W tym dokumencie wyjaśniamy, jak za pomocą serwletów Java zaimplementować wywołanie zwrotne autoryzacji OAuth 2.0 w przykładowej aplikacji internetowej, która wyświetla zadania użytkownika za pomocą interfejsu Google Tasks API. Przykładowa aplikacja najpierw poprosi o autoryzację dostępu do aplikacji Google Tasks użytkownika, a potem wyświetli jego zadania na domyślnej liście zadań.
Odbiorcy
Ten dokument jest przeznaczony dla osób, które znają architekturę aplikacji internetowych Java i J2EE. Zalecana jest podstawowa znajomość protokołu autoryzacji OAuth 2.0.
Spis treści
Aby uzyskać w pełni działającą wersję próbną, musisz wykonać kilka czynności:
- Zadeklaruj mapowania serwletów w pliku web.xml
- Uwierzytelnianie użytkowników w systemie i żądanie autoryzacji dostępu do zadań
- Odbieranie kodu autoryzacji z punktu końcowego autoryzacji Google
- Wymień kod autoryzacji na token odświeżania i dostępu
- Czytanie i wyświetlanie zadań użytkownika
Deklarowanie mapowań serwera servleta w pliku web.xml
W naszej aplikacji będziemy używać 2 serwletów:
- PrintTasksTitlesServlet (mapowane na /): punkt wejścia aplikacji, który obsługuje uwierzytelnianie użytkownika i wyświetla jego zadania.
- OAuthCodeCallbackHandlerServlet (zmapowany na /oauth2callback): wywołanie zwrotne OAuth 2, które obsługuje odpowiedź z punktu końcowego autoryzacji OAuth.
Poniżej znajduje się plik web.xml, który mapuje te 2 serwery aplikacji internetowej na adresy URL w naszej aplikacji:
<?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> <servlet> <servlet-name>PrintTasksTitles</servlet-name> <servlet-class>com.google.oauthsample.PrintTasksTitlesServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>PrintTasksTitles</servlet-name> <url-pattern>/</url-pattern> </servlet-mapping> <servlet> <servlet-name>OAuthCodeCallbackHandlerServlet</servlet-name> <servlet-class>com.google.oauthsample.OAuthCodeCallbackHandlerServlet</servlet-class> </servlet> <servlet-mapping> <servlet-name>OAuthCodeCallbackHandlerServlet</servlet-name> <url-pattern>/oauth2callback</url-pattern> </servlet-mapping> </web-app>
uwierzytelnianie użytkowników w systemie i żądanie autoryzacji dostępu do zadań;
Użytkownik wchodzi do aplikacji przez podstawowy adres URL „/”, który jest mapowany na serwlet PrintTaskListsTitlesServlet. W tym serweletcie wykonywane są następujące zadania:
- Sprawdzanie, czy użytkownik jest uwierzytelniony w systemie
- Jeśli użytkownik nie jest uwierzytelniony, jest przekierowywany na stronę uwierzytelniania.
- Jeśli użytkownik jest uwierzytelniony, sprawdzamy, czy w naszym magazynie danych znajduje się już token odświeżania. Zajmuje się tym klasa OAuthTokenDao. Jeśli w sklepie nie ma tokena odświeżania, oznacza to, że użytkownik nie przyznał jeszcze aplikacji uprawnień do dostępu do swoich zadań. W takim przypadku użytkownik jest przekierowywany do punktu końcowego autoryzacji OAuth 2.0 w Google.
package com.google.oauthsample; import ... /** * Simple sample Servlet which will display the tasks in the default task list of the user. */ @SuppressWarnings("serial") public class PrintTasksTitlesServlet extends HttpServlet { /** * The OAuth Token DAO implementation, used to persist the OAuth refresh token. * Consider injecting it instead of using a static initialization. Also we are * using a simple memory implementation as a mock. Change the implementation to * using your database system. */ public static OAuthTokenDao oauthTokenDao = new OAuthTokenDaoMemoryImpl(); public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the current user // This is using App Engine's User Service but you should replace this to // your own user/login implementation UserService userService = UserServiceFactory.getUserService(); User user = userService.getCurrentUser(); // If the user is not logged-in it is redirected to the login service, then back to this page if (user == null) { resp.sendRedirect(userService.createLoginURL(getFullRequestUrl(req))); return; } // Checking if we already have tokens for this user in store AccessTokenResponse accessTokenResponse = oauthTokenDao.getKeys(user.getEmail()); // If we don't have tokens for this user if (accessTokenResponse == null) { OAuthProperties oauthProperties = new OAuthProperties(); // Redirect to the Google OAuth 2.0 authorization endpoint resp.sendRedirect(new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(), OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties .getScopesAsString()).build()); return; } } /** * Construct the request's URL without the parameter part. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getFullRequestUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = req.getServletPath(); String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); String queryString = (req.getQueryString() == null) ? "" : "?" + req.getQueryString(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo + queryString; } }
Uwaga: implementacja powyżej korzysta z kilku bibliotek App Engine, które zostały użyte w celu uproszczenia. Jeśli tworzysz aplikację na inną platformę, możesz ponownie zaimplementować interfejs UserService, który obsługuje uwierzytelnianie użytkownika.
