![\"\"](\"http:\/\/blogs.encamina.com\/piensa-en-software-desarrolla-en-colores\/wp-content\/uploads\/sites\/21\/2018\/05\/C\u00f3mo-securizar-tus-apps-con-Indentity-Server-1.jpg\")
<\/p>\n<\/p>\n
Muchas veces recurrimos a servicios en el Cloud para mejorar nuestros desarrollos<\/strong>, uno de los que m\u00e1s se utiliza es es el\u00a0 Azure Active Directory<\/strong>. No obstante, hay situaciones en las \u00e9ste servicio no se adapta a los requerimientos del cliente, bien porque todav\u00eda no ha migrado a la Nube,<\/strong> o bien porque tiene el software en sus infraestructuras.<\/p>\n Hoy veremos un sistema que se encarga de autenticar, autorizar y securizar tanto las aplicaciones como los usuarios en nuestros desarrollo. La soluci\u00f3n se llama Identity Server.<\/strong><\/p>\n <\/p>\n Son pocos los casos en los que no encaja (desde el punto de vista t\u00e9cnico), pero tambi\u00e9n tenemos que considerar a esa empresa que\u00a0 quiere que el dominio de su p\u00e1gina de Login sea www.suempresa.com<\/em> y no\u00a0 www.suempresa.microsoft.com<\/em>\u00a0con redirecci\u00f3n a un sitio fuera de sus infraestructuras…<\/p>\n Para estos casos, solemos recurrir a un sistema de autenticaci\u00f3n propio para dicha aplicaci\u00f3n.<\/p>\n No obstante, esta soluci\u00f3n tiene un problema. Conforme se van desarrollando m\u00e1s aplicaciones, cada una de ellas tiene un sistema de usuarios propio (o en el mejor de los casos est\u00e1 centralizado la tabla de usuarios). Otro de los problemas es que para dar permisos a aplicaciones de terceros, se suele dar de alta esta aplicaci\u00f3n como un usuario m\u00e1s de la misma,\u00a0 y cualquiera con pocas nociones de hacking podr\u00eda acceder sin mucha dificultad.<\/p>\n Entonces \u00bfc\u00f3mo podemos estandarizar este proceso y tener un \u00fanico sistema que se encargue de autenticar, autorizar y securizar tanto las aplicaciones como los usuarios en nuestros desarrollo?<\/em>. La soluci\u00f3n se llama Identity Server.<\/strong><\/p>\n Identity Server podemos definirlo como la parte que se encarga de gestionar las identidades en nuestros desarrollos. De la misma forma se encarga de implementar los protocolos comunes, tener nuestras aplicaciones seguras y seguir los est\u00e1ndares m\u00e1s comunes: OpenId y OAuth2.0.<\/p>\n Vamos a crearnos una soluci\u00f3n .NET Core-> Con el proyecto Vac\u00edo. Tal y como se muestra en la siguiente pantalla:<\/p>\n Nota:<\/strong> el seleccionar el proyecto vac\u00edo es debido a que como ASP NET Core es muy modular, podemos seleccionar qu\u00e9 cosas vamos a utilizar. De esta forma evitamos tener en nuestra soluci\u00f3n elementos que no se van a utilizar, mejorando el tama\u00f1o de nuestra soluci\u00f3n y evitando errores ajenos a nuestra aplicaci\u00f3n.<\/p>\n Un vez tenemos el proyecto creado, a\u00f1adiremos el Nuget de Identity Server.<\/p>\n Los creadores de esta proyecto tambi\u00e9n han publicado otros paquetes de Nuget, para utilizar EntityFramewok, AspNET Identiy y un validador de Token entre otros. M\u00e1s adelante veremos en qu\u00e9 casos los podemos utilizar.<\/p>\n El primer paso es identificar qu\u00e9 Resources vamos a securizar. Podemos definir\u00a0 dichos \u00abRecursos\u00bb como por ejemplo \u00abAPI Empleados\u00bb, \u00abAPI Customers\u00bb etc..\u00a0 Para ello, en nuestro Identity Server deberemos hacer uso del objeto APIResources. Creamos\u00a0 una clase Config.cs con el siguiente c\u00f3digo:<\/p>\n A continuaci\u00f3n crearemos los \u00abclientes\u00bb que van a consumir dicha API. Pensad, por ejemplo, en la Aplicaci\u00f3n MyEncamina . D<\/a>entro de esta aplicaci\u00f3n hay una parte donde se muestra la informaci\u00f3n de los empleados de ENCAMINA. Por este motivo crearemos el siguiente m\u00e9todo:<\/p>\n Dependiendo del tipo de acceso hay que pasar credenciales, o bien un client secret, esto ser\u00eda similar a lo que en Azure