Spring REST APIのOAuth2 – AngularJSで更新トークンを処理する
1. 概要
このチュートリアルでは、さらに多くのour previous articleでまとめ始めたOAuthパスワードフローの調査を続け、AngularJSアプリで更新トークンを処理する方法に焦点を当てます。
2. アクセストークンの有効期限
まず、ユーザーがアプリケーションにログインしているときに、クライアントがアクセストークンを取得していたことを思い出してください。
function obtainAccessToken(params) {
var req = {
method: 'POST',
url: "oauth/token",
headers: {"Content-type": "application/x-www-form-urlencoded; charset=utf-8"},
data: $httpParamSerializer(params)
}
$http(req).then(
function(data) {
$http.defaults.headers.common.Authorization= 'Bearer ' + data.data.access_token;
var expireDate = new Date (new Date().getTime() + (1000 * data.data.expires_in));
$cookies.put("access_token", data.data.access_token, {'expires': expireDate});
window.location.href="index";
},function() {
console.log("error");
window.location.href = "login";
});
}トークン自体の有効期限に基づいて有効期限が切れるCookieにアクセストークンが保存される方法に注意してください。
理解しておくべき重要なことは、the cookie itself is only used for storageであり、OAuthフローで他に何も駆動しないということです。 たとえば、ブラウザがリクエストとともにCookieをサーバーに自動的に送信することはありません。
また、このobtainAccessToken()関数を実際に呼び出す方法にも注意してください。
$scope.loginData = {
grant_type:"password",
username: "",
password: "",
client_id: "fooClientIdPassword"
};
$scope.login = function() {
obtainAccessToken($scope.loginData);
}3. プロキシ
これで、Zuulプロキシをフロントエンドアプリケーションで実行し、基本的にフロントエンドクライアントと承認サーバーの間に配置します。
プロキシのルートを設定しましょう。
zuul:
routes:
oauth:
path: /oauth/**
url: http://localhost:8081/spring-security-oauth-server/oauthここで興味深いのは、トラフィックを承認サーバーにプロキシするだけで、他には何もプロキシしないことです。 クライアントが新しいトークンを取得しているときにプロキシが必要になるのは本当に必要なだけです。
Zuulの基本を理解したい場合は、the main Zuul articleをざっと読んでください。
4. 基本認証を行うZuulフィルター
プロキシの最初の使用は簡単です。JavaScriptでアプリ「client secret」を表示する代わりに、Zuulプレフィルターを使用してAuthorizationヘッダーを追加してトークンリクエストにアクセスします。
@Component
public class CustomPreZuulFilter extends ZuulFilter {
@Override
public Object run() {
RequestContext ctx = RequestContext.getCurrentContext();
if (ctx.getRequest().getRequestURI().contains("oauth/token")) {
byte[] encoded;
try {
encoded = Base64.encode("fooClientIdPassword:secret".getBytes("UTF-8"));
ctx.addZuulRequestHeader("Authorization", "Basic " + new String(encoded));
} catch (UnsupportedEncodingException e) {
logger.error("Error occured in pre filter", e);
}
}
return null;
}
@Override
public boolean shouldFilter() {
return true;
}
@Override
public int filterOrder() {
return -2;
}
@Override
public String filterType() {
return "pre";
}
}これによってセキュリティが追加されることはありません。これを行う唯一の理由は、トークンエンドポイントがクライアントの資格情報を使用した基本認証で保護されているためです。
実装の観点から、フィルタのタイプは特に注目に値します。 「pre」のフィルタータイプを使用して、リクエストを渡す前に処理します。
5. 更新トークンをCookieに入れる
楽しいものに。
ここで計画しているのは、クライアントに更新トークンをCookieとして取得させることです。 通常のCookieだけでなく、パス(/oauth/token)が非常に制限された安全なHTTPのみのCookie。
Zuulポストフィルターを設定して、応答のJSON本文から更新トークンを抽出し、Cookieに設定します。
@Component
public class CustomPostZuulFilter extends ZuulFilter {
private ObjectMapper mapper = new ObjectMapper();
@Override
public Object run() {
RequestContext ctx = RequestContext.getCurrentContext();
try {
InputStream is = ctx.getResponseDataStream();
String responseBody = IOUtils.toString(is, "UTF-8");
if (responseBody.contains("refresh_token")) {
Map responseMap = mapper.readValue(
responseBody, new TypeReference>() {});
String refreshToken = responseMap.get("refresh_token").toString();
responseMap.remove("refresh_token");
responseBody = mapper.writeValueAsString(responseMap);
Cookie cookie = new Cookie("refreshToken", refreshToken);
cookie.setHttpOnly(true);
cookie.setSecure(true);
cookie.setPath(ctx.getRequest().getContextPath() + "/oauth/token");
cookie.setMaxAge(2592000); // 30 days
ctx.getResponse().addCookie(cookie);
}
ctx.setResponseBody(responseBody);
} catch (IOException e) {
logger.error("Error occured in zuul post filter", e);
}
return null;
}
@Override
public boolean shouldFilter() {
return true;
}
@Override
public int filterOrder() {
return 10;
}
@Override
public String filterType() {
return "post";
}
} ここで理解すべきいくつかの興味深いこと:
-
応答とextract refresh tokenを読み取るためにZuulポストフィルターを使用しました
-
JSON応答からrefresh_tokenの値を削除して、Cookieの外部のフロントエンドからアクセスできないようにしました
-
Cookieの最大有効期間を30 daysに設定しました。これはトークンの有効期限と一致するためです。
6. Cookieから更新トークンを取得して使用する
Cookieに更新トークンが含まれているので、フロントエンドのAngularJSアプリケーションがトークンの更新をトリガーしようとすると、/oauth/tokenでリクエストが送信されるため、ブラウザはもちろんそのCookieを送信します。
そのため、プロキシに別のフィルタがあり、Cookieから更新トークンを抽出してHTTPパラメータとして転送します。これにより、リクエストが有効になります。
public Object run() {
RequestContext ctx = RequestContext.getCurrentContext();
...
HttpServletRequest req = ctx.getRequest();
String refreshToken = extractRefreshToken(req);
if (refreshToken != null) {
Map param = new HashMap();
param.put("refresh_token", new String[] { refreshToken });
param.put("grant_type", new String[] { "refresh_token" });
ctx.setRequest(new CustomHttpServletRequest(req, param));
}
...
}
private String extractRefreshToken(HttpServletRequest req) {
Cookie[] cookies = req.getCookies();
if (cookies != null) {
for (int i = 0; i < cookies.length; i++) {
if (cookies[i].getName().equalsIgnoreCase("refreshToken")) {
return cookies[i].getValue();
}
}
}
return null;
} そして、これがCustomHttpServletRequestです–inject our refresh token parametersに使用されます:
public class CustomHttpServletRequest extends HttpServletRequestWrapper {
private Map additionalParams;
private HttpServletRequest request;
public CustomHttpServletRequest(
HttpServletRequest request, Map additionalParams) {
super(request);
this.request = request;
this.additionalParams = additionalParams;
}
@Override
public Map getParameterMap() {
Map map = request.getParameterMap();
Map param = new HashMap();
param.putAll(map);
param.putAll(additionalParams);
return param;
}
} 繰り返しますが、多くの重要な実装上の注意事項は次のとおりです。
-
プロキシはCookieから更新トークンを抽出しています
-
次に、それをrefresh_tokenパラメータに設定します
-
また、grant_typeをrefresh_tokenに設定しています
-
refreshToken Cookieがない場合(期限切れまたは初回ログイン)–アクセストークンリクエストは変更なしでリダイレクトされます
7. AngularJSからのアクセストークンの更新
最後に、単純なフロントエンドアプリケーションを変更して、実際にトークンの更新を利用しましょう。
関数refreshAccessToken()は次のとおりです。
$scope.refreshAccessToken = function() {
obtainAccessToken($scope.refreshData);
}そしてここに私たちの$scope.refreshData:
$scope.refreshData = {grant_type:"refresh_token"};既存のobtainAccessToken関数を単純に使用し、さまざまな入力を関数に渡す方法に注意してください。
また、refresh_tokenを自分で追加していないことにも注意してください。これは、Zuulフィルターによって処理されるためです。
8. 結論
このOAuthチュートリアルでは、AngularJSクライアントアプリケーションに更新トークンを保存する方法、期限切れのアクセストークンを更新する方法、およびそれらすべてのためにZuulプロキシを活用する方法を学びました。
このチュートリアルのfull implementationは、the github projectにあります。これはEclipseベースのプロジェクトであるため、そのままインポートして実行するのは簡単です。