Tài liệu này giải thích cách triển khai trình xử lý gọi lại uỷ quyền OAuth 2.0 bằng cách sử dụng servlet Java thông qua một ứng dụng web mẫu sẽ hiển thị các việc cần làm của người dùng bằng API Google Tasks. Trước tiên, ứng dụng mẫu sẽ yêu cầu uỷ quyền để truy cập vào Google Tasks của người dùng, sau đó sẽ hiển thị các việc cần làm của người dùng trong danh sách việc cần làm mặc định.
Đối tượng
Tài liệu này dành cho những người đã quen thuộc với kiến trúc ứng dụng web Java và J2EE. Bạn nên có một số kiến thức về quy trình uỷ quyền OAuth 2.0.
Nội dung
Để có một mẫu hoạt động đầy đủ như vậy, bạn cần thực hiện một số bước sau:
- Khai báo mối liên kết servlet trong tệp web.xml
- Xác thực người dùng trên hệ thống và yêu cầu cấp quyền truy cập vào Tasks
- Nghe mã uỷ quyền từ điểm cuối Uỷ quyền của Google
- Trao đổi mã uỷ quyền để lấy mã làm mới và mã truy cập
- Đọc và hiển thị các việc cần làm của người dùng
Khai báo mối liên kết servlet trong tệp web.xml
Chúng ta sẽ sử dụng 2 servlet trong ứng dụng:
- PrintTasksTitlesServlet (được liên kết với /): Điểm truy cập của ứng dụng sẽ xử lý việc xác thực người dùng và hiển thị các tác vụ của người dùng
- OAuthCodeCallbackHandlerServlet (được liên kết với /oauth2callback): Lệnh gọi lại OAuth 2.0 xử lý phản hồi từ điểm cuối uỷ quyền OAuth
Dưới đây là tệp web.xml liên kết 2 servlet này với các URL trong ứng dụng của chúng ta:
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<servlet>
<servlet-name>PrintTasksTitles</servlet-name>
<servlet-class>com.google.oauthsample.PrintTasksTitlesServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>PrintTasksTitles</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<servlet>
<servlet-name>OAuthCodeCallbackHandlerServlet</servlet-name>
<servlet-class>com.google.oauthsample.OAuthCodeCallbackHandlerServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>OAuthCodeCallbackHandlerServlet</servlet-name>
<url-pattern>/oauth2callback</url-pattern>
</servlet-mapping>
</web-app>Tệp /WEB-INF/web.xml
Xác thực người dùng trên hệ thống và yêu cầu uỷ quyền để truy cập vào các tác vụ của hệ thống
Người dùng truy cập vào ứng dụng thông qua URL gốc "/" được liên kết với servlet PrintTaskListsTitlesServlet. Trong servlet đó, các tác vụ sau được thực hiện:
- Kiểm tra xem người dùng có được xác thực trên hệ thống hay không
- Nếu người dùng chưa được xác thực, họ sẽ được chuyển hướng đến trang xác thực
- Nếu người dùng được xác thực, chúng ta sẽ kiểm tra xem có mã thông báo làm mới trong bộ nhớ dữ liệu hay không. Mã thông báo này do OAuthTokenDao xử lý bên dưới. Nếu không có mã thông báo làm mới nào trong kho lưu trữ cho người dùng, thì tức là người dùng chưa cấp quyền cho ứng dụng truy cập vào các tác vụ của ứng dụng. Trong trường hợp đó, người dùng sẽ được chuyển hướng đến điểm cuối Uỷ quyền OAuth 2.0 của Google.
