Annexe - OAