Integrando oAuth con NancyFx (ii) – Katana

En el post anterior vimos como autenticar una aplicación NancyFx usando oAuth a través del paquete WorldDomination (o SimpleAuthentication que es el aburrido nombre que tiene ahora :p).

Pero dado que NancyFx puede funcionar como un componente OWIN y la estructura modular de OWIN permite que haya módulos de autenticación que se ejecuten antes en el pipeline, porque no “eliminar” toda responsabilidad sobre autenticación de NancyFx? Y que sea algún módulo OWIN el que lo haga no? A fin de cuentas, esa es la gracia de OWIN. En este post vamos a ver como integrar los módulos OWIN de autenticación que tiene Katana con NancyFx. Repasa el post anterior y haz lo siguiente:

  1. Crea una aplicación web vacía y añade los paquetes de Nancy, Nancy.Owin y Microsoft.Host.SystemWeb.
  2. Crea la clase de inicialización OWIN para que use Nancy.
  3. Crea un  módulo que redirija las peticiones a la URL / a una vista que muestre un enlace de login with twitter (que vaya p. ej. a /login/twitter).
  4. Crea otro módulo que redirija las peticiones de /secured a otra vista (basta que muestre un contenido tipo “Esto es seguro”.

Quédate aquí. En este punto puedes tanto acceder a / como a /secured obviamente, y pulsar en enlace “login with twitter” te generará un 404.

Pero ahora estamos listos para empezar.

Nota: Para este post vamos a usar la misma aplicación en twitter (que tenía el callback a /authentication/authenticatecallback. Aunque ahora la URL de callback puede ser la que queramos.

Dejando que Katana hable con Twitter…

Katana incorpora varios componentes de autenticación y hay uno que se encarga precisamente de gestionar el flujo oAuth con twitter. Este componente se llama Microsoft.Owin.Security.Twitter así que añádelo al proyecto. Para entendernos es el equivalente al WorldDomination pero en un mundo OWIN.

Una vez hayas añadido este paquete el primer paso es modificar la clase de inicio de OWIN para añadir el módulo de autenticación por Twitter:

  1. app.UseTwitterAuthentication(new TwitterAuthenticationOptions()
  2. {
  3.     ConsumerKey = "TU COMSUMER KEY",
  4.     ConsumerSecret = "TU CONSUMER SECRET"
  5. });

Por supuesto pon el consumer key y consumer secret de tu aplicacion.

En este punto si pulsas el enlace de “login with twitter” recibirás… un 404 de Nancy. Pues este enlace apunta a /login/twitter (o a la URL que tu hayas elegido, en el fondo da igual) y es una URL que no está enrutada. A diferencia del post anterior donde WorldDomination ya gestionaba la URL “/authentication/redirect/twitter” el módulo de Katana no gestiona ninguna URL. En su lugar “entra en acción” tan buen punto se recibe un 401.

Así que nada, vamos a añadir un  módulo que enrute la URL /login/twitter y devuelva un 401:

  1. public class AuthTwitterModule : NancyModule
  2. {
  3.     public AuthTwitterModule()
  4.     {
  5.         Get["/login/twitter"] = _ => new Response()
  6.         {
  7.             StatusCode = HttpStatusCode.Unauthorized
  8.         };
  9.     }
  10. }

Ahora si navegas a /login/twitter lo que recibirás es… bueno un 401 😛 La razón es porque aunque el módulo de Katana entra en acción cuando recibe un 401, no basta solo con el 401. Antes requiere que se rellene el entorno de OWIN con cierta información.

El entorno de OWIN es un diccionario de objetos, literalmente un IDictionary<string, object> que contiene toda la información del pipeline de OWIN. En OWIN no hay objetos tipo Request, Response o HttpContext porque eso implicaría que existe alguna DLL principal de OWIN y OWIN no pretende eso: se basa en tipos de .NET (Hay una sola excepción a este caso y es la interfaz IAppBuilder que está definida en el paquete Owin). Así los módulos OWIN se pasan información entre ellos a través de ese diccionario compartido.

Por lo tanto antes de devolver el 401 debemos meter cierta información en el entorno de OWIN para que el módulo de autenticación de Katana sepa que queremos autenticarnos via Twitter. ¿Qué método hay en NancyFx para meter código antes del código que procesa la petición? Exacto, el module hook Before. Pero en este caso no añadiremos el código directamente en el Before (podríamos) pero lo haremos más reutilizable a través de métodos de extensión (así seria aplicable a más de un módulo).

Pero primero necesitamos un método de extensión que me permita obtener el entorno de OWIN. El paquete Nancy.Owin (que es quien gestiona la integración de NancyFx en OWIN) deja el entorno OWIN dentro de la clave NancyOwinHost.RequestEnvironmentKey del contexto de NancyFx:

  1. public static class NancyContextExtensions
  2. {
  3.     public static OwinContext GetOwinContext(this NancyContext context)
  4.     {
  5.         var environment = (IDictionary<string, object>)context.Items[NancyOwinHost.RequestEnvironmentKey];
  6.         var owinContext = new OwinContext(environment);
  7.         return owinContext;
  8.     }
  9. }

A partir de la información del entorno se crea una variable de tipo OwinContext. La clase OwinContext no es estandard OWIN. Esta clase es una clase de Katana. Así que para que no queden dudas: la integración que estamos haciendo es entre NancyFx y los componentes de Katana. De hecho no es posible una integración universal porque la especificación de OWIN no define el nombre de las claves del entorno que los módulos deben usar, salvo unas cuantas (que podéis encontrar en la especificación de OWIN). Así pues la clase OwinContext no es nada más que el entorno de OWIN, pero visto a través de algo más tipado que un IDictionary<string, object> y que además entiende las claves que usan los módulos de Katana.

Vale, ahora que ya tenemos como obtener el entorno OWIN, vamos a añadir otro método de extensión, pero ahora contra la clase NancyModule:

  1. static class NancyModuleExtensions
  2. {
  3.     public static void Challenge(this NancyModule module, string redirectUri, string userId)
  4.     {
  5.         module.AddBeforeHookOrExecute(ctx =>
  6.         {
  7.             var properties = new AuthenticationProperties() { RedirectUri = redirectUri };
  8.             if (userId != null)
  9.             {
  10.                 properties.Dictionary["XsrfId"] = userId;
  11.             }
  12.             module.Context.GetOwinContext().Authentication.Challenge(properties, "Twitter");
  13.             return null;
  14.         }, "Challenge");
  15.     }
  16. }

Lo que estamos haciendo es añadir código al module hook Before del módulo de NancyFx al que se llame este método (sería lo más parecido a crear un filtro en ASP.NET MVC que hay en Nancy). Básicamente lo que hacemos en el Before es llamar al método Challenge que proporciona Katana que es el que se encarga de todo lo necesario.

Ahora tenemos que modificar el AuthTwitterModule para añadir la llamada a este método de extensión:

  1. public AuthTwitterModule()
  2. {
  3.     this.Challenge("/auth/redirect", null);
  4.     Get["/login/twitter"] = _ => new Response()
  5.     {
  6.         StatusCode = HttpStatusCode.Unauthorized
  7.     };
  8. }

Ahora sí, si navegas a /login/twitter empezará el flujo de oAuth y después serás redirigido a la URL que hemos usado como primer parámetro de la llamada a Challenge, es decir /auth/redirect con independencia del valor de callback que teníamos especificado en la aplicación de twitter.

En esta URL de callback (/auth/redirect) tenemos que recoger los valores que nos haya devuelto el proveedor de oAuth. Para ello nos vamos a apoyar en otro componente de Katana, el paquete Microsoft.AspNet.Identity.Owin, así que añade este paquete ahora. Una vez lo hayas añadido podemos usar el método GetExternalLoginInfoAsync.

Este método es asíncrono, así que lo invocaremos con await. Para poder usar await en NancyFx tenemos que declarar que la ruta que responde a /auth/redirect es asíncrona:

  1. Get["/auth/redirect", true] = async (_, ct) =>
  2. {
  3.     var authManager = Context.GetOwinContext().Authentication;
  4.     var loginInfo = await authManager.GetExternalLoginInfoAsync();
  5.     // …
  6. };

Este método se encarga de obtener los datos que nos envía el proveedor de oAuth. En este punto podemos recoger los datos del usuario y crear un ClaimsIdentity (esa clase es la nueva clase base de todas las identity en .NET). Lo más normal sería delegar en el Identity Membership para esto, pero, para no saturar, hagámoslo a mano. En el siguiente post veremos como integrarnos con  el Identity Membership. El código podría ser algo como así:

  1. Get["/auth/redirect", true] = async (_, ct) =>
  2. {
  3.     var authManager = Context.GetOwinContext().Authentication;
  4.     var loginInfo = await authManager.GetExternalLoginInfoAsync();
  5.     if (loginInfo != null)
  6.     {
  7.         authManager.SignOut(DefaultAuthenticationTypes.ExternalCookie);
  8.  
  9.         var identity = new ClaimsIdentity(DefaultAuthenticationTypes.ApplicationCookie.ToString(),
  10.             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
  11.             "http://schemas.microsoft.com/ws/2008/06/identity/claims/role");
  12.         identity.AddClaim(new Claim("Player", "True"));
  13.         identity.AddClaim(new Claim("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
  14.             loginInfo.DefaultUserName,
  15.             "http://www.w3.org/2001/XMLSchema#string"));
  16.         authManager.SignIn(new AuthenticationProperties() { IsPersistent = false }, identity);
  17.     }
  18.  
  19.     return new RedirectResponse("/secured");
  20. };

No te preocupes si no entiendes exactamente el código (como digo eso suele delegarse en el Identity Membership), pero básicamente creamos el ClaimsIdentity y le añadimos un nombre de usuario, así como una claim personalizada (Player con valor True).

Al final redirigimos al usuario a la URL /secured, una URL que se supone solo debe poder verse si el usuario no está autenticado.

El código del módulo Nancy que contiene la ruta para dicha URL es el siguiente:

  1. public class SecuredModule : NancyModule
  2. {
  3.     public SecuredModule()
  4.     {
  5.         this.RequiresOwinAuth();
  6.         Get["/secured"] = _ => View["secured.html"];
  7.     }
  8. }

El método RequiresOwinAuth es un método de extensión que nos hemos creado. Dicho método comprueba que existe una ClaimsIdentity en el contexto OWIN:

  1. public static void RequiresOwinAuth(this NancyModule module)
  2. {
  3.     module.AddBeforeHookOrExecute(ctx =>
  4.     {
  5.         var user = ctx.GetOwinUser();
  6.         return user == null || !user.Identity.IsAuthenticated ?
  7.             new Response() {StatusCode = HttpStatusCode.Unauthorized} :
  8.             null;
  9.     }, "OwinUser Not Found");
  10. }

(Este método de extensión sería el equivalente a aplicar [Authorize] en un controlador ASP.NET MVC).

Vale… ya casi lo tenemos, ahora tan solo nos falta configurar el pipeline OWIN para añadir la seguridad por cookies:

  1. app.UseCookieAuthentication(new CookieAuthenticationOptions()
  2. {
  3.     AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie
  4. });

Añadimos este código al principio del método de inicialización de OWIN, para que este módulo esté en el principio del pipeline.

Y ¡voilá! hemos terminado. Si nada más iniciar la aplicación navegas a /secured recibirás un 401 (Unauthorized). Si entras en twitter, después de hacer el login verás como se te redirige a /secured y ahora si ves el contenido seguro.

Por supuesto, puedes hacer que en lugar de ver un 401 el usuario sea redirigido a una página de Login, simplemente cambiando la configuración del proveedor de seguridad por cookies:

  1. app.UseCookieAuthentication(new CookieAuthenticationOptions()
  2. {
  3.     AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
  4.     LoginPath = new PathString("/login")
  5. });

Ahora si nada más empezar navegas a /secured verás que el usuario es redirigido a /login (en este caso verás un 404 ya que no hay ninguna ruta que responda a la URL /login).

Bueno… en el post anterior vimos como configurar NancyFx junto con WorldDomination para soportar login por oAuth. En este post hemos ido un paso más allá sustituyendo toda la autenticación por componentes OWIN, en lugar de que toda la responsabilidad esté gestionada por NancyFx.

Un saludo!

PD: Tenéis el código en mi carpeta de SkyDrive (fichero NancyKatanaIIS2).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *