OAuth 2.0 et la bibliothèque cliente Google OAuth pour Java

Présentation

Objectif:ce document décrit les fonctions OAuth 2.0 génériques proposées par la bibliothèque cliente Google OAuth pour Java. Vous pouvez utiliser ces fonctions pour l'authentification et l'autorisation de tous les services Internet.

Pour obtenir des instructions sur l'utilisation de GoogleCredential afin de mettre en place l'autorisation OAuth 2.0 avec les services Google, consultez la section Utiliser OAuth 2.0 avec la bibliothèque cliente des API Google pour Java.

Résumé:OAuth 2.0 est une spécification standard qui permet aux utilisateurs finaux d'autoriser de manière sécurisée une application cliente à accéder aux ressources côté serveur protégées. De plus, la spécification du jeton porteur OAuth 2.0 explique comment accéder à ces ressources protégées à l'aide d'un jeton d'accès accordé lors du processus d'autorisation de l'utilisateur final.

Pour en savoir plus, consultez la documentation Javadoc des packages suivants:

• com.google.api.client.auth.oauth2 (à partir de google-oauth-client)
• com.google.api.client.extensions.servlet.auth.oauth2 (de google-oauth-client-servlet)
• com.google.api.client.extensions.appengine.auth.oauth2 (from google-oauth-client-appengine)

Enregistrement du client

Avant d'utiliser la bibliothèque cliente Google OAuth pour Java, vous devrez probablement enregistrer votre application auprès d'un serveur d'autorisation pour recevoir un ID client et un secret client. (Pour obtenir des informations générales sur ce processus, consultez la spécification d'enregistrement du client.)

Identifiants et magasin d'identifiants

Credential est une classe d'assistance OAuth 2.0 thread-safe permettant d'accéder aux ressources protégées à l'aide d'un jeton d'accès. Lorsque vous utilisez un jeton d'actualisation, Credential actualise également le jeton d'accès lorsqu'il expire à l'aide du jeton d'actualisation. Par exemple, si vous disposez déjà d'un jeton d'accès, vous pouvez envoyer une requête comme suit:

  public static HttpResponse executeGet(
      HttpTransport transport, JsonFactory jsonFactory, String accessToken, GenericUrl url)
      throws IOException {
    Credential credential =
        new Credential(BearerToken.authorizationHeaderAccessMethod()).setAccessToken(accessToken);
    HttpRequestFactory requestFactory = transport.createRequestFactory(credential);
    return requestFactory.buildGetRequest(url).execute();
  }

La plupart des applications doivent conserver le jeton d'accès et le jeton d'actualisation des identifiants afin d'éviter une redirection vers la page d'autorisation dans le navigateur. L'implémentation de CredentialStore dans cette bibliothèque est obsolète et doit être supprimée dans les prochaines versions. L'alternative consiste à utiliser les interfaces DataStoreFactory et DataStore avec StoredCredential, qui sont fournies par la bibliothèque cliente HTTP Google pour Java.

Vous pouvez utiliser l'une des implémentations suivantes fournies par la bibliothèque:

• JdoDataStoreFactory conserve les identifiants à l'aide de SKAdNetwork.
• AppEngineDataStoreFactory conserve les identifiants à l'aide de l'API Google App Engine Data Store.
• MemoryDataStoreFactory "perdure" les identifiants en mémoire, ce qui n'est utile que comme stockage à court terme pendant la durée de vie du processus.
• FileDataStoreFactory conserve les identifiants dans un fichier.

Utilisateurs de Google App Engine:

AppEngineCredentialStore est obsolète et sera supprimé.

Nous vous recommandons d'utiliser AppEngineDataStoreFactory avec StoredCredential. Si vous avez stocké des identifiants à l'ancienne, vous pouvez utiliser les méthodes d'assistance ajoutées migrateTo(AppEngineDataStoreFactory) ou migrateTo(DataStore) pour effectuer la migration.

Utilisez DataStoreCredentialRefreshListener, puis définissez-le pour l'identifiant à l'aide de GoogleCredential.Builder.addRefreshListener(CredentialRefreshListener).