package com.google.oauthsample; import ... /** * Simple sample Servlet which will display the tasks in the default task list of the user. */ @SuppressWarnings("serial") public class PrintTasksTitlesServlet extends HttpServlet { /** * The OAuth Token DAO implementation, used to persist the OAuth refresh token. * Consider injecting it instead of using a static initialization. Also we are * using a simple memory implementation as a mock. Change the implementation to * using your database system. */ public static OAuthTokenDao oauthTokenDao = new OAuthTokenDaoMemoryImpl(); public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the current user // This is using App Engine's User Service but you should replace this to // your own user/login implementation UserService userService = UserServiceFactory.getUserService(); User user = userService.getCurrentUser(); // If the user is not logged-in it is redirected to the login service, then back to this page if (user == null) { resp.sendRedirect(userService.createLoginURL(getFullRequestUrl(req))); return; } // Checking if we already have tokens for this user in store AccessTokenResponse accessTokenResponse = oauthTokenDao.getKeys(user.getEmail()); // If we don't have tokens for this user if (accessTokenResponse == null) { OAuthProperties oauthProperties = new OAuthProperties(); // Redirect to the Google OAuth 2.0 authorization endpoint resp.sendRedirect(new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(), OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties .getScopesAsString()).build()); return; } } /** * Construct the request's URL without the parameter part. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getFullRequestUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = req.getServletPath(); String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); String queryString = (req.getQueryString() == null) ? "" : "?" + req.getQueryString(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo + queryString; } }
Tệp PrintTasksTitlesServlet.java
Lưu ý: Phương thức triển khai trên sử dụng một số thư viện App Engine, các thư viện này được dùng để đơn giản hoá vấn đề. Nếu đang phát triển cho một nền tảng khác, bạn có thể triển khai lại giao diện UserService để xử lý việc xác thực người dùng.
Ứng dụng sử dụng DAO để duy trì và truy cập vào mã thông báo uỷ quyền của người dùng. Dưới đây là giao diện – OAuthTokenDao – và một phương thức triển khai mô phỏng (trong bộ nhớ) – OAuthTokenDaoMemoryImpl – được sử dụng trong mẫu này:
package com.google.oauthsample; import com.google.api.client.auth.oauth2.draft10.AccessTokenResponse; /** * Allows easy storage and access of authorization tokens. */ public interface OAuthTokenDao { /** * Stores the given AccessTokenResponse using the {@code username}, the OAuth * {@code clientID} and the tokens scopes as keys. * * @param tokens The AccessTokenResponse to store * @param userName The userName associated wit the token */ public void saveKeys(AccessTokenResponse tokens, String userName); /** * Returns the AccessTokenResponse stored for the given username, clientId and * scopes. Returns {@code null} if there is no AccessTokenResponse for this * user and scopes. * * @param userName The username of which to get the stored AccessTokenResponse * @return The AccessTokenResponse of the given username */ public AccessTokenResponse getKeys(String userName); }
Tệp OAuthTokenDao.java
package com.google.oauthsample; import com.google.api.client.auth.oauth2.draft10.AccessTokenResponse; ... /** * Quick and Dirty memory implementation of {@link OAuthTokenDao} based on * HashMaps. */ public class OAuthTokenDaoMemoryImpl implements OAuthTokenDao { /** Object where all the Tokens will be stored */ private static Map<String, AccessTokenResponse> tokenPersistance = new HashMap<String, AccessTokenResponse>(); public void saveKeys(AccessTokenResponse tokens, String userName) { tokenPersistance.put(userName, tokens); } public AccessTokenResponse getKeys(String userName) { return tokenPersistance.get(userName); } }
Tệp OAuthTokenDaoMemoryImpl.java
Ngoài ra, thông tin xác thực OAuth 2.0 cho ứng dụng được lưu trữ trong một tệp thuộc tính. Ngoài ra, bạn chỉ cần đặt các giá trị này làm hằng số ở đâu đó trong một trong các lớp Java của mình, mặc dù đây là lớp OAuthProperties và tệp oauth.properties đang được sử dụng trong mẫu:
package com.google.oauthsample; import ... /** * Object representation of an OAuth properties file. */ public class OAuthProperties { public static final String DEFAULT_OAUTH_PROPERTIES_FILE_NAME = "oauth.properties"; /** The OAuth 2.0 Client ID */ private String clientId; /** The OAuth 2.0 Client Secret */ private String clientSecret; /** The Google APIs scopes to access */ private String scopes; /** * Instantiates a new OauthProperties object reading its values from the * {@code OAUTH_PROPERTIES_FILE_NAME} properties file. * * @throws IOException IF there is an issue reading the {@code propertiesFile} * @throws OauthPropertiesFormatException If the given {@code propertiesFile} * is not of the right format (does not contains the keys {@code * clientId}, {@code clientSecret} and {@code scopes}) */ public OAuthProperties() throws IOException { this(OAuthProperties.class.getResourceAsStream(DEFAULT_OAUTH_PROPERTIES_FILE_NAME)); } /** * Instantiates a new OauthProperties object reading its values from the given * properties file. * * @param propertiesFile the InputStream to read an OAuth Properties file. The * file should contain the keys {@code clientId}, {@code * clientSecret} and {@code scopes} * @throws IOException IF there is an issue reading the {@code propertiesFile} * @throws OAuthPropertiesFormatException If the given {@code propertiesFile} * is not of the right format (does not contains the keys {@code * clientId}, {@code clientSecret} and {@code scopes}) */ public OAuthProperties(InputStream propertiesFile) throws IOException { Properties oauthProperties = new Properties(); oauthProperties.load(propertiesFile); clientId = oauthProperties.getProperty("clientId"); clientSecret = oauthProperties.getProperty("clientSecret"); scopes = oauthProperties.getProperty("scopes"); if ((clientId == null) || (clientSecret == null) || (scopes == null)) { throw new OAuthPropertiesFormatException(); } } /** * @return the clientId */ public String getClientId() { return clientId; } /** * @return the clientSecret */ public String getClientSecret() { return clientSecret; } /** * @return the scopes */ public String getScopesAsString() { return scopes; } /** * Thrown when the OAuth properties file was not at the right format, i.e not * having the right properties names. */ @SuppressWarnings("serial") public class OAuthPropertiesFormatException extends RuntimeException { } }
Tệp OAuthProperties.java
Dưới đây là tệp oauth.properties chứa thông tin xác thực OAuth 2.0 của ứng dụng. Bạn cần tự thay đổi các giá trị bên dưới.
