Questo documento spiega come implementare un gestore di callback di autorizzazione OAuth 2.0 utilizzando i servlet Java tramite un'applicazione web di esempio che mostrerà le attività dell'utente utilizzando l'API Google Tasks. L'applicazione di esempio richiederà prima l'autorizzazione ad accedere a Google Tasks dell'utente, quindi mostrerà le attività dell'utente nell'elenco delle attività predefinite.
Pubblico
Questo documento è rivolto a persone che hanno familiarità con l'architettura delle applicazioni web Java e J2EE. Si consiglia una certa conoscenza del flusso di autorizzazione OAuth 2.0.
Sommario
Per questo esempio completamente funzionante sono necessari diversi passaggi:
- Dichiara le mappature servlet nel file web.xml
- Autenticare gli utenti sul tuo sistema e richiedere l'autorizzazione ad accedere alle relative attività
- Ascoltare il codice di autorizzazione dall'endpoint di autorizzazione di Google
- Scambia il codice di autorizzazione con un token di aggiornamento e di accesso
- Leggi le attività dell'utente e visualizzale
Dichiara le mappature servlet nel file web.xml
Useremo 2 servlet nella nostra applicazione:
- PrintTasksTitlesServlet (mappato a /): il punto di accesso dell'applicazione che gestirà l'autenticazione utente e mostrerà le attività dell'utente.
- OAuthCodeCallbackHandlerServlet (mappato a /oauth2callback): il callback OAuth 2.0 che gestisce la risposta dall'endpoint di autorizzazione OAuth.
Di seguito è riportato il file web.xml che mappa questi due servlet agli URL nella nostra applicazione:
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<servlet>
<servlet-name>PrintTasksTitles</servlet-name>
<servlet-class>com.google.oauthsample.PrintTasksTitlesServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>PrintTasksTitles</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<servlet>
<servlet-name>OAuthCodeCallbackHandlerServlet</servlet-name>
<servlet-class>com.google.oauthsample.OAuthCodeCallbackHandlerServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>OAuthCodeCallbackHandlerServlet</servlet-name>
<url-pattern>/oauth2callback</url-pattern>
</servlet-mapping>
</web-app>
File /WEB-INF/web.xml
Autentica gli utenti sul tuo sistema e richiedi l'autorizzazione per accedere alle sue attività
L'utente inserisce l'applicazione tramite la barra principale "/". URL che è mappato al servlet PrintTaskListsTitlesServlet. Nel servlet vengono eseguite le seguenti attività:
- Controlla se l'utente è autenticato sul sistema
- Se l'utente non è autenticato, viene reindirizzato alla pagina di autenticazione
- Se l'utente è autenticato, controlliamo se abbiamo già un token di aggiornamento nel nostro spazio di archiviazione dei dati, che viene gestito da OAuthTokenDao qui sotto. Se non è disponibile alcun token di aggiornamento per l'utente, significa che l'utente non ha ancora concesso all'applicazione l'autorizzazione ad accedere alle sue attività. In questo caso, l'utente viene reindirizzato all'endpoint di autorizzazione OAuth 2.0 di Google.
package com.google.oauthsample;
import ...
/**
* Simple sample Servlet which will display the tasks in the default task list of the user.
*/
@SuppressWarnings("serial")
public class PrintTasksTitlesServlet extends HttpServlet {
/**
* The OAuth Token DAO implementation, used to persist the OAuth refresh token.
* Consider injecting it instead of using a static initialization. Also we are
* using a simple memory implementation as a mock. Change the implementation to
* using your database system.
*/
public static OAuthTokenDao oauthTokenDao = new OAuthTokenDaoMemoryImpl();
public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
// Getting the current user
// This is using App Engine's User Service but you should replace this to
// your own user/login implementation
UserService userService = UserServiceFactory.getUserService();
User user = userService.getCurrentUser();
// If the user is not logged-in it is redirected to the login service, then back to this page
if (user == null) {
resp.sendRedirect(userService.createLoginURL(getFullRequestUrl(req)));
return;
}
// Checking if we already have tokens for this user in store
AccessTokenResponse accessTokenResponse = oauthTokenDao.getKeys(user.getEmail());
// If we don't have tokens for this user
if (accessTokenResponse == null) {
OAuthProperties oauthProperties = new OAuthProperties();
// Redirect to the Google OAuth 2.0 authorization endpoint
resp.sendRedirect(new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(),
OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties
.getScopesAsString()).build());
return;
}
}
/**
* Construct the request's URL without the parameter part.
*
* @param req the HttpRequest object
* @return The constructed request's URL
*/
public static String getFullRequestUrl(HttpServletRequest req) {
String scheme = req.getScheme() + "://";
String serverName = req.getServerName();
String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort();
String contextPath = req.getContextPath();
String servletPath = req.getServletPath();
String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo();
String queryString = (req.getQueryString() == null) ? "" : "?" + req.getQueryString();
return scheme + serverName + serverPort + contextPath + servletPath + pathInfo + queryString;
}
}
File PrintTasksTitlesServlet.java
Nota: l'implementazione sopra riportata utilizza alcune librerie di App Engine, queste vengono utilizzate per semplificare l'implementazione. Se stai sviluppando per un'altra piattaforma, non esitare a implementare nuovamente l'interfaccia UserService che gestisce l'autenticazione degli utenti.
L'applicazione utilizza un DAO per mantenere e accedere ai token di autorizzazione dell'utente. Di seguito sono riportati l'interfaccia OAuthTokenDao e una simulazione di implementazione (in memoria) OAuthTokenDaoMemoryImpl, utilizzati in questo esempio:
package com.google.oauthsample;
import com.google.api.client.auth.oauth2.draft10.AccessTokenResponse;
/**
* Allows easy storage and access of authorization tokens.
*/
public interface OAuthTokenDao {
/**
* Stores the given AccessTokenResponse using the {@code username}, the OAuth
* {@code clientID} and the tokens scopes as keys.
*
* @param tokens The AccessTokenResponse to store
* @param userName The userName associated wit the token
*/
public void saveKeys(AccessTokenResponse tokens, String userName);
/**
* Returns the AccessTokenResponse stored for the given username, clientId and
* scopes. Returns {@code null} if there is no AccessTokenResponse for this
* user and scopes.
*
* @param userName The username of which to get the stored AccessTokenResponse
* @return The AccessTokenResponse of the given username
*/
public AccessTokenResponse getKeys(String userName);
}
File OAuthTokenDao.java
package com.google.oauthsample;
import com.google.api.client.auth.oauth2.draft10.AccessTokenResponse;
...
/**
* Quick and Dirty memory implementation of {@link OAuthTokenDao} based on
* HashMaps.
*/
public class OAuthTokenDaoMemoryImpl implements OAuthTokenDao {
/** Object where all the Tokens will be stored */
private static Map tokenPersistance = new HashMap();
public void saveKeys(AccessTokenResponse tokens, String userName) {
tokenPersistance.put(userName, tokens);
}
public AccessTokenResponse getKeys(String userName) {
return tokenPersistance.get(userName);
}
}
File OAuthTokenDaoMemoryImpl.java
Inoltre, le credenziali OAuth 2.0 per l'applicazione vengono memorizzate in un file delle proprietà. In alternativa, potresti semplicemente averli come costante in una delle tue classi Java, sebbene qui siano la classe OAuthProperties e il file oauth.properties utilizzato nell'esempio:
package com.google.oauthsample;
import ...
/**
* Object representation of an OAuth properties file.
*/
public class OAuthProperties {
public static final String DEFAULT_OAUTH_PROPERTIES_FILE_NAME = "oauth.properties";
/** The OAuth 2.0 Client ID */
private String clientId;
/** The OAuth 2.0 Client Secret */
private String clientSecret;
/** The Google APIs scopes to access */
private String scopes;
/**
* Instantiates a new OauthProperties object reading its values from the
* {@code OAUTH_PROPERTIES_FILE_NAME} properties file.
*
* @throws IOException IF there is an issue reading the {@code propertiesFile}
* @throws OauthPropertiesFormatException If the given {@code propertiesFile}
* is not of the right format (does not contains the keys {@code
* clientId}, {@code clientSecret} and {@code scopes})
*/
public OAuthProperties() throws IOException {
this(OAuthProperties.class.getResourceAsStream(DEFAULT_OAUTH_PROPERTIES_FILE_NAME));
}
/**
* Instantiates a new OauthProperties object reading its values from the given
* properties file.
*
* @param propertiesFile the InputStream to read an OAuth Properties file. The
* file should contain the keys {@code clientId}, {@code
* clientSecret} and {@code scopes}
* @throws IOException IF there is an issue reading the {@code propertiesFile}
* @throws OAuthPropertiesFormatException If the given {@code propertiesFile}
* is not of the right format (does not contains the keys {@code
* clientId}, {@code clientSecret} and {@code scopes})
*/
public OAuthProperties(InputStream propertiesFile) throws IOException {
Properties oauthProperties = new Properties();
oauthProperties.load(propertiesFile);
clientId = oauthProperties.getProperty("clientId");
clientSecret = oauthProperties.getProperty("clientSecret");
scopes = oauthProperties.getProperty("scopes");
if ((clientId == null) || (clientSecret == null) || (scopes == null)) {
throw new OAuthPropertiesFormatException();
}
}
/**
* @return the clientId
*/
public String getClientId() {
return clientId;
}
/**
* @return the clientSecret
*/
public String getClientSecret() {
return clientSecret;
}
/**
* @return the scopes
*/
public String getScopesAsString() {
return scopes;
}
/**
* Thrown when the OAuth properties file was not at the right format, i.e not
* having the right properties names.
*/
@SuppressWarnings("serial")
public class OAuthPropertiesFormatException extends RuntimeException {
}
}
File OAuthProperties.java
Di seguito è riportato il file oauth.properties, che contiene le credenziali OAuth 2.0 dell'applicazione. Devi modificare autonomamente i valori seguenti.
# Client ID and secret. They can be found in the APIs console. clientId=1234567890.apps.googleusercontent.com clientSecret=aBcDeFgHiJkLmNoPqRsTuVwXyZ # API scopes. Space separated. scopes=https://www.googleapis.com/auth/tasks
File oauth.properties
L'ID client OAuth 2.0 e il client secret identificano la tua applicazione e consentono all'API Tasks di applicare filtri e regole di quota definiti per la tua applicazione. Il client ID e il secret sono disponibili nella console API di Google. Una volta visualizzata la console, dovrai:
- Crea o seleziona un progetto.
- Abilita l'API Tasks impostando il relativo stato su ON nell'elenco dei servizi.
- In Accesso API, crea un ID client OAuth 2.0, se non ne è stato ancora creato uno.
- Assicurati che l'URL del gestore di callback del codice OAuth 2.0 del progetto sia registrato/autorizzato in URI di reindirizzamento. Ad esempio, in questo progetto di esempio dovresti registrare https://www.example.com/oauth2callback se la tua applicazione web viene gestita dal dominio https://www.example.com.
URI di reindirizzamento nella console API
Ascolta il codice di autorizzazione dall'endpoint di autorizzazione Google
Nel caso in cui l'utente non abbia ancora autorizzato l'applicazione ad accedere alle sue attività e sia stato reindirizzato all'endpoint di autorizzazione OAuth 2.0 di Google, visualizzerà una finestra di dialogo di autorizzazione di Google che chiede all'utente di concedere alla tua applicazione l'accesso alle sue attività:
Finestra di dialogo di autorizzazione di Google
Dopo aver concesso o negato l'accesso, l'utente verrà reindirizzato al gestore di callback del codice OAuth 2.0, specificato come reindirizzamento/callback durante la creazione dell'URL di autorizzazione di Google:
new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(),
OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties
.getScopesAsString()).build()
Il gestore di callback del codice OAuth 2.0, OAuthCodeCallbackHandlerServlet, gestisce il reindirizzamento dall'endpoint OAuth 2.0 di Google. Sono disponibili due casi da gestire:
- L'utente ha concesso l'accesso: analizza la richiesta per ottenere il codice OAuth 2.0 dai parametri URL
- L'utente ha negato l'accesso: mostra un messaggio all'utente
package com.google.oauthsample;
import ...
/**
* Servlet handling the OAuth callback from the authentication service. We are
* retrieving the OAuth code, then exchanging it for a refresh and an access
* token and saving it.
*/
@SuppressWarnings("serial")
public class OAuthCodeCallbackHandlerServlet extends HttpServlet {
/** The name of the Oauth code URL parameter */
public static final String CODE_URL_PARAM_NAME = "code";
/** The name of the OAuth error URL parameter */
public static final String ERROR_URL_PARAM_NAME = "error";
/** The URL suffix of the servlet */
public static final String URL_MAPPING = "/oauth2callback";
public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
// Getting the "error" URL parameter
String[] error = req.getParameterValues(ERROR_URL_PARAM_NAME);
// Checking if there was an error such as the user denied access
if (error != null && error.length > 0) {
resp.sendError(HttpServletResponse.SC_NOT_ACCEPTABLE, "There was an error: \""+error[0]+"\".");
return;
}
// Getting the "code" URL parameter
String[] code = req.getParameterValues(CODE_URL_PARAM_NAME);
// Checking conditions on the "code" URL parameter
if (code == null || code.length == 0) {
resp.sendError(HttpServletResponse.SC_BAD_REQUEST, "The \"code\" URL parameter is missing");
return;
}
}
/**
* Construct the OAuth code callback handler URL.
*
* @param req the HttpRequest object
* @return The constructed request's URL
*/
public static String getOAuthCodeCallbackHandlerUrl(HttpServletRequest req) {
String scheme = req.getScheme() + "://";
String serverName = req.getServerName();
String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort();
String contextPath = req.getContextPath();
String servletPath = URL_MAPPING;
String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo();
return scheme + serverName + serverPort + contextPath + servletPath + pathInfo;
}
}
File OAuthCodeCallbackGestioneServlet.java
Scambia il codice di autorizzazione con un token di aggiornamento e di accesso
A questo punto, OAuthCodeCallbackHandlerServlet scambia il codice Auth 2.0 con un aggiornamento e dei token di accesso, lo rende persistente nel datastore e reindirizza l'utente all'URL OAuthCodeCallbackHandlerServlet:
Il codice aggiunto al file seguente è evidenziato per la sintassi, mentre il codice già esistente non è selezionabile.
package com.google.oauthsample; import ... /** * Servlet handling the OAuth callback from the authentication service. We are * retrieving the OAuth code, then exchanging it for a refresh and an access * token and saving it. */ @SuppressWarnings("serial") public class OAuthCodeCallbackHandlerServlet extends HttpServlet { /** The name of the Oauth code URL parameter */ public static final String CODE_URL_PARAM_NAME = "code"; /** The name of the OAuth error URL parameter */ public static final String ERROR_URL_PARAM_NAME = "error"; /** The URL suffix of the servlet */ public static final String URL_MAPPING = "/oauth2callback";/** L'URL a cui reindirizzare l'utente dopo aver gestito il callback. Prendi in considerazione * Salvando questo messaggio in un cookie prima di reindirizzare gli utenti alla * URL di autorizzazione se disponi di più URL a cui reindirizzare gli utenti. */ Stringa finale statica pubblica REDIRECT_URL = "/"; /** L'implementazione DAO del token OAuth. Valuta la possibilità di iniettarlo anziché utilizzarlo * Un'inizializzazione statica. Usiamo anche una semplice implementazione della memoria *. Cambia l'implementazione in modo che utilizzi il tuo sistema di database. */ pubblico statico OAuthTokenDao oauthTokenDao = new OAuthTokenDaoMemoryImpl()public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the "error" URL parameter String[] error = req.getParameterValues(ERROR_URL_PARAM_NAME); // Checking if there was an error such as the user denied access if (error != null && error.length > 0) { resp.sendError(HttpServletResponse.SC_NOT_ACCEPTABLE, "There was an error: \""+error[0]+"\"."); return; } // Getting the "code" URL parameter String[] code = req.getParameterValues(CODE_URL_PARAM_NAME); // Checking conditions on the "code" URL parameter if (code == null || code.length == 0) { resp.sendError(HttpServletResponse.SC_BAD_REQUEST, "The \"code\" URL parameter is missing"); return; }// Costruire URL richiesta in entrata String requestUrl = getOAuthCodeCallbackGestoriUrl(req); // Scambia il codice con i token OAuth AccessTokenResponse accessTokenResponse = ExchangeCodeForAccessAndRefreshTokens(codice[0], requestUrl); // Recupero dell'utente corrente // Utilizza il servizio utente di App Engine ma dovresti sostituirlo con // la tua implementazione utente/accesso UserService userService = UserServiceFAB.getUserService() String email = userService.getCurrentUser().getEmail() // Salva i token oauthTokenDao.saveKeys(accessTokenResponse, e-mail); resp.sendRedirect(REDIRECT_URL); }/** * Construct the OAuth code callback handler URL. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getOAuthCodeCallbackHandlerUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = URL_MAPPING; String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo; }/** * Scambia il codice specificato con uno scambio e un token di aggiornamento. * * @param code Il codice ottenuto dal servizio di autorizzazione * @param currentUrl L'URL del callback * @param oauthProperties L'oggetto contenente la configurazione OAuth * @return L'oggetto contenente un token di accesso e un token di aggiornamento * @throws IOException */ Public AccessTokenResponse exchangeCodeForAccessAndRefreshTokens(Codice stringa, stringa currentUrl) throws IOException { HttpTransport httpTransport = new NetHttpTransport() Jackson Fabbrica json file = new Jackson Fabbrica() // Caricamento del file di configurazione OAuth OAuthProperties oauthProperties = new OAuthProperties() restituisce nuovo GoogleAuthorizationCodeGrant(httpTransport, jsonFAB, oauthProperties) .getClientId(), oauthProperties.getClientSecret(), codice, currentUrl).execute() } }File OAuthCodeCallbackGestioneServlet.javaNota: l'implementazione sopra riportata utilizza alcune librerie di App Engine, queste vengono utilizzate per semplificare l'implementazione. Se stai sviluppando per un'altra piattaforma, non esitare a implementare nuovamente l'interfaccia UserService che gestisce l'autenticazione degli utenti.
