OAuth 2.0 et la bibliothèque cliente Google OAuth pour Java

Présentation

Objectif:ce document décrit les fonctions génériques OAuth 2.0 proposées par la bibliothèque cliente Google OAuth pour Java. Vous pouvez utiliser ces fonctions pour l'authentification et l'autorisation pour tout service Internet.

Pour obtenir des instructions sur l'utilisation de GoogleCredential afin d'effectuer une autorisation OAuth 2.0 avec Services Google, consultez Utiliser OAuth 2.0 avec la bibliothèque cliente des API Google pour Java

Résumé:OAuth 2.0 est un spécification standard permettant aux utilisateurs finaux d'autoriser un client de façon sécurisée pour accéder aux ressources protégées côté serveur. En outre, Jeton de support OAuth 2.0 explique comment accéder à ces ressources protégées à l'aide d'une règle d'accès est accordé lors du processus d'autorisation de l'utilisateur final.

Pour en savoir plus, consultez la documentation Javadoc pour les packages suivants:

Enregistrement du client

Avant d'utiliser la bibliothèque cliente Google OAuth pour Java, vous devez probablement enregistrer votre application auprès d'un serveur d'autorisation afin de recevoir un identifiant client client secret. Pour obtenir des informations générales sur cette procédure, consultez la Client Spécification d'enregistrement.

Identifiants et magasin d'identifiants

Justificatif est une classe d'assistance OAuth 2.0 thread-safe pour accéder aux ressources protégées à l'aide d'un un jeton d'accès. Lorsque vous utilisez un jeton d'actualisation, Credential actualise également l'accès à l'expiration du jeton d'accès à l'aide du jeton d'actualisation. Par exemple, si vous dispose déjà d'un jeton d'accès, vous pouvez effectuer une demande de la manière suivante:

  public static HttpResponse executeGet(
      HttpTransport transport, JsonFactory jsonFactory, String accessToken, GenericUrl url)
      throws IOException {
    Credential credential =
        new Credential(BearerToken.authorizationHeaderAccessMethod()).setAccessToken(accessToken);
    HttpRequestFactory requestFactory = transport.createRequestFactory(credential);
    return requestFactory.buildGetRequest(url).execute();
  }

La plupart des applications doivent conserver le jeton d'accès des identifiants et d'actualiser le jeton afin d'éviter une future redirection vers l'autorisation dans le navigateur. La CredentialStore implémentation de cette bibliothèque est obsolète et sera supprimée à l'avenir versions. Vous pouvez également utiliser la classe DataStoreFactory et DataStore interagit avec StoredCredential, qui sont fournies par Bibliothèque cliente HTTP Google pour Java.

Vous pouvez utiliser l'une des implémentations suivantes fournies par la bibliothèque:

Utilisateurs de Google App Engine:

AppEngineCredentialStore est obsolète et est en cours de suppression.

Nous vous recommandons d'utiliser AppEngineDataStoreFactory avec StoredCredential. Si vous aviez des identifiants stockés dans l'ancienne méthode, vous pouvez utiliser les méthodes d'assistance ajoutées migrateTo(AppEngineDataStoreFactory) ou migrateTo(DataStore) à migrer.

Utiliser DataStoreCredentialRefreshListener et le définir pour l'identifiant à l'aide de GoogleCredential.Builder.addRefreshListener(CredentialRefreshListener).

Flux avec code d'autorisation

Utilisez le flux avec code d'autorisation pour permettre à l'utilisateur final d'accorder à votre application l'accès à leurs données protégées. Le protocole de ce flux est spécifié dans Spécification d'attribution de code d'autorisation

Ce flux est implémenté à l'aide de AuthorizationCodeFlow Voici la procédure à suivre :

Si vous n'utilisez pas AuthorizationCodeFlow, vous pouvez utiliser les classes de niveau inférieur:

Flux avec code d'autorisation des servlets

Cette bibliothèque fournit des classes d'assistance de servlet pour simplifier considérablement pour les cas d'utilisation de base. Il suffit de fournir des sous-classes concrètes de AbstractAuthorizationCodeServlet et AbstractAuthorizationCodeCallbackServlet (de google-oauth-client-servlet) et ajoutez-les à votre fichier web.xml. Notez que vous devez toujours vous occuper des utilisateurs pour votre application Web afin d'extraire un ID utilisateur.

Exemple de code :

public class ServletSample extends AbstractAuthorizationCodeServlet {

  @Override
  protected void doGet(HttpServletRequest request, HttpServletResponse response)
      throws IOException {
    // do stuff
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new NetHttpTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialDataStore(
            StoredCredential.getDefaultDataStore(
                new FileDataStoreFactory(new File("datastoredir"))))
        .build();
  }

  @Override
  protected String getUserId(HttpServletRequest req) throws ServletException, IOException {
    // return user ID
  }
}

public class ServletCallbackSample extends AbstractAuthorizationCodeCallbackServlet {

  @Override
  protected void onSuccess(HttpServletRequest req, HttpServletResponse resp, Credential credential)
      throws ServletException, IOException {
    resp.sendRedirect("/");
  }

  @Override
  protected void onError(
      HttpServletRequest req, HttpServletResponse resp, AuthorizationCodeResponseUrl errorResponse)
      throws ServletException, IOException {
    // handle error
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new NetHttpTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialDataStore(
            StoredCredential.getDefaultDataStore(
                new FileDataStoreFactory(new File("datastoredir"))))
        .build();
  }

  @Override
  protected String getUserId(HttpServletRequest req) throws ServletException, IOException {
    // return user ID
  }
}

Flux avec code d'autorisation Google App Engine

Le flux du code d'autorisation sur App Engine est presque identique au servlet. de code d'autorisation, sauf que nous pouvons exploiter API Java Users L'utilisateur doit être connecté pour activer l'API Java Users. pour des informations sur la redirection des utilisateurs vers une page de connexion, s'ils ne l'ont pas déjà fait. connecté, consultez la page Sécurité et authentification (dans web.xml).

La principale différence par rapport au cas des servlets est que vous fournissez des sous-classes de AbstractAppEngineAuthorizationCodeServlet et AbstractAppEngineAuthorizationCodeCallbackServlet (de google-oauth-client-appengine). Ils étendent les classes de servlet abstraites et implémentent la méthode getUserId à votre place à l'aide de l'API Users Java. AppEngineDataStoreFactory (de la bibliothèque cliente HTTP Google pour Java est une bonne option pour conserver les identifiants à l'aide de l'API Google App Engine Data Store).

Exemple de code :

public class AppEngineSample extends AbstractAppEngineAuthorizationCodeServlet {

  @Override
  protected void doGet(HttpServletRequest request, HttpServletResponse response)
      throws IOException {
    // do stuff
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new UrlFetchTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialStore(
            StoredCredential.getDefaultDataStore(AppEngineDataStoreFactory.getDefaultInstance()))
        .build();
  }
}

public class AppEngineCallbackSample extends AbstractAppEngineAuthorizationCodeCallbackServlet {

  @Override
  protected void onSuccess(HttpServletRequest req, HttpServletResponse resp, Credential credential)
      throws ServletException, IOException {
    resp.sendRedirect("/");
  }

  @Override
  protected void onError(
      HttpServletRequest req, HttpServletResponse resp, AuthorizationCodeResponseUrl errorResponse)
      throws ServletException, IOException {
    // handle error
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new UrlFetchTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialStore(
            StoredCredential.getDefaultDataStore(AppEngineDataStoreFactory.getDefaultInstance()))
        .build();
  }
}

Flux avec code d'autorisation en ligne de commande

Exemple de code simplifié issu de dailymotion-cmdline-sample:

/** Authorizes the installed application to access user's protected data. */
private static Credential authorize() throws Exception {
  OAuth2ClientCredentials.errorIfNotSpecified();
  // set up authorization code flow
  AuthorizationCodeFlow flow = new AuthorizationCodeFlow.Builder(BearerToken
      .authorizationHeaderAccessMethod(),
      HTTP_TRANSPORT,
      JSON_FACTORY,
      new GenericUrl(TOKEN_SERVER_URL),
      new ClientParametersAuthentication(
          OAuth2ClientCredentials.API_KEY, OAuth2ClientCredentials.API_SECRET),
      OAuth2ClientCredentials.API_KEY,
      AUTHORIZATION_SERVER_URL).setScopes(Arrays.asList(SCOPE))
      .setDataStoreFactory(DATA_STORE_FACTORY).build();
  // authorize
  LocalServerReceiver receiver = new LocalServerReceiver.Builder().setHost(
      OAuth2ClientCredentials.DOMAIN).setPort(OAuth2ClientCredentials.PORT).build();
  return new AuthorizationCodeInstalledApp(flow, receiver).authorize("user");
}

private static void run(HttpRequestFactory requestFactory) throws IOException {
  DailyMotionUrl url = new DailyMotionUrl("https://api.dailymotion.com/videos/favorites");
  url.setFields("id,tags,title,url");

  HttpRequest request = requestFactory.buildGetRequest(url);
  VideoFeed videoFeed = request.execute().parseAs(VideoFeed.class);
  ...
}

public static void main(String[] args) {
  ...
  DATA_STORE_FACTORY = new FileDataStoreFactory(DATA_STORE_DIR);
  final Credential credential = authorize();
  HttpRequestFactory requestFactory =
      HTTP_TRANSPORT.createRequestFactory(new HttpRequestInitializer() {
        @Override
        public void initialize(HttpRequest request) throws IOException {
          credential.initialize(request);
          request.setParser(new JsonObjectParser(JSON_FACTORY));
        }
      });
  run(requestFactory);
  ...
}

Flux client basé sur le navigateur

Voici les étapes typiques du flux client basé sur le navigateur spécifié dans Spécification d'octroi implicite:

  • Avec BrowserClientRequestUrl, rediriger le navigateur de l'utilisateur final vers la page d'autorisation où il peut d'autoriser votre application à accéder à ses données protégées.
  • Utiliser une application JavaScript pour traiter le jeton d'accès trouvé dans l'URL fragment à l'URI de redirection enregistrée auprès du serveur d'autorisation.

Exemple d'utilisation pour une application Web:

public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
  String url = new BrowserClientRequestUrl(
      "https://server.example.com/authorize", "s6BhdRkqt3").setState("xyz")
      .setRedirectUri("https://client.example.com/cb").build();
  response.sendRedirect(url);
}

Détecter un jeton d'accès expiré

Conformément à la spécification de support OAuth 2.0, Lorsque le serveur est appelé pour accéder à une ressource protégée dont l'accès a expiré le serveur répond généralement par un code d'état HTTP 401 Unauthorized par exemple:

   HTTP/1.1 401 Unauthorized
   WWW-Authenticate: Bearer realm="example",
                     error="invalid_token",
                     error_description="The access token expired"

Cependant, la spécification semble offrir une grande flexibilité. Pour consultez la documentation du fournisseur OAuth 2.0.

Une autre approche consiste à vérifier le paramètre expires_in dans la réponse de jeton d'accès. Cela spécifie la durée de vie en secondes du jeton d'accès accordé, qui est généralement une heure. Toutefois, il est possible que le jeton d'accès n'expire pas de cette période, et le serveur peut continuer à autoriser l'accès. C'est pourquoi nous recommandent généralement d'attendre un code d'état 401 Unauthorized, plutôt que en supposant que le jeton a expiré compte tenu du temps écoulé. Vous pouvez également essayer d'actualiser un jeton d'accès peu de temps avant son expiration. Si le serveur de jetons n'est pas disponible, continuez à utiliser le jeton d'accès jusqu'à ce que vous receviez une 401. Ce est la stratégie utilisée par défaut Identifiant :

Vous pouvez aussi récupérer un nouveau jeton d'accès avant chaque requête, nécessite une requête HTTP supplémentaire au serveur de jetons à chaque fois. Il est donc probable un mauvais choix en termes de vitesse et d’utilisation du réseau. Idéalement, stockez le jeton d'accès dans un espace de stockage persistant et sécurisé, afin de limiter les demandes de nouvel accès d'une application. de jetons. (Mais pour les applications installées, le stockage sécurisé est un problème difficile.)

Notez qu'un jeton d'accès peut devenir non valide pour d'autres raisons que l'expiration, Par exemple, si l'utilisateur a explicitement révoqué le jeton, assurez-vous que votre code de gestion des erreurs est robuste. Une fois que vous avez détecté qu'un jeton n'est plus valide, par exemple s'il a expiré ou a été révoqué, vous devez supprimer l'accès de votre espace de stockage. Sur Android, par exemple, vous devez appeler AccountManager.invalidateAuthToken