# Client ID and secret. They can be found in the APIs console. clientId=1234567890.apps.googleusercontent.com clientSecret=aBcDeFgHiJkLmNoPqRsTuVwXyZ # API scopes. Space separated. scopes=https://www.googleapis.com/auth/tasks
Tệp oauth.properties
Mã ứng dụng khách và Mã xác thực ứng dụng khách OAuth 2.0 xác định ứng dụng của bạn và cho phép API Tasks áp dụng các bộ lọc và quy tắc hạn mức được xác định cho ứng dụng của bạn. Bạn có thể tìm thấy mã ứng dụng và khoá bí mật trong Bảng điều khiển API của Google. Khi truy cập vào bảng điều khiển, bạn sẽ phải:
- Tạo hoặc chọn một dự án.
- Bật API Tasks bằng cách chuyển trạng thái API Tasks sang BẬT trong danh sách dịch vụ.
- Trong phần Quyền truy cập API, hãy tạo mã ứng dụng khách OAuth 2.0 nếu bạn chưa tạo.
- Đảm bảo rằng URL trình xử lý gọi lại mã OAuth 2.0 của dự án được đăng ký/đưa vào danh sách trắng trong URI chuyển hướng. Ví dụ: trong dự án mẫu này, bạn sẽ phải đăng ký https://www.example.com/oauth2callback nếu ứng dụng web của bạn được phân phát từ miền https://www.example.com.
URI chuyển hướng trong API Console
Theo dõi mã uỷ quyền từ điểm cuối Uỷ quyền của Google
Trong trường hợp người dùng chưa uỷ quyền cho ứng dụng truy cập vào các tác vụ của ứng dụng, do đó đã được chuyển hướng đến điểm cuối Uỷ quyền OAuth 2.0 của Google, thì người dùng sẽ thấy một hộp thoại uỷ quyền của Google yêu cầu người dùng cấp cho ứng dụng của bạn quyền truy cập vào các tác vụ của ứng dụng:
Hộp thoại uỷ quyền của Google
Sau khi cấp hoặc từ chối quyền truy cập, người dùng sẽ được chuyển hướng trở lại trình xử lý gọi lại mã OAuth 2.0 đã được chỉ định là lệnh chuyển hướng/gọi lại khi tạo URL uỷ quyền của Google:
new GoogleAuthorizationRequestUrl(oauthProperties.getClientId(),
OAuthCodeCallbackHandlerServlet.getOAuthCodeCallbackHandlerUrl(req), oauthProperties
.getScopesAsString()).build()Trình xử lý gọi lại mã OAuth 2.0 – OAuthCodeCallbackHandlerServlet – xử lý lệnh chuyển hướng từ điểm cuối OAuth 2.0 của Google. Có 2 trường hợp cần xử lý:
- Người dùng đã cấp quyền truy cập: phân tích cú pháp yêu cầu để lấy mã OAuth 2.0 từ các tham số URL
- Người dùng đã từ chối quyền truy cập: hiển thị thông báo cho người dùng
package com.google.oauthsample; import ... /** * Servlet handling the OAuth callback from the authentication service. We are * retrieving the OAuth code, then exchanging it for a refresh and an access * token and saving it. */ @SuppressWarnings("serial") public class OAuthCodeCallbackHandlerServlet extends HttpServlet { /** The name of the Oauth code URL parameter */ public static final String CODE_URL_PARAM_NAME = "code"; /** The name of the OAuth error URL parameter */ public static final String ERROR_URL_PARAM_NAME = "error"; /** The URL suffix of the servlet */ public static final String URL_MAPPING = "/oauth2callback"; public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the "error" URL parameter String[] error = req.getParameterValues(ERROR_URL_PARAM_NAME); // Checking if there was an error such as the user denied access if (error != null && error.length > 0) { resp.sendError(HttpServletResponse.SC_NOT_ACCEPTABLE, "There was an error: \""+error[0]+"\"."); return; } // Getting the "code" URL parameter String[] code = req.getParameterValues(CODE_URL_PARAM_NAME); // Checking conditions on the "code" URL parameter if (code == null || code.length == 0) { resp.sendError(HttpServletResponse.SC_BAD_REQUEST, "The \"code\" URL parameter is missing"); return; } } /** * Construct the OAuth code callback handler URL. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getOAuthCodeCallbackHandlerUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = URL_MAPPING; String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo; } }
