ZF Zend Framework

Behind the Site

Programmer's Reference Guide

Zend_InfoCard
Zend_InfoCard
Referenzhandbuch für Programmierer

Einführung

Die Zend_InfoCard Komponente implementiert die Unterstützung vertrauender Forderungen für Informationskarten. Informationskarten werden für Identitätsmanagement im Internet verwendet und zur Authentifikation von Benutzern auf Webseiten. Die Webseiten bei denen sich die Benutzer im Endeffekt authentifizieren werden vertrauende Seiten genannt.

Detailierte Informationen über Informationskarten und Ihre Wichtigkeit für Internet Identitätsmetasysteme können im » IdentityBlog gefunden werden.

Grundsätzliche Theorie der Verwendung

Zend_InfoCard kann auf einem von zwei Wegen verwendet werden: Entweder als Teil der größeren Zend_Auth Komponente über den Zend_InfoCard Authentifikationsadapter order als eigenständige Komponente. In beiden Fällen kann eine Informationskarte von einem Benutzer angefragt werden durch Verwenden des folgenden HTML Blocks im eigenen HTML Anmeldeformular:

  1. <form action="http://example.com/server" method="POST">
  2.   <input type='image' src='/images/ic.png' align='center'
  3.         width='120px' style='cursor:pointer' />
  4.   <object type="application/x-informationCard"
  5.           name="xmlToken">
  6.    <param name="tokenType"
  7.          value="urn:oasis:names:tc:SAML:1.0:assertion" />
  8.    <param name="requiredClaims"
  9.          value="http://.../claims/privatepersonalidentifier
  10.          http://.../claims/givenname
  11.          http://.../claims/surname" />
  12.  </object>
  13. </form>

Im obigen Beispiel wird das requiredClaims <param> Tag verwendet um Teile von Informationen zu identifizieren die als Forderung bekannt sind (z.B. der Vorname und Nachname einer Person) welche eine Webseite (genannt "vertrauende Forderung) benötigt um einen Benutzer authentifizieren zu können der eine Informationskarte verwendet. Zur Referenz, ist die komplette URI (zum Beispiel die givename Anforderung) wie folgt: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Wenn das obige HTML durch einen Benutzer aktiviert wird (angeklickt), zeigt der Browser ein Kartenauswahlprogramm an, welche Ihm nicht nur die Informationskarten anzeigt die den Anforderungen der Seite entsprechen, sondern es auch erlaubt welche Informationskarte verwendet werden soll wenn mehrere den Kriterien entsprechen. Diese Informationskarte wird als XML Dokument zu der spezifizierten POST URL übertragen und steht dann zur Bearbeitung der Zend_InfoCard Komponente zur Verfügung.

Beachte das Informationskarten nur zu SSL-verschlüsselten URLs HTTP POSTet werden können. Die Dokumentation des WebServers sollte konsultiert werden für Details zum Einrichten einer SSL Verschlüsselung.

Verwendung als Teil von Zend_Auth

Um diese Komponente als Teil des Zend_Auth Authentifikationssystems zu verwenden, muß die angebotene Zend_Auth_Adapter_InfoCard verwendet werden (in der standalone Distribution von Zend_InfoCard nicht enthalten). Ein Beispiel der Verwendung wird anbei gezeigt:

  1. <?php
  2. if (isset($_POST['xmlToken'])) {
  3.  
  4.     $adapter = new Zend_Auth_Adapter_InfoCard($_POST['xmlToken']);
  5.  
  6.     $adapter->addCertificatePair('/usr/local/Zend/apache2/conf/server.key',
  7.                                  '/usr/local/Zend/apache2/conf/server.crt');
  8.  
  9.     $auth = Zend_Auth::getInstance();
  10.  
  11.     $result = $auth->authenticate($adapter);
  12.  
  13.     switch ($result->getCode()) {
  14.         case Zend_Auth_Result::SUCCESS:
  15.             $claims = $result->getIdentity();
  16.             print "Angegebener Name: {$claims->givenname}<br />";
  17.             print "Vorname: {$claims->surname}<br />";
  18.             print "Email Adresse: {$claims->emailaddress}<br />";
  19.             print "PPI: {$claims->getCardID()}<br />";
  20.             break;
  21.         case Zend_Auth_Result::FAILURE_CREDENTIAL_INVALID:
  22.             print "Die angegebenen Daten haben der Überprüfung "
  23.                 . "nicht standgehalten";
  24.             break;
  25.         default:
  26.         case Zend_Auth_Result::FAILURE:
  27.             print "Bei der Bearbeitung der Angaben trat ein Fehler auf.";
  28.             break;
  29.     }
  30.  
  31.     if (count($result->getMessages()) > 0) {
  32.         print "<pre>";
  33.         var_dump($result->getMessages());
  34.         print "</pre>";
  35.     }
  36.  
  37. }
  38.  
  39. ?>
  40. <hr />
  41. <div id="login" style="font-family: arial; font-size: 2em;">
  42. <p>Einfache Anmeldungsdemo</p>
  43.  <form method="post">
  44.   <input type="submit" value="Login" />
  45.    <object type="application/x-informationCard" name="xmlToken">
  46.     <param name="tokenType"
  47.           value="urn:oasis:names:tc:SAML:1.0:assertion" />
  48.     <param name="requiredClaims"
  49.           value="http://.../claims/givenname
  50.                  http://.../claims/surname
  51.                  http://.../claims/emailaddress
  52.                  http://.../claims/privatepersonalidentifier" />
  53.   </object>
  54.  </form>
  55. </div>

Im obigen Beispiel wurde zuerst eine Instanz von Zend_Auth_Adapter_InfoCard erstellt und die durch die Kartenauswahl geschickten XML Daten an Ihn übergeben. Sobald die Instanz erstellt wurde muß zumindest ein SSL Zertifizieruntsschlüssel, ein Paar öffentlich/privat der vom Webserver verwendet wird, übergeben werden der mit HTTP POST empfangen wurde. Diese Dateien werden verwendet um das Ziel der Information das an den Server geschickt wurde zu überprüfen und sind eine Notwendigkeit wenn Informationskarten verwendet werden.

Sobald der Adapter konfiguriert wurde können die normalen Fähigkeiten von Zend_Auth verwendet werden um das angegebene Token der Informationskarte zu prüfen und den Benutzer, durch Betrachten der Identität die von der getIdentity() Methode geboten wird, zu authentifizieren.

Die Zend_InfoCard Komponente alleine verwenden

Es ist auch möglich die Zend_InfoCard Komponente als alleinstehende Komponente zu verwenden durch direkte Interaktion mit der Zend_InfoCard Klasse. Die Verwendung der Zend_InfoCard Klasse ist ähnlich der Verwendung durch die Zend_Auth Komponente. Ein Beispiel dieser Verwendung wird anbei gezeigt:

  1. <?php
  2. if (isset($_POST['xmlToken'])) {
  3.     $infocard = new Zend_InfoCard();
  4.     $infocard->addCertificatePair('/usr/local/Zend/apache2/conf/server.key',
  5.                                   '/usr/local/Zend/apache2/conf/server.crt');
  6.  
  7.     $claims = $infocard->process($_POST['xmlToken']);
  8.  
  9.     if($claims->isValid()) {
  10.         print "Angegebener Name: {$claims->givenname}<br />";
  11.         print "Vorname: {$claims->surname}<br />";
  12.         print "Email Adresse: {$claims->emailaddress}<br />";
  13.         print "PPI: {$claims->getCardID()}<br />";
  14.     } else {
  15.         print "Fehler bei der Prüfung der Identität: {$claims->getErrorMsg()}";
  16.     }
  17. }
  18. ?>
  19. <hr />
  20. <div id="login" style="font-family: arial; font-size: 2em;">
  21. <p>Einfache Login Demo</p>
  22.  <form method="post">
  23.   <input type="submit" value="Login" />
  24.    <object type="application/x-informationCard" name="xmlToken">
  25.     <param name="tokenType"
  26.           value="urn:oasis:names:tc:SAML:1.0:assertion" />
  27.     <param name="requiredClaims"
  28.           value="http://.../claims/givenname
  29.                  http://.../claims/surname
  30.                  http://.../claims/emailaddress
  31.                  http://.../claims/privatepersonalidentifier" />
  32.    </object>
  33.  </form>
  34. </div>

Im obigen Beispiel wird die Zend_InfoCard Komponente unabhängig verwendet um den vom Benutzer angebotenen Token zu überprüfen. Die auch mit Zend_Auth_Adapter_InfoCard, wird zuerst eine Instanz von Zend_InfoCard erstellt und dann ein oder mehrere SSL Zertifikatschlüssel, ein Paar öffentlich/privat die vom Webserver verwendet werden. Sobald sie konfiguriert ist kann die process() Methode verwendet werden um die Informationskarte zu bearbeiten und die Ergebnisse zurückzugeben.

Mit einem Forderungs Objekt arbeiten

Egal ob die Zend_InfoCard Komponente als alleinstehende Komponente oder als Teil von Zend_Auth über Zend_Auth_Adapter_InfoCard verwendet wird, ist das endgültige Ergebnis der Bearbeitung einer Informationskarte ein Zend_InfoCard_Claims Objekt. Dieses Objekt enthält die Annahmen (auch Forderungen genannt) die vom schickenden Benutzer gemacht wurden, basierend auf den Daten die von der Webseite angefragt wurden als sich der Benutzer authentifiziert hat. Wie im obigen Beispiel gezeigt, kann die Gültigkeit der Informationskarte sichergestellt werden indem die Zend_InfoCard_Claims::isVaild() Methode aufgerufen wird. Forderungen ihrerseits können entweder empfangen werden indem auf den gewünschten Identikator zugegriffen wird (z.B. givenname) als eine Eigenschaft des Objekts oder durch die getClaim() Methode.

In den meisten Fällen ist es nicht notwendig die getClaim() Methode zu verwenden. Wenn es requiredClaims trotzdem erfordert das Forderungen von verschiedenen unterschiedlichen Quellen/Namensräumen angefragt werden ist es notwendig diese explizit durch Verwendung dieser Methode zu extrahieren (indem einfach die komplette URI der Forderung übergeben wird, damit der Wert von der Informationskarte empfangen werden kann). Generell gesprochen, wird die Zend_InfoCard Komponente die Standard URI für Forderungen auf eine Setzen die am häufigsten in der Informationskarte selbst verwendet wird, und damit die vereinfachte Eigenschaft-Zugriffs Methode verwendet werden kann.

Als Teil des Prüfprozesses ist es am Entwickler die ausgebende Quelle der Forderung zu prüfen die in der Informationskarte enthalten sind, und zu entscheiden ob diese Quelle eine vertrauenswürdige Quelle von Informationen ist. Um das zu tun gibt es die getIssuer() Methode die im Zend_InfoCard_Claims Objekt angeboten wird und die URI des Ausstellers der Forderung der Informationskarte zurückgibt.

Informationskarten an bestehende Konten anhängen

Es ist möglich Unterstützung für Informationskarten zu einem bestehenden Authentifizierungssystem hinzuzufügen durch Speicherung des privaten persönlichen Identifikators (PPI) zum vorher traditionell-authentifizierten Zugang und zumindest die http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier Forderung als Teil der requiredClaims der Anfrage zu inkludieren. Wenn diese Forderung angefragt wird, biete das Zend_InfoCard_Claims Objekt einen eideutigen Identifikator für diese spezielle Karte anzubieten die durch den Aufruf der getCardID() Methode übermittelt wurde.