Flux avec code d'autorisation

Utilisez le flux de code d'autorisation pour permettre à l'utilisateur final d'autoriser votre application à accéder à ses données protégées. Le protocole de ce flux est spécifié dans la spécification d'attribution du code d'autorisation.

Ce flux est implémenté à l'aide de AuthorizationCodeFlow. Voici la procédure à suivre :

• Un utilisateur final se connecte à votre application. Vous devez associer cet utilisateur à un ID utilisateur propre à votre application.
• Appelez AuthorizationCodeFlow.loadCredential(String), en fonction de l'ID utilisateur, pour vérifier si les identifiants de l'utilisateur sont déjà connus. Si tel est le cas, vous avez terminé.
• Dans le cas contraire, appelez AuthorizationCodeFlow.newAuthorizationUrl() et redirigez le navigateur de l'utilisateur final vers une page d'autorisation où il peut accorder à votre application l'accès à ses données protégées.
• Le navigateur Web est ensuite redirigé vers l'URL de redirection avec un paramètre de requête "code" qui peut ensuite être utilisé pour demander un jeton d'accès à l'aide de AuthorizationCodeFlow.newTokenRequest(String).
• Utilisez AuthorizationCodeFlow.createAndStoreCredential(TokenResponse, String) pour stocker et obtenir des identifiants permettant d'accéder aux ressources protégées.

Si vous n'utilisez pas AuthorizationCodeFlow, vous pouvez également utiliser les classes de niveau inférieur:

• Utilisez DataStore.get(String) pour charger les identifiants à partir du magasin, en fonction de l'ID utilisateur.
• Utilisez AuthorizationCodeRequestUrl pour rediriger le navigateur vers la page d'autorisation.
• Utilisez AuthorizationCodeResponseUrl pour traiter la réponse d'autorisation et analyser le code d'autorisation.
• Utilisez AuthorizationCodeTokenRequest pour demander un jeton d'accès et éventuellement un jeton d'actualisation.
• Créez un identifiant et stockez-le à l'aide de DataStore.set(String, V).
• Accédez aux ressources protégées à l'aide des identifiants. Les jetons d'accès expirés sont automatiquement actualisés à l'aide du jeton d'actualisation, le cas échéant. Veillez à utiliser DataStoreCredentialRefreshListener et à le définir pour les identifiants à l'aide de Credential.Builder.addRefreshListener(CredentialRefreshListener).

Flux du code d'autorisation du servlet

Cette bibliothèque fournit des classes d'assistance de servlet pour simplifier considérablement le flux de code d'autorisation pour les cas d'utilisation de base. Il vous suffit de fournir des sous-classes concrètes de AbstractAuthorizationCodeServlet et de AbstractAuthorizationCodeCallbackServlet (à partir de google-oauth-client-servlet) de les ajouter à votre fichier web.xml. Notez que vous devez toujours vous occuper de la connexion utilisateur pour votre application Web et extraire un ID utilisateur.

Exemple de code :

public class ServletSample extends AbstractAuthorizationCodeServlet {

  @Override
  protected void doGet(HttpServletRequest request, HttpServletResponse response)
      throws IOException {
    // do stuff
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new NetHttpTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialDataStore(
            StoredCredential.getDefaultDataStore(
                new FileDataStoreFactory(new File("datastoredir"))))
        .build();
  }

  @Override
  protected String getUserId(HttpServletRequest req) throws ServletException, IOException {
    // return user ID
  }
}

public class ServletCallbackSample extends AbstractAuthorizationCodeCallbackServlet {

  @Override
  protected void onSuccess(HttpServletRequest req, HttpServletResponse resp, Credential credential)
      throws ServletException, IOException {
    resp.sendRedirect("/");
  }

  @Override
  protected void onError(
      HttpServletRequest req, HttpServletResponse resp, AuthorizationCodeResponseUrl errorResponse)
      throws ServletException, IOException {
    // handle error
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new NetHttpTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialDataStore(
            StoredCredential.getDefaultDataStore(
                new FileDataStoreFactory(new File("datastoredir"))))
        .build();
  }