Active Directory hacemos (ya sea montar una autenticaci\u00f3n por usuario o autenticar una aplicaci\u00f3n). Ya veremos ambos casos, en este caso lo que vamos a autenticar es una aplicaci\u00f3n, a pesar de que sea una aplicaci\u00f3n en la que no hace falta el login, tampoco es de recibo tener una API abierta a todo el mundo y que la pueda consumir \ud83d\ude42<\/p>\n Una vez ya hemos implementado los Resources, vamos a securizar y definir qu\u00e9 clientes vamos a tener. El siguiente paso es configurar en el arranque de nuestra aplicaci\u00f3n el middleware correspondiente de Identity Server. Para ello en el Startup.cs tenemos que poner lo siguiente:<\/p>\n Si ahora arrancamos nuestra aplicaci\u00f3n y nos posicionamos en la siguiente URL\/: .well-known\/openid-configuration, nos mostrar\u00e1 si tenemos correctamente configurado nuestro Identity Server, as\u00ed como los endPoints disponibles y los Resources que va a tener. Como pod\u00e9is ver, ya tenemos nuestros \u00abresources\u00bb:<\/p>\n Una vez ya tenemos nuestro servidor de Identity Server funcionando y listo, vamos a indicarle a nuestra API que se autentifique contra \u00e9l. Para ello lo que vamos a hacer en primer lugar, es crear una WebAPI de .NET Core. Dentro de \u00e9sta a\u00f1adiremos el paquete de Nuget IdentityServer4.AccessTokenValidation y dentro de nuestro proyecto a\u00f1adiremos el siguiente c\u00f3digo en el Startup:<\/p>\n Una vez hemos indicado que nuestra API va a tener autenticaci\u00f3n y que estar\u00e1 delegada en nuestro servidor de autenticaci\u00f3n, tenemos que poner en nuestro controlador al atributo Autorize. En nuestro caso puede quedar un c\u00f3digo como el siguiente:<\/p>\n Para consumir nuestra API lo que tendremos es obtener un token seg\u00fan el estandar OAuth2.0. Para ello tenemos dos opciones:<\/p>\n 1.- Una aplicaci\u00f3n en .NET a\u00f1adiendo un paquete Nuget que nos abstrae de esta comunicaci\u00f3n. En mi caso prefiero la segunda opci\u00f3n (y as\u00ed tener el conocimiento de lo que est\u00e1 ocurriendo y ver el flujo de autenticaci\u00f3n). Para obtener el Token hay que hacer una petici\u00f3n POST a nuestro servidor de Identity Server en la endpoint \/connect\/token y pasarle en el cuerpo de la petici\u00f3n el ClientID, el Client Secret y el Scope. Hemos visto c\u00f3mo poder utilizar una autenticaci\u00f3n simple en nuestros desarrollos sin necesidad de implementar nada.<\/p>\n Ahora que ya hemos empezado a utilizar Identity Server, vamos a empezar a sacarle todo su jugo, es decir, vamos a a\u00f1adir c\u00f3mo autenticar usuarios mediante usuario y contrase\u00f1a, y c\u00f3mo podemos construir nuestras API’s empresariales y\u00a0 separarlas de una forma similar a la API Graph.<\/p>\n \u00c9ste ejemplo lo pod\u00e9is descargar desde nuestro repositorio de GitHub<\/a> <\/p>\n<\/span>","protected":false},"excerpt":{"rendered":" Muchas veces recurrimos a servicios en el Cloud para mejorar nuestros desarrollos, uno de los que m\u00e1s se utiliza es es el\u00a0 Azure Active Directory. No obstante, hay situaciones en las \u00e9ste servicio no se adapta a los requerimientos del … Continue reading ![\"\"](\"http:\/\/blogs.encamina.com\/piensa-en-software-desarrolla-en-colores\/wp-content\/uploads\/sites\/21\/2018\/05\/protocols.png\")
<\/p>\n\u00bfC\u00f3mo empezamos a utilizar Identity Server?<\/strong><\/h3>\n
![\"Proyecto](\"http:\/\/blogs.encamina.com\/piensa-en-software-desarrolla-en-colores\/wp-content\/uploads\/sites\/21\/2018\/05\/crearproyecto-1024x676.jpg\")
<\/p>\n![\"nuget](\"http:\/\/blogs.encamina.com\/piensa-en-software-desarrolla-en-colores\/wp-content\/uploads\/sites\/21\/2018\/05\/nuget-1024x265.jpg\")