Aplikacja używa DAO do przechowywania tokenów autoryzacji użytkownika i dostępu do nich. Poniżej znajduje się interfejs OAuthTokenDao i mockowe (zapisywane w pamięci) wdrożenie OAuthTokenDaoMemoryImpl, które są używane w tym przykładzie:
package com.google.oauthsample; import com.google.api.client.auth.oauth2.draft10.AccessTokenResponse; /** * Allows easy storage and access of authorization tokens. */ public interface OAuthTokenDao { /** * Stores the given AccessTokenResponse using the {@code username}, the OAuth * {@code clientID} and the tokens scopes as keys. * * @param tokens The AccessTokenResponse to store * @param userName The userName associated wit the token */ public void saveKeys(AccessTokenResponse tokens, String userName); /** * Returns the AccessTokenResponse stored for the given username, clientId and * scopes. Returns {@code null} if there is no AccessTokenResponse for this * user and scopes. * * @param userName The username of which to get the stored AccessTokenResponse * @return The AccessTokenResponse of the given username */ public AccessTokenResponse getKeys(String userName); }
package com.google.oauthsample; import com.google.api.client.auth.oauth2.draft10.AccessTokenResponse; ... /** * Quick and Dirty memory implementation of {@link OAuthTokenDao} based on * HashMaps. */ public class OAuthTokenDaoMemoryImpl implements OAuthTokenDao { /** Object where all the Tokens will be stored */ private static Map<String, AccessTokenResponse> tokenPersistance = new HashMap<String, AccessTokenResponse>(); public void saveKeys(AccessTokenResponse tokens, String userName) { tokenPersistance.put(userName, tokens); } public AccessTokenResponse getKeys(String userName) { return tokenPersistance.get(userName); } }
Dane uwierzytelniające OAuth 2.0 aplikacji są też przechowywane w pliku właściwości. Możesz też umieścić je jako stałą wartość w jednej z klas Java, ale tutaj podajemy klasę OAuthProperties i plik oauth.properties używany w tym przykładzie:
package com.google.oauthsample; import ... /** * Object representation of an OAuth properties file. */ public class OAuthProperties { public static final String DEFAULT_OAUTH_PROPERTIES_FILE_NAME = "oauth.properties"; /** The OAuth 2.0 Client ID */ private String clientId; /** The OAuth 2.0 Client Secret */ private String clientSecret; /** The Google APIs scopes to access */ private String scopes; /** * Instantiates a new OauthProperties object reading its values from the * {@code OAUTH_PROPERTIES_FILE_NAME} properties file. * * @throws IOException IF there is an issue reading the {@code propertiesFile} * @throws OauthPropertiesFormatException If the given {@code propertiesFile} * is not of the right format (does not contains the keys {@code * clientId}, {@code clientSecret} and {@code scopes}) */ public OAuthProperties() throws IOException { this(OAuthProperties.class.getResourceAsStream(DEFAULT_OAUTH_PROPERTIES_FILE_NAME)); } /** * Instantiates a new OauthProperties object reading its values from the given * properties file. * * @param propertiesFile the InputStream to read an OAuth Properties file. The * file should contain the keys {@code clientId}, {@code * clientSecret} and {@code scopes} * @throws IOException IF there is an issue reading the {@code propertiesFile} * @throws OAuthPropertiesFormatException If the given {@code propertiesFile} * is not of the right format (does not contains the keys {@code * clientId}, {@code clientSecret} and {@code scopes}) */ public OAuthProperties(InputStream propertiesFile) throws IOException { Properties oauthProperties = new Properties(); oauthProperties.load(propertiesFile); clientId = oauthProperties.getProperty("clientId"); clientSecret = oauthProperties.getProperty("clientSecret"); scopes = oauthProperties.getProperty("scopes"); if ((clientId == null) || (clientSecret == null) || (scopes == null)) { throw new OAuthPropertiesFormatException(); } } /** * @return the clientId */ public String getClientId() { return clientId; } /** * @return the clientSecret */ public String getClientSecret() { return clientSecret; } /** * @return the scopes */ public String getScopesAsString() { return scopes; } /** * Thrown when the OAuth properties file was not at the right format, i.e not * having the right properties names. */ @SuppressWarnings("serial") public class OAuthPropertiesFormatException extends RuntimeException { } }
Poniżej znajduje się plik oauth.properties zawierający dane logowania OAuth 2.0 Twojej aplikacji. Musisz samodzielnie zmienić wartości poniżej.