Ein Beispiel wie eine Informationskarte an einen traditionell-authentifizierten Zugang angehängt werden kann wird hier gezeigt:

  1. // ...
  2. public function submitinfocardAction()
  3. {
  4.     if (!isset($_REQUEST['xmlToken'])) {
  5.         throw new ZBlog_Exception('Verschlüsselter Token erwartet ' .
  6.                                   'aber nicht übergeben');
  7.     }
  8.  
  9.     $infoCard = new Zend_InfoCard();
  10.     $infoCard->addCertificatePair(SSL_CERTIFICATE_PRIVATE,
  11.                                   SSL_CERTIFICATE_PUB);
  12.  
  13.     try {
  14.         $claims = $infoCard->process($request['xmlToken']);
  15.     } catch(Zend_InfoCard_Exception $e) {
  16.         // TODO Fehlerbehandung durch die Anfrage
  17.         throw $e;
  18.     }
  19.  
  20.     if ($claims->isValid()) {
  21.         $db = ZBlog_Data::getAdapter();
  22.  
  23.         $ppi = $db->quote($claims->getCardID());
  24.         $fullname = $db->quote("{$claims->givenname} {$claims->surname}");
  25.  
  26.         $query = "UPDATE blogusers
  27.                      SET ppi = $ppi,
  28.                          real_name = $fullname
  29.                    WHERE username='administrator'";
  30.  
  31.         try {
  32.             $db->query($query);
  33.         } catch(Exception $e) {
  34.             // TODO Fehler beim Speichern in der DB
  35.         }
  36.  
  37.         $this->view->render();
  38.         return;
  39.     } else {
  40.         throw new
  41.             ZBlog_Exception("Informationskarte hat die Sicherheitsprüfungen "
  42.                           . "nicht bestanden");
  43.     }
  44. }

Erstellung von Zend_InfoCard Adapter

Die Zend_InfoCard Komponente wurde entwickelt um den Wachstum im Standard der Informationskarten durch die Verwendung einer modularen Architektur zu erlauben. Aktuell werden viele dieser Hooks nicht verwendet und können ignoriert werden. Aber es gibt einen Aspekt der in jeder seriösen Implementation von Informationskarten geschrieben werden sollte: Der Zend_InfoCard Adapter.

Der Zend_InfoCard Adapter wird als Callback Mechanismus innerhalb der Komponente verwendet um verschiedenste Aufgaben durchzuführen, wie das Speichern und Empfangen von Assertion IDs für Informationskarten wenn diese von der Komponente bearbeitet werden. Wärend das Speichern der Assertion IDs von übertragenen Informationskarten nicht notwendig ist, kann das nicht Durchführen die Möglichkeit eröffnen, das das Authentifizierungs Schema durch eine Replay Attacke kompromitiert wird.

Um das zu verhindern muß Zend_InfoCard_Adapter_Interface implementiert werden und dann eine Instanz dieses Adapters vor dem Aufruf der process() (alleinstehend) oder authenticate() Methode (als ein Zend_Auth Adapter) gesetzt werden. Um dieses Interface zu setzen wird die setAdapter() Methode verwendet. Im Beispiel anbei wird ein Zend_InfoCard Adapter gesetzt und innerhalb der Anwendung verwendet:

  1. class myAdapter implements Zend_InfoCard_Adapter_Interface
  2. {
  3.     public function storeAssertion($assertionURI,
  4.                                    $assertionID,
  5.                                    $conditions)
  6.     {
  7.         /* Die durch ID und URI angegebene Assertion
  8.            und Ihre Konditionen speichern */
  9.     }
  10.  
  11.     public function retrieveAssertion($assertionURI, $assertionID)
  12.     {
  13.         /* Die durch URI und ID angegebene Assertion empfangen */
  14.     }
  15.  
  16.     public function removeAssertion($assertionURI, $assertionID)
  17.     {
  18.         /* Die durch URI/ID angegebene Assertion löschen */
  19.     }
  20. }
  21.  
  22. $adapter  = new myAdapter();
  23.  
  24. $infoCard = new Zend_InfoCard();
  25. $infoCard->addCertificatePair(SSL_PRIVATE, SSL_PUB);
  26. $infoCard->setAdapter($adapter);
  27.  
  28. $claims = $infoCard->process($_POST['xmlToken']);
Zend_InfoCard
Zend_InfoCard
Referenzhandbuch für Programmierer
blog comments powered by Disqus

Select a Version

Languages Available

Components

Search the Manual

    • Navigation