Skip to content

Latest commit

 

History

History
263 lines (198 loc) · 12.6 KB

README.ja.md

File metadata and controls

263 lines (198 loc) · 12.6 KB

認可サーバー実装 (Java)

概要

OAuth 2.0OpenID Connect をサポートする認可サーバーの Java による実装です。

この実装は JAX-RS 2.0 API と authlete-java-jaxrs ライブラリを用いて書かれています。 JAX-RS は The Java API for RESTful Web Services です。 JAX-RS 2.0 API は JSR 339 で標準化され、Java EE 7 に含まれています。 一方、authlete-java-jaxrs は、認可サーバーとリソースサーバーを実装するためのユーティリティークラス群を提供するオープンソースライブラリです。 authlete-java-jaxrs は authlete-java-common ライブラリを使用しており、こちらは Authlete Web API とやりとりするためのオープンソースライブラリです。

この実装は「DB レス」です。 これの意味するところは、認可データ (アクセストークン等) や認可サーバー自体の設定、クライアントアプリケーション群の設定を保持するためのデータベースを用意する必要がないということです。 これは、Authlete をバックエンドサービスとして利用することにより実現しています。

この認可サーバーにより発行されたアクセストークンは、Authlete をバックエンドサービスとして利用しているリソースサーバーに対して使うことができます。 java-resource-server はそのようなリソースサーバーの実装です。 OpenID Connect Core 1.0 で定義されているユーザー情報エンドポイントをサポートし、 保護リソースエンドポイントの実装例も含んでいます。

ライセンス

Apache License, Version 2.0

ソースコード

https://github.com/authlete/java-oauth-server

Authlete について

Authlete (オースリート) は、OAuth 2.0 & OpenID Connect の実装をクラウドで提供するサービスです (overview)。 Authlete が提供するデフォルト実装を使うことにより、もしくはこの実装 (java-oauth-server) でおこなっているように Authlete Web API を用いて認可サーバーを自分で実装することにより、OAuth 2.0 と OpenID Connect の機能を簡単に実現できます。

この認可サーバーの実装を使うには、Authlete から API クレデンシャルズを取得し、authlete.properties に設定する必要があります。 API クレデンシャルズを取得する手順はとても簡単です。 単にアカウントを登録するだけで済みます (サインアップ)。 詳細は Getting Started を参照してください。

実行方法

  1. この認可サーバーの実装をダウンロードします。

     $ git clone https://github.com/authlete/java-oauth-server.git
     $ cd java-oauth-server
    
  2. 設定ファイルを編集して API クレデンシャルズをセットします。

     $ vi authlete.properties
    
  3. maven がインストールされていること、 JAVA_HOME が適切に設定されていることを確認します。

  4. http://localhost:8080 で認可サーバーを起動します。

     $ mvn jetty:run &
    

Docker を利用する

Docker を利用する場合は, ステップ 2 の後に以下のコマンドを実行してください.

$ docker-compose up

設定ファイル

java-oauth-serverauthlete.properties を設定ファイルとして参照します。 他のファイルを使用したい場合は、次のようにそのファイルの名前をシステムプロパティー authlete.configuration.file で指定してください。

$ mvn -Dauthlete.configuration.file=local.authlete.properties jetty:run &

エンドポイント

この実装は、下表に示すエンドポイントを公開します。

エンドポイント パス
認可エンドポイント /api/authorization
トークンエンドポイント /api/token
JWK Set エンドポイント /api/jwks
設定エンドポイント /.well-known/openid-configuration
取り消しエンドポイント /api/revocation
イントロスペクションエンドポイント /api/introspection
動的クライアント登録エンドポイント /api/register

認可エンドポイントとトークンエンドポイントは、RFC 6749OpenID Connect Core 1.0OAuth 2.0 Multiple Response Type Encoding PracticesRFC 7636 (PKCE)、 その他の仕様で説明されているパラメーター群を受け付けます。

JWK Set エンドポイントは、クライアントアプリケーションが (1) この OpenID プロバイダーによる署名を検証できるようにするため、また (2) この OpenID へのリクエストを暗号化できるようにするため、JSON Web Key Set ドキュメント (JWK Set) を公開します。

設定エンドポイントは、この OpenID プロバイダーの設定情報を OpenID Connect Discovery 1.0 で定義されている JSON フォーマットで公開します。

取り消しエンドポイントはアクセストークンやリフレッシュトークンを取り消すための Web API です。 その動作は RFC 7009 で定義されています。

イントロスペクションエンドポイントはアクセストークンやリフレッシュトークンの情報を取得するための Web API です。 その動作は RFC 7662 で定義されています。

動的クライアント登録エンドポイントは、クライアントアプリケーションの登録・更新をおこなうための Web API です。 その動作は RFC 7591 および RFC 7592 で定義されています。

認可リクエストの例

次の例は Implicit フローを用いて認可エンドポイントからアクセストークンを取得する例です。 {クライアントID} となっているところは、あなたのクライアントアプリケーションの実際のクライアント ID で置き換えてください。 クライアントアプリケーションについては、Getting Started および開発者コンソールのドキュメントを参照してください。

http://localhost:8080/api/authorization?client_id={クライアントID}&response_type=token

上記のリクエストにより、認可ページが表示されます。 認可ページでは、ログイン情報の入力と、"Authorize" ボタン (認可ボタン) もしくは "Deny" ボタン (拒否ボタン) の押下が求められます。 ログイン情報として、下記のいずれかを使用してください。

ログイン ID パスワード
john john
jane jane
max max

もちろんこれらのログイン情報はダミーデータですので、ユーザーデータベースの実装をあなたの実装で置き換える必要があります。

OpenID Connect for Identity Assurance 1.0 をテストするためには max を使用してください。他のユーザーアカウント (johnjane) 用の verified claims はダミーデータベース内に存在しません。

カスタマイズ

この実装をカスタマイズする方法については CUSTOMIZATION.ja.md に記述されています。 Authlete はユーザーアカウントを管理しないので、基本的には「ユーザー認証」に関わる部分についてプログラミングが必要となります。 これは設計によるものです。 ユーザー認証の仕組みを実装済みの既存の Web サービスにもスムーズに OAuth 2.0 と OpenID Connect の機能を組み込めるようにするため、Authlete のアーキテクチャーは認証と認可を慎重に分離しています。

実装に関する注意

この実装では、認可ページを実装するために Viewable クラスを使用しています。 このクラスは Jersey (JAX-RS の参照実装) に含まれているものですが、JAX-RS 2.0 API の一部ではありません。

関連仕様

その他の情報

コンタクト

目的 メールアドレス
一般 [email protected]
営業 [email protected]
広報 [email protected]
技術 [email protected]