# Client ID and secret. They can be found in the APIs console. clientId=1234567890.apps.googleusercontent.com clientSecret=aBcDeFgHiJkLmNoPqRsTuVwXyZ # API scopes. Space separated. scopes=https://www.googleapis.com/auth/tasks
Identyfikator klienta OAuth 2.0 i tajny klucz klienta identyfikują Twoją aplikację i umożliwiają interfejsowi Tasks API stosowanie filtrów i reguł dotyczących limitów zdefiniowanych dla Twojej aplikacji. Identyfikator klienta i klucz tajny znajdziesz w Konsoli interfejsów API Google. W konsoli:
- Utwórz lub wybierz projekt.
- Włącz interfejs Tasks API, przełączając jego stan na WŁĄCZONY na liście usług.
- W sekcji Dostęp do interfejsu API utwórz identyfikator klienta OAuth 2.0, jeśli nie został on jeszcze utworzony.
- Upewnij się, że adres URL modułu obsługi wywołania zwrotnego kodu OAuth 2.0 w projekcie jest zarejestrowany lub znajduje się na białej liście w identyfikatorach URI przekierowania. Na przykład w tym przykładowym projekcie musisz zarejestrować adres https://www.example.com/oauth2callback, jeśli Twoja aplikacja internetowa jest obsługiwana z domeny https://www.example.com.

Odbieranie kodu autoryzacji z punktu końcowego autoryzacji Google
Jeśli użytkownik nie autoryzował jeszcze aplikacji do dostępu do swoich zadań i został przekierowany do punktu końcowego autoryzacji OAuth 2.0 w Google, wyświetli się okno autoryzacji Google z prośbą o przyznanie aplikacji dostępu do jej zadań:

Po udzieleniu lub odmowie przyznania dostępu użytkownik zostanie przekierowany z powrotem do funkcji obsługi wywołania zwrotnego kodu OAuth 2.0, która została określona jako przekierowanie lub wywołanie zwrotne podczas tworzenia adresu URL autoryzacji Google:
new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(), OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties .getScopesAsString()).build()
Obsługa wywołania zwrotnego kodu OAuth 2.0 (OAuthCodeCallbackHandlerServlet) obsługuje przekierowanie z punktu końcowego Google OAuth 2.0. Istnieją 2 przypadki:
- Użytkownik przyznał dostęp: analizuje żądanie, aby uzyskać kod OAuth 2.0 z parametrów adresu URL.
- Użytkownik odmówił dostępu: wyświetla wiadomość dla użytkownika
package com.google.oauthsample; import ... /** * Servlet handling the OAuth callback from the authentication service. We are * retrieving the OAuth code, then exchanging it for a refresh and an access * token and saving it. */ @SuppressWarnings("serial") public class OAuthCodeCallbackHandlerServlet extends HttpServlet { /** The name of the Oauth code URL parameter */ public static final String CODE_URL_PARAM_NAME = "code"; /** The name of the OAuth error URL parameter */ public static final String ERROR_URL_PARAM_NAME = "error"; /** The URL suffix of the servlet */ public static final String URL_MAPPING = "/oauth2callback"; public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the "error" URL parameter String[] error = req.getParameterValues(ERROR_URL_PARAM_NAME); // Checking if there was an error such as the user denied access if (error != null && error.length > 0) { resp.sendError(HttpServletResponse.SC_NOT_ACCEPTABLE, "There was an error: \""+error[0]+"\"."); return; } // Getting the "code" URL parameter String[] code = req.getParameterValues(CODE_URL_PARAM_NAME); // Checking conditions on the "code" URL parameter if (code == null || code.length == 0) { resp.sendError(HttpServletResponse.SC_BAD_REQUEST, "The \"code\" URL parameter is missing"); return; } } /** * Construct the OAuth code callback handler URL. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getOAuthCodeCallbackHandlerUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = URL_MAPPING; String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo; } }
Wymień kod autoryzacji na token odświeżania i token dostępu
Następnie OAuthCodeCallbackHandlerServlet zamienia kod Auth 2.0 na tokeny odświeżania i dostępu, zapisuje je w danych i przekierowuje użytkownika z powrotem do adresu URL PrintTaskListsTitlesServlet:
Kod dodany do pliku poniżej jest wyróżniony składnią, a istniejący kod jest wyszarzony.