  @Override
  protected String getUserId(HttpServletRequest req) throws ServletException, IOException {
    // return user ID
  }
}

Flux avec code d'autorisation Google App Engine

Le flux de code d'autorisation sur App Engine est presque identique au flux de code d'autorisation du servlet, sauf que nous pouvons exploiter l'API Java Users de Google App Engine. L'utilisateur doit être connecté pour que l'API Java Users soit activée. Pour savoir comment rediriger les utilisateurs vers une page de connexion s'ils ne sont pas déjà connectés, consultez la section Sécurité et authentification (dans web.xml).

La principale différence avec le cas du servlet est que vous fournissez des sous-classes concrètes de AbstractAppEngineAuthorizationCodeServlet et AbstractAppEngineAuthorizationCodeCallbackServlet (à partir de google-oauth-client-appengine). Ils étendent les classes de servlet abstraites et implémentent la méthode getUserId à votre place à l'aide de l'API Users Java. AppEngineDataStoreFactory (de la bibliothèque cliente HTTP Google pour Java) est une bonne option pour conserver les identifiants à l'aide de l'API Google App Engine Data Store.

Exemple de code :

public class AppEngineSample extends AbstractAppEngineAuthorizationCodeServlet {

  @Override
  protected void doGet(HttpServletRequest request, HttpServletResponse response)
      throws IOException {
    // do stuff
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new UrlFetchTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialStore(
            StoredCredential.getDefaultDataStore(AppEngineDataStoreFactory.getDefaultInstance()))
        .build();
  }
}

public class AppEngineCallbackSample extends AbstractAppEngineAuthorizationCodeCallbackServlet {

  @Override
  protected void onSuccess(HttpServletRequest req, HttpServletResponse resp, Credential credential)
      throws ServletException, IOException {
    resp.sendRedirect("/");
  }

  @Override
  protected void onError(
      HttpServletRequest req, HttpServletResponse resp, AuthorizationCodeResponseUrl errorResponse)
      throws ServletException, IOException {
    // handle error
  }

  @Override
  protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException {
    GenericUrl url = new GenericUrl(req.getRequestURL().toString());
    url.setRawPath("/oauth2callback");
    return url.build();
  }

  @Override
  protected AuthorizationCodeFlow initializeFlow() throws IOException {
    return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(),
        new UrlFetchTransport(),
        new JacksonFactory(),
        new GenericUrl("https://server.example.com/token"),
        new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"),
        "s6BhdRkqt3",
        "https://server.example.com/authorize").setCredentialStore(
            StoredCredential.getDefaultDataStore(AppEngineDataStoreFactory.getDefaultInstance()))
        .build();
  }
}

Flux de code d'autorisation de ligne de commande

Exemple de code simplifié tiré de dailymotion-cmdline-sample:

/** Authorizes the installed application to access user's protected data. */
private static Credential authorize() throws Exception {
  OAuth2ClientCredentials.errorIfNotSpecified();
  // set up authorization code flow
  AuthorizationCodeFlow flow = new AuthorizationCodeFlow.Builder(BearerToken
      .authorizationHeaderAccessMethod(),
      HTTP_TRANSPORT,
      JSON_FACTORY,
      new GenericUrl(TOKEN_SERVER_URL),
      new ClientParametersAuthentication(
          OAuth2ClientCredentials.API_KEY, OAuth2ClientCredentials.API_SECRET),
      OAuth2ClientCredentials.API_KEY,
      AUTHORIZATION_SERVER_URL).setScopes(Arrays.asList(SCOPE))
      .setDataStoreFactory(DATA_STORE_FACTORY).build();
  // authorize
  LocalServerReceiver receiver = new LocalServerReceiver.Builder().setHost(
      OAuth2ClientCredentials.DOMAIN).setPort(OAuth2ClientCredentials.PORT).build();
  return new AuthorizationCodeInstalledApp(flow, receiver).authorize("user");
}

private static void run(HttpRequestFactory requestFactory) throws IOException {
  DailyMotionUrl url = new DailyMotionUrl("https://api.dailymotion.com/videos/favorites");
  url.setFields("id,tags,title,url");

  HttpRequest request = requestFactory.buildGetRequest(url);
  VideoFeed videoFeed = request.execute().parseAs(VideoFeed.class);
  ...
}

public static void main(String[] args) {
  ...
  DATA_STORE_FACTORY = new FileDataStoreFactory(DATA_STORE_DIR);
  final Credential credential = authorize();
  HttpRequestFactory requestFactory =
      HTTP_TRANSPORT.createRequestFactory(new HttpRequestInitializer() {
        @Override
        public void initialize(HttpRequest request) throws IOException {
          credential.initialize(request);
          request.setParser(new JsonObjectParser(JSON_FACTORY));
        }
      });
  run(requestFactory);
  ...
}

Flux client basé sur un navigateur

Voici les étapes typiques du flux client basé sur le navigateur spécifiées dans la spécification d'attribution implicite:

• À l'aide de BrowserClientRequestUrl, redirigez le navigateur de l'utilisateur final vers la page d'autorisation où il peut autoriser votre application à accéder à ses données protégées.
• Utilisez une application JavaScript pour traiter le jeton d'accès trouvé dans le fragment d'URL à l'URI de redirection enregistré auprès du serveur d'autorisation.

Exemple d'utilisation pour une application Web:

public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
  String url = new BrowserClientRequestUrl(
      "https://server.example.com/authorize", "s6BhdRkqt3").setState("xyz")
      .setRedirectUri("https://client.example.com/cb").build();
  response.sendRedirect(url);
}

Détecter un jeton d'accès expiré

Conformément à la spécification de jeton porteur OAuth 2.0, lorsque le serveur est appelé pour accéder à une ressource protégée avec un jeton d'accès expiré, il répond généralement avec un code d'état HTTP 401 Unauthorized, par exemple:

   HTTP/1.1 401 Unauthorized
   WWW-Authenticate: Bearer realm="example",
                     error="invalid_token",
                     error_description="The access token expired"

Toutefois, la spécification semble offrir une grande flexibilité. Pour en savoir plus, consultez la documentation du fournisseur OAuth 2.0.

Vous pouvez également vérifier le paramètre expires_in dans la réponse du jeton d'accès. Ce paramètre spécifie la durée de vie en secondes du jeton d'accès accordé, qui est généralement d'une heure. Toutefois, le jeton d'accès peut ne pas expirer à la fin de cette période et le serveur peut continuer à autoriser l'accès. C'est pourquoi nous recommandons généralement d'attendre un code d'état 401 Unauthorized plutôt que de supposer que le jeton a expiré en fonction du temps écoulé. Vous pouvez également essayer d'actualiser un jeton d'accès peu de temps avant son expiration et, si le serveur de jetons n'est pas disponible, continuer à l'utiliser jusqu'à ce que vous receviez un 401. Il s'agit de la stratégie utilisée par défaut dans Identifiant.

Une autre option consiste à récupérer un nouveau jeton d'accès avant chaque requête, mais cela nécessite une requête HTTP supplémentaire à chaque fois auprès du serveur de jetons. Il s'agit donc probablement d'un mauvais choix en termes de vitesse et d'utilisation du réseau. Idéalement, stockez le jeton d'accès dans un espace de stockage sécurisé et persistant afin de réduire les demandes de nouveaux jetons d'accès d'une application. (Mais pour les applications installées, le stockage sécurisé est un problème difficile.)

Notez qu'un jeton d'accès peut devenir non valide pour d'autres raisons que l'expiration, par exemple si l'utilisateur a révoqué explicitement le jeton. Assurez-vous donc que votre code de gestion des erreurs est robuste. Une fois que vous avez détecté qu'un jeton n'est plus valide, par exemple s'il a expiré ou a été révoqué, vous devez supprimer le jeton d'accès de votre espace de stockage. Sur Android, par exemple, vous devez appeler AccountManager.invalidateAuthToken.