署名の検証

このアセンブリのみを使用して、認証アルゴリズムの実装を作成できます。

そして最後に、短いアセンブリ命令。

（.net 4.0、iis 7.5でテスト済み）

1. RutokenWebPlugin.dllおよびRutoken.dllアセンブリをプロジェクトに追加します

2. Web.configにhttpHandlerを追加します

  <system.webServer> <handlers> <add name="AjaxHandler" path="/RutokenWebSTS/rutokenweb/ajax.rtw" verb="*" type="RutokenWebPlugin.TokenAjaxHandler" resourceType="Unspecified" requireAccess="Script" preCondition="integratedMode" /> </handlers> </system.webServer>

パスは「/rutokenweb/ajax.rtw」で終わる必要があります。上記の例のように、サイト/アプリケーションが仮想ディレクトリにインストールされている場合は、それをパスに含めます。

必要に応じて、すべてのユーザーがハンドラーを利用できるようにする必要があります

  <location path="rutokenweb"> <system.web> <authorization> <allow users="*" /> </authorization> </system.web> </location>

3. ITokenProcessorインターフェースを実装します

  public class CustomTokenProcessor : ITokenProcessor { …..

最も重要な瞬間、コメント付きの実装例はソースにあります

4.トークン管理（個人アカウント）の制御を追加します

 <%@ Register TagPrefix="token" Namespace="RutokenWebPlugin" Assembly="RutokenWebPlugin" %>

コントロールテンプレート（テンプレートの例は記事にありました）

 <token:Administration ID="backoffice" runat="server" Port="12345" > <Template> …..

アプリケーションがポート80で動作しない場合、ポートを示します。

5.管理コントロールの分離コードで、ITokenProcessorを実装するオブジェクトを追加します

  protected override void OnInit(EventArgs e) { base.OnInit(e); // CustomTokenProcessor : ITokenProcessor var processor = new CustomTokenProcessor(); //        backoffice.TokenProcessor = processor; //     backoffice.SetRequired(processor, "/"); }

6.認証の制御をログインページに追加する

 <%@ Register TagPrefix="aktivlogin" Namespace="RutokenWebPlugin" Assembly="RutokenWebPlugin" %>

およびそのテンプレート

  <aktivlogin:Login ID="tokenlogin" runat="server" SuccessUrl="http://localhost/Secured/" LoginType="Login"> <Template> …….

8.ログインのある分離コードコントロールで、ITokenProcessorを実装するオブジェクトを追加します

 protected override void OnInit(EventArgs e) { base.OnInit(e); // returnurl  ,      tokenlogin.SetRequired(new CustomTokenProcessor(), returnurl); }

その後、トークンによるログインが認証ページに表示され、個人アカウントでトークンを管理する機会があります-アカウントにバインドし、アクティビティを切り替えます。何をする必要があったか。

与えられた例はあなたのニーズに合わせて変更することは難しくありません。あるいは、署名検証でライブラリを使用し、最初からすべてを行うことができます。

テストサイトとデータベースのスクリプトを含むサンプルのソースは、ここからダウンロードできます。

Rutoken WEBを使用したAsp.netサイトでの認証