package com.google.oauthsample; import ... /** * Servlet handling the OAuth callback from the authentication service. We are * retrieving the OAuth code, then exchanging it for a refresh and an access * token and saving it. */ @SuppressWarnings("serial") public class OAuthCodeCallbackHandlerServlet extends HttpServlet { /** The name of the Oauth code URL parameter */ public static final String CODE_URL_PARAM_NAME = "code"; /** The name of the OAuth error URL parameter */ public static final String ERROR_URL_PARAM_NAME = "error"; /** The URL suffix of the servlet */ public static final String URL_MAPPING = "/oauth2callback";
public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the "error" URL parameter String[] error = req.getParameterValues(ERROR_URL_PARAM_NAME); // Checking if there was an error such as the user denied access if (error != null && error.length > 0) { resp.sendError(HttpServletResponse.SC_NOT_ACCEPTABLE, "There was an error: \""+error[0]+"\"."); return; } // Getting the "code" URL parameter String[] code = req.getParameterValues(CODE_URL_PARAM_NAME); // Checking conditions on the "code" URL parameter if (code == null || code.length == 0) { resp.sendError(HttpServletResponse.SC_BAD_REQUEST, "The \"code\" URL parameter is missing"); return; }
/** * Construct the OAuth code callback handler URL. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getOAuthCodeCallbackHandlerUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = URL_MAPPING; String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo; }
Uwaga: implementacja powyżej używa niektórych bibliotek App Engine, które zostały użyte w celu uproszczenia. Jeśli tworzysz aplikację na inną platformę, możesz ponownie zaimplementować interfejs UserService, który obsługuje uwierzytelnianie użytkownika.
odczytywanie i wyświetlanie zadań użytkownika;
Użytkownik przyznał aplikacji dostęp do swoich zadań. Aplikacja ma token odświeżania zapisany w danych aplikacji, do którego można uzyskać dostęp za pomocą klasy OAuthTokenDao. Serwlet PrintTaskListsTitlesServlet może teraz używać tych tokenów, aby uzyskać dostęp do zadań użytkownika i je wyświetlać:
Kod dodany do pliku poniżej jest wyróżniony składnią, a istniejący kod jest wyszarzony.
package com.google.oauthsample; import ... /** * Simple sample Servlet which will display the tasks in the default task list of the user. */ @SuppressWarnings("serial") public class PrintTasksTitlesServlet extends HttpServlet { /** * The OAuth Token DAO implementation, used to persist the OAuth refresh token. * Consider injecting it instead of using a static initialization. Also we are * using a simple memory implementation as a mock. Change the implementation to * using your database system. */ public static OAuthTokenDao oauthTokenDao = new OAuthTokenDaoMemoryImpl(); public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the current user // This is using App Engine's User Service but you should replace this to // your own user/login implementation UserService userService = UserServiceFactory.getUserService(); User user = userService.getCurrentUser(); // If the user is not logged-in it is redirected to the login service, then back to this page if (user == null) { resp.sendRedirect(userService.createLoginURL(getFullRequestUrl(req))); return; } // Checking if we already have tokens for this user in store AccessTokenResponse accessTokenResponse = oauthTokenDao.getKeys(user.getEmail()); // If we don't have tokens for this user if (accessTokenResponse == null) { OAuthProperties oauthProperties = new OAuthProperties(); // Redirect to the Google OAuth 2.0 authorization endpoint resp.sendRedirect(new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(), OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties .getScopesAsString()).build()); return; }
} /** * Construct the request's URL without the parameter part. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getFullRequestUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = req.getServletPath(); String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); String queryString = (req.getQueryString() == null) ? "" : "?" + req.getQueryString(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo + queryString; }
Użytkownik zobaczy swoje zadania:

Przykładowa aplikacja
Kod tej przykładowej aplikacji możesz pobrać tutaj. Możesz się z nimi zapoznać.