Einführung Die Zend_InfoCard Komponente implementiert die Unterstützung vertrauender Forderungen für Informationskarten. Informationskarten werden für Identitätsmanagement im Internet verwendet und zur Authentifikation von Benutzern auf Webseiten. Die Webseiten bei denen sich die Benutzer im Endeffekt authentifizieren werden vertrauende Seiten genannt. Detailierte Informationen über Informationskarten und Ihre Wichtigkeit für Internet Identitätsmetasysteme können im IdentityBlog gefunden werden. Grundsätzliche Theorie der Verwendung Zend_InfoCard kann auf einem von zwei Wegen verwendet werden: Entweder als Teil der größeren Zend_Auth Komponente über den Zend_InfoCard Authentifikationsadapter order als eigenständige Komponente. In beiden Fällen kann eine Informationskarte von einem Benutzer angefragt werden durch Verwenden des folgenden HTML Blocks im eigenen HTML Anmeldeformular: ]]> Im obigen Beispiel wird das requiredClaims <param> Tag verwendet um Teile von Informationen zu identifizieren die als Forderung bekannt sind (z.B. der Vorname und Nachname einer Person) welche eine Webseite (genannt "vertrauende Forderung) benötigt um einen Benutzer authentifizieren zu können der eine Informationskarte verwendet. Zur Referenz, ist die komplette URI (zum Beispiel die givename Anforderung) wie folgt: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname Wenn das obige HTML durch einen Benutzer aktiviert wird (angeklickt), zeigt der Browser ein Kartenauswahlprogramm an, welche Ihm nicht nur die Informationskarten anzeigt die den Anforderungen der Seite entsprechen, sondern es auch erlaubt welche Informationskarte verwendet werden soll wenn mehrere den Kriterien entsprechen. Diese Informationskarte wird als XML Dokument zu der spezifizierten POST URL übertragen und steht dann zur Bearbeitung der Zend_InfoCard Komponente zur Verfügung. Beachte das Informationskarten nur zu SSL-verschlüsselten URLs HTTP POSTet werden können. Die Dokumentation des WebServers sollte konsultiert werden für Details zum Einrichten einer SSL Verschlüsselung. Verwendung als Teil von Zend_Auth Um diese Komponente als Teil des Zend_Auth Authentifikationssystems zu verwenden, muß die angebotene Zend_Auth_Adapter_InfoCard verwendet werden (in der standalone Distribution von Zend_InfoCard nicht enthalten). Ein Beispiel der Verwendung wird anbei gezeigt: addCertificatePair('/usr/local/Zend/apache2/conf/server.key', '/usr/local/Zend/apache2/conf/server.crt'); $auth = Zend_Auth::getInstance(); $result = $auth->authenticate($adapter); switch ($result->getCode()) { case Zend_Auth_Result::SUCCESS: $claims = $result->getIdentity(); print "Angegebener Name: {$claims->givenname}
"; print "Vorname: {$claims->surname}
"; print "Email Adresse: {$claims->emailaddress}
"; print "PPI: {$claims->getCardID()}
"; break; case Zend_Auth_Result::FAILURE_CREDENTIAL_INVALID: print "Die angegebenen Daten haben der Überprüfung " . "nicht standgehalten"; break; default: case Zend_Auth_Result::FAILURE: print "Bei der Bearbeitung der Angaben trat ein Fehler auf."; break; } if (count($result->getMessages()) > 0) { print "
";
        var_dump($result->getMessages());
        print "
"; } } ?>

Einfache Anmeldungsdemo

]]> Im obigen Beispiel wurde zuerst eine Instanz von Zend_Auth_Adapter_InfoCard erstellt und die durch die Kartenauswahl geschickten XML Daten an Ihn übergeben. Sobald die Instanz erstellt wurde muß zumindest ein SSL Zertifizieruntsschlüssel, ein Paar öffentlich/privat der vom Webserver verwendet wird, übergeben werden der mit HTTP POST empfangen wurde. Diese Dateien werden verwendet um das Ziel der Information das an den Server geschickt wurde zu überprüfen und sind eine Notwendigkeit wenn Informationskarten verwendet werden. Sobald der Adapter konfiguriert wurde können die normalen Fähigkeiten von Zend_Auth verwendet werden um das angegebene Token der Informationskarte zu prüfen und den Benutzer, durch Betrachten der Identität die von der getIdentity() Methode geboten wird, zu authentifizieren. Die Zend_InfoCard Komponente alleine verwenden Es ist auch möglich die Zend_InfoCard Komponente als alleinstehende Komponente zu verwenden durch direkte Interaktion mit der Zend_InfoCard Klasse. Die Verwendung der Zend_InfoCard Klasse ist ähnlich der Verwendung durch die Zend_Auth Komponente. Ein Beispiel dieser Verwendung wird anbei gezeigt: addCertificatePair('/usr/local/Zend/apache2/conf/server.key', '/usr/local/Zend/apache2/conf/server.crt'); $claims = $infocard->process($_POST['xmlToken']); if($claims->isValid()) { print "Angegebener Name: {$claims->givenname}
"; print "Vorname: {$claims->surname}
"; print "Email Adresse: {$claims->emailaddress}
"; print "PPI: {$claims->getCardID()}
"; } else { print "Fehler bei der Prüfung der Identität: {$claims->getErrorMsg()}"; } } ?>