Tệp OAuthCodeCallbackHandlerServlet.java
Trao đổi mã uỷ quyền để lấy mã làm mới và mã truy cập
Sau đó, OAuthCodeCallbackHandlerServlet sẽ trao đổi mã Auth 2.0 để làm mới và truy cập mã thông báo, lưu trữ mã đó trong kho dữ liệu và chuyển hướng người dùng trở lại URL PrintTaskListsTitlesServlet:
Mã được thêm vào tệp bên dưới được làm nổi bật cú pháp, mã hiện có được làm mờ.
package com.google.oauthsample; import ... /** * Servlet handling the OAuth callback from the authentication service. We are * retrieving the OAuth code, then exchanging it for a refresh and an access * token and saving it. */ @SuppressWarnings("serial") public class OAuthCodeCallbackHandlerServlet extends HttpServlet { /** The name of the Oauth code URL parameter */ public static final String CODE_URL_PARAM_NAME = "code"; /** The name of the OAuth error URL parameter */ public static final String ERROR_URL_PARAM_NAME = "error"; /** The URL suffix of the servlet */ public static final String URL_MAPPING = "/oauth2callback";/** URL để chuyển hướng người dùng đến sau khi xử lý lệnh gọi lại. Hãy cân nhắc việc lưu thông tin này vào một cookie trước khi chuyển hướng người dùng đến URL uỷ quyền của Google nếu bạn có nhiều URL có thể chuyển hướng người dùng đến. */ public static final String REDIRECT_URL = "/"; /** Việc triển khai DAO mã thông báo OAuth. Hãy cân nhắc việc chèn mã này thay vì sử dụng phương thức khởi tạo tĩnh. Ngoài ra, chúng ta đang sử dụng một phương thức triển khai bộ nhớ đơn giản * làm mô phỏng. Thay đổi cách triển khai để sử dụng hệ thống cơ sở dữ liệu của bạn. */ public static OAuthTokenDao oauthTokenDao = new OAuthTokenDaoMemoryImpl();// Tạo URL yêu cầu đến String requestUrl = getOAuthCodeCallbackHandlerUrl(req); // Trao đổi mã cho mã thông báo OAuth AccessTokenResponse accessTokenResponse = exchangeCodeForAccessAndRefreshTokens(code[0], requestUrl); // Lấy người dùng hiện tại // Thao tác này sử dụng Dịch vụ người dùng của App Engine nhưng bạn nên thay thế thao tác này bằng // cách triển khai người dùng/đăng nhập của riêng bạn UserService userService = UserServiceFactory.getUserService(); String email = userService.getCurrentUser().getEmail(); // Lưu mã thông báo oauthTokenDao.saveKeys(accessTokenResponse, email); resp.sendRedirect(REDIRECT_URL); } public void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException { // Getting the "error" URL parameter String[] error = req.getParameterValues(ERROR_URL_PARAM_NAME); // Checking if there was an error such as the user denied access if (error != null && error.length > 0) { resp.sendError(HttpServletResponse.SC_NOT_ACCEPTABLE, "There was an error: \""+error[0]+"\"."); return; } // Getting the "code" URL parameter String[] code = req.getParameterValues(CODE_URL_PARAM_NAME); // Checking conditions on the "code" URL parameter if (code == null || code.length == 0) { resp.sendError(HttpServletResponse.SC_BAD_REQUEST, "The \"code\" URL parameter is missing"); return; }/** * Trao đổi mã đã cho để lấy mã thông báo trao đổi và mã thông báo làm mới. * * @param code Mã nhận được từ dịch vụ uỷ quyền * @param currentUrl URL của lệnh gọi lại * @param oauthProperties Đối tượng chứa cấu hình OAuth * @return Đối tượng chứa cả mã truy cập và mã làm mới * @throws IOException */ public AccessTokenResponse exchangeCodeForAccessAndRefreshTokens(String code, String currentUrl) throws IOException { HttpTransport httpTransport = new NetHttpTransport(); JacksonFactory jsonFactory = new JacksonFactory(); // Tải tệp cấu hình oauth OAuthProperties oauthProperties = new OAuthProperties(); return new GoogleAuthorizationCodeGrant(httpTransport, jsonFactory, oauthProperties .getClientId(), oauthProperties.getClientSecret(), code, currentUrl).execute(); } } /** * Construct the OAuth code callback handler URL. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getOAuthCodeCallbackHandlerUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = URL_MAPPING; String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo; }Tệp OAuthCodeCallbackHandlerServlet.javaLưu ý: Phương thức triển khai ở trên sử dụng một số thư viện App Engine, các thư viện này được dùng để đơn giản hoá vấn đề. Nếu bạn đang phát triển cho một nền tảng khác, hãy thoải mái triển khai lại giao diện UserService để xử lý việc xác thực người dùng.
Đọc và hiển thị các tác vụ của người dùng
Người dùng đã cấp cho ứng dụng quyền truy cập vào các tác vụ của ứng dụng. Ứng dụng có một mã thông báo làm mới được lưu trong kho dữ liệu có thể truy cập thông qua OAuthTokenDao. Giờ đây, servlet PrintTaskListsTitlesServlet có thể sử dụng các mã thông báo này để truy cập vào các tác vụ của người dùng và hiển thị các tác vụ đó:
Mã được thêm vào tệp bên dưới được làm nổi bật cú pháp, mã hiện có được làm mờ.
/** * Sử dụng API Google Tasks để truy xuất danh sách việc cần làm của người dùng trong danh sách việc cần làm mặc định. * * @param accessTokenResponse Đối tượng AccessTokenResponse OAuth 2.0 * chứa mã truy cập và mã làm mới. * @param output trình ghi luồng đầu ra nơi ghi tiêu đề danh sách việc cần làm * @return Danh sách tiêu đề việc cần làm của người dùng trong danh sách việc cần làm mặc định. * @throws IOException */ public void printTasksTitles(AccessTokenResponse accessTokenResponse, Writer output) throws IOException { // Khởi chạy dịch vụ Tasks HttpTransport transport = new NetHttpTransport(); JsonFactory jsonFactory = new JacksonFactory(); OAuthProperties oauthProperties = new OAuthProperties(); GoogleAccessProtectedResource accessProtectedResource = new GoogleAccessProtectedResource( accessTokenResponse.accessToken, transport, jsonFactory, oauthProperties.getClientId(), oauthProperties.getClientSecret(), accessTokenResponse.refreshToken); Tasks service = new Tasks(transport, accessProtectedResource, jsonFactory); // Sử dụng dịch vụ API Tasks đã khởi chạy để truy vấn danh sách danh sách việc cần làm com.google.api.services.tasks.model.Tasks tasks = service.tasks.list("@default").execute(); for (Task task : tasks.items) { output.append(task.title + "\n"); } } } } /** * Construct the request's URL without the parameter part. * * @param req the HttpRequest object * @return The constructed request's URL */ public static String getFullRequestUrl(HttpServletRequest req) { String scheme = req.getScheme() + "://"; String serverName = req.getServerName(); String serverPort = (req.getServerPort() == 80) ? "" : ":" + req.getServerPort(); String contextPath = req.getContextPath(); String servletPath = req.getServletPath(); String pathInfo = (req.getPathInfo() == null) ? "" : req.getPathInfo(); String queryString = (req.getQueryString() == null) ? "" : "?" + req.getQueryString(); return scheme + serverName + serverPort + contextPath + servletPath + pathInfo + queryString; }Tệp PrintTasksTitlesServlet.javaNgười dùng sẽ thấy các tác vụ của mình:
Việc cần làm của người dùngỨng dụng mẫu
Bạn có thể tải mã cho ứng dụng mẫu này xuống tại đây. Bạn có thể xem thử.