Leggi e visualizza le attività dell'utente
L'utente ha concesso all'applicazione l'accesso alle proprie attività. L'applicazione dispone di un token di aggiornamento che viene salvato nel datastore accessibile tramite OAuthTokenDao. Il servlet PrintTaskListsTitlesServlet ora può utilizzare questi token per accedere alle attività dell'utente e visualizzarle:
Il codice aggiunto al file seguente è evidenziato per la sintassi, mentre il codice già esistente non è selezionabile.
package com.google.oauthsample; import ... /** * Simple sample Servlet which will display the tasks in the default task list of the user. */ @SuppressWarnings("serial") public class PrintTasksTitlesServlet extends HttpServlet { /** * The OAuth Token DAO implementation, used to persist the OAuth refresh token. * Consider injecting it instead of using a static initialization. Also we are * using a simple memory implementation as a mock. Change the implementation to * using your database system. */ public static OAuthTokenDao oauthTokenDao = new OAuthTokenDaoMemoryImpl(); public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the current user // This is using App Engine's User Service but you should replace this to // your own user/login implementation UserService userService = UserServiceFactory.getUserService(); User user = userService.getCurrentUser(); // If the user is not logged-in it is redirected to the login service, then back to this page if (user == null) { resp.sendRedirect(userService.createLoginURL(getFullRequestUrl(req))); return; } // Checking if we already have tokens for this user in store AccessTokenResponse accessTokenResponse = oauthTokenDao.getKeys(user.getEmail()); // If we don't have tokens for this user if (accessTokenResponse == null) { OAuthProperties oauthProperties = new OAuthProperties(); // Redirect to the Google OAuth 2.0 authorization endpoint resp.sendRedirect(new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(), OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties .getScopesAsString()).build()); return; }// Stampa i titoli degli elenchi di attività dell'utente nella risposta resp.setContentType("text/plain"); resp.getWriter().append("Titoli di attività per l'utente " + user.getEmail() + ":\n\n"); stampaTasksTitles(accessTokenResponse, resp.getWriter();} /** * Construct the request's URL without the parameter part. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getFullRequestUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = req.getServletPath(); String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); String queryString = (req.getQueryString() == null) ? "" : "?" + req.getQueryString(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo + queryString; }/** * Utilizza l'API Google Tasks per recuperare un elenco delle attività degli utenti nell'elenco * elenco delle attività. * * @param accessTokenResponse Oggetto AccessTokenResponse di OAuth 2.0 * contenente il token di accesso e un token di aggiornamento. * @param restituisce l'autore dello stream di output dove ritroviare i titoli degli elenchi delle attività * @return Un elenco di titoli di attività dell'utente nell'elenco di attività predefinito. * @throws IOException */ public void printTasksTitles(AccessTokenResponse accessTokenResponse, Writer output) throws IOException { // Inizializzazione del servizio Tasks Trasporto HttpTransport = new NetHttpTransport() H OAuthProperties oauthProperties = new OAuthProperties() GoogleAccessProtectedResource accessProtectedResource = new GoogleAccessProtectedResource( accessTokenResponse.accessToken, transit, jsonfactory, oauthProperties.getClientId(), oauthProperties.getClientSecret(), accessTokenResponse.refreshToken); Servizio Tasks = new Tasks(transport, accessProtectedResource, jsonFA); // Utilizzo del servizio API Tasks inizializzato per eseguire query sull'elenco di elenchi di attività com.google.api.services.tasks.model.Tasks tasks = service.tasks.list("@default").execute(); for (Task task : tasks.items) { output.append(task.title + "\n"); } } }File PrintTasksTitlesServlet.javaL'utente verrà visualizzato con le sue attività:
Le attività dell'utenteApplicazione di esempio
È possibile scaricare il codice di questa applicazione di esempio qui. Non esitare a dare un'occhiata.