<\/p>\n\r\n public class Config\r\n {\r\n public static IEnumerable<ApiResource> GetApiResources()\r\n {\r\n return new List<ApiResource>\r\n {\r\n new ApiResource("APICustomer", "API de los customers de ENCAMINA"),\r\n new ApiResource("APIEmployee", "API de los empleados de ENCAMINA")\r\n };\r\n }\r\n }\r\n<\/pre>\n\r\npublic static IEnumerable<Client> GetClients()\r\n {\r\n return new List<Client>\r\n {\r\n new Client\r\n {\r\n ClientId = "MyEncamina",\r\n \/\/ no interactive user, use the clientid\/secret for authentication\r\n AllowedGrantTypes = GrantTypes.ClientCredentials,\r\n \/\/ secret for authentication\r\n ClientSecrets =\r\n {\r\n new Secret("++++++".Sha256())\r\n },\r\n \/\/ scopes that client has access to\r\n AllowedScopes = { "APIEmployee" }\r\n }\r\n };\r\n }\r\n<\/pre>\n\r\n public void ConfigureServices(IServiceCollection services)\r\n {\r\n services.AddIdentityServer()\r\n .AddDeveloperSigningCredential()\r\n .AddInMemoryApiResources(Config.GetApiResources())\r\n .AddInMemoryClients(Config.GetClients());\r\n }\r\n \/\/ This method gets called by the runtime. Use this method to configure the HTTP request pipeline.\r\n public void Configure(IApplicationBuilder app, IHostingEnvironment env)\r\n {\r\n if (env.IsDevelopment())\r\n {\r\n app.UseDeveloperExceptionPage();\r\n }\r\n app.UseIdentityServer();\r\n app.Run(async (context) =>\r\n {\r\n await context.Response.WriteAsync("Hello World!");\r\n });\r\n }\r\n<\/pre>\n![\"OpenID\"](\"http:\/\/blogs.encamina.com\/piensa-en-software-desarrolla-en-colores\/wp-content\/uploads\/sites\/21\/2018\/05\/OpenID-1007x1024.jpg\")
<\/p>\nA\u00f1adiendo a nuestra API el uso de Identity Server<\/h2>\n
\r\n public void ConfigureServices(IServiceCollection services)\r\n {\r\n services.AddMvcCore()\r\n .AddAuthorization()\r\n .AddJsonFormatters();\r\n\r\n services.AddAuthentication("Bearer")\r\n .AddIdentityServerAuthentication(options =>\r\n {\r\n options.Authority = "http:\/\/localhost:1907";\r\n options.RequireHttpsMetadata = false;\r\n\r\n options.ApiName = "APIEmployee";\r\n });\r\n }\r\n\r\n \/\/ This method gets called by the runtime. Use this method to configure the HTTP request pipeline.\r\n public void Configure(IApplicationBuilder app, IHostingEnvironment env)\r\n {\r\n if (env.IsDevelopment())\r\n {\r\n app.UseDeveloperExceptionPage();\r\n }\r\n app.UseAuthentication();\r\n app.UseMvc();\r\n }\r\n<\/pre>\n\r\n [Route("api\/[controller]")]\r\n [Authorize]\r\n public class EmployeeController : Controller\r\n {\r\n private IEnumerable<Employee> Employee;\r\n public EmployeeController()\r\n {\r\n var fakeEmployee = new Faker<Employee>()\r\n .RuleFor(x => x.LastName, x => x.Person.LastName)\r\n .RuleFor(x => x.Name, x => x.Person.FullName)\r\n .RuleFor(x => x.Country, x => x.Person.Address.City)\r\n .RuleFor(x => x.Email, x => x.Person.Email);\r\n this.Employee= fakeEmployee.Generate(10);\r\n\r\n }\r\n [HttpGet]\r\n public IEnumerable<Employee> Get()\r\n {\r\n return this.Employee;\r\n }\r\n\r\n [HttpGet("{id}")]\r\n public Employee Get(int id)\r\n {\r\n return this.Employee.ToList().Where(x => x.Id == id).FirstOrDefault();\r\n }\r\n }\r\n<\/pre>\n\u00bfC\u00f3mo consumimos nuestra API?<\/strong><\/h2>\n
\n2.- Mediante una aplicaci\u00f3n tipo Postman, Fiddler en la que le enviamos las peticiones y bajamos a un nivel inferior.<\/p>\n
\nEsto por ejemplo, haciendo uso de un herramienta como Postman lo tiene implementado de una forma simple para evitar pedirnos el token cada vez. Para ello cuando seleccionamos dentro de Postman<\/a> el Typo de Authorizaci\u00f3n OAuth2.0,\u00a0 nos sale un bot\u00f3n para solicitar el token. Al pulsar dicho bot\u00f3n, nos muestra una pantalla donde tenemos que rellenar los datos indicados.
\n![\"\"](\"http:\/\/blogs.encamina.com\/piensa-en-software-desarrolla-en-colores\/wp-content\/uploads\/sites\/21\/2018\/05\/token-246x300.jpg\")
\nIndicaremos utilizar dicho Token y con el mismo, ya podremos hacer peticiones a la API sin ning\u00fan tipo de problemas.<\/p>\nResumiendo y siguientes pasos<\/strong><\/h2>\n
\n![\"Git](\"https:\/\/image.flaticon.com\/icons\/svg\/25\/25231.svg\")
<\/a><\/p>\n