Einfache Login Demo

]]> Im obigen Beispiel wird die Zend_InfoCard Komponente unabhängig verwendet um den vom Benutzer angebotenen Token zu überprüfen. Die auch mit Zend_Auth_Adapter_InfoCard, wird zuerst eine Instanz von Zend_InfoCard erstellt und dann ein oder mehrere SSL Zertifikatschlüssel, ein Paar öffentlich/privat die vom Webserver verwendet werden. Sobald sie konfiguriert ist kann die process() Methode verwendet werden um die Informationskarte zu bearbeiten und die Ergebnisse zurückzugeben. Mit einem Forderungs Objekt arbeiten Egal ob die Zend_InfoCard Komponente als alleinstehende Komponente oder als Teil von Zend_Auth über Zend_Auth_Adapter_InfoCard verwendet wird, ist das endgültige Ergebnis der Bearbeitung einer Informationskarte ein Zend_InfoCard_Claims Objekt. Dieses Objekt enthält die Annahmen (auch Forderungen genannt) die vom schickenden Benutzer gemacht wurden, basierend auf den Daten die von der Webseite angefragt wurden als sich der Benutzer authentifiziert hat. Wie im obigen Beispiel gezeigt, kann die Gültigkeit der Informationskarte sichergestellt werden indem die Zend_InfoCard_Claims::isValid() Methode aufgerufen wird. Forderungen ihrerseits können entweder empfangen werden indem auf den gewünschten Identikator zugegriffen wird (z.B. givenname) als eine Eigenschaft des Objekts oder durch die getClaim() Methode. In den meisten Fällen ist es nicht notwendig die getClaim() Methode zu verwenden. Wenn es requiredClaims trotzdem erfordert das Forderungen von verschiedenen unterschiedlichen Quellen/Namensräumen angefragt werden ist es notwendig diese explizit durch Verwendung dieser Methode zu extrahieren (indem einfach die komplette URI der Forderung übergeben wird, damit der Wert von der Informationskarte empfangen werden kann). Generell gesprochen, wird die Zend_InfoCard Komponente die Standard URI für Forderungen auf eine Setzen die am häufigsten in der Informationskarte selbst verwendet wird, und damit die vereinfachte Eigenschaft-Zugriffs Methode verwendet werden kann. Als Teil des Prüfprozesses ist es am Entwickler die ausgebende Quelle der Forderung zu prüfen die in der Informationskarte enthalten sind, und zu entscheiden ob diese Quelle eine vertrauenswürdige Quelle von Informationen ist. Um das zu tun gibt es die getIssuer() Methode die im Zend_InfoCard_Claims Objekt angeboten wird und die URI des Ausstellers der Forderung der Informationskarte zurückgibt. Informationskarten an bestehende Konten anhängen Es ist möglich Unterstützung für Informationskarten zu einem bestehenden Authentifizierungssystem hinzuzufügen durch Speicherung des privaten persönlichen Identifikators (PPI) zum vorher traditionell-authentifizierten Zugang und zumindest die http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier Forderung als Teil der requiredClaims der Anfrage zu inkludieren. Wenn diese Forderung angefragt wird, biete das Zend_InfoCard_Claims Objekt einen eideutigen Identifikator für diese spezielle Karte anzubieten die durch den Aufruf der getCardID() Methode übermittelt wurde. Ein Beispiel wie eine Informationskarte an einen traditionell-authentifizierten Zugang angehängt werden kann wird hier gezeigt: addCertificatePair(SSL_CERTIFICATE_PRIVATE, SSL_CERTIFICATE_PUB); try { $claims = $infoCard->process($request['xmlToken']); } catch(Zend_InfoCard_Exception $e) { // TODO Fehlerbehandung durch die Anfrage throw $e; } if ($claims->isValid()) { $db = ZBlog_Data::getAdapter(); $ppi = $db->quote($claims->getCardID()); $fullname = $db->quote("{$claims->givenname} {$claims->surname}"); $query = "UPDATE blogusers SET ppi = $ppi, real_name = $fullname WHERE username='administrator'"; try { $db->query($query); } catch(Exception $e) { // TODO Fehler beim Speichern in der DB } $this->view->render(); return; } else { throw new ZBlog_Exception("Informationskarte hat die Sicherheitsprüfungen " . "nicht bestanden"); } } ]]> Erstellung von Zend_InfoCard Adapter Die Zend_InfoCard Komponente wurde entwickelt um den Wachstum im Standard der Informationskarten durch die Verwendung einer modularen Architektur zu erlauben. Aktuell werden viele dieser Hooks nicht verwendet und können ignoriert werden. Aber es gibt einen Aspekt der in jeder seriösen Implementation von Informationskarten geschrieben werden sollte: Der Zend_InfoCard Adapter. Der Zend_InfoCard Adapter wird als Callback Mechanismus innerhalb der Komponente verwendet um verschiedenste Aufgaben durchzuführen, wie das Speichern und Empfangen von Assertion IDs für Informationskarten wenn diese von der Komponente bearbeitet werden. Wärend das Speichern der Assertion IDs von übertragenen Informationskarten nicht notwendig ist, kann das nicht Durchführen die Möglichkeit eröffnen, dass das Authentifizierungs Schema durch eine Replay Attacke kompromitiert wird. Um das zu verhindern muß Zend_InfoCard_Adapter_Interface implementiert werden und dann eine Instanz dieses Adapters vor dem Aufruf der process() (alleinstehend) oder authenticate() Methode (als ein Zend_Auth Adapter) gesetzt werden. Um dieses Interface zu setzen wird die setAdapter() Methode verwendet. Im Beispiel anbei wird ein Zend_InfoCard Adapter gesetzt und innerhalb der Anwendung verwendet: addCertificatePair(SSL_PRIVATE, SSL_PUB); $infoCard->setAdapter($adapter); $claims = $infoCard->process($_POST['xmlToken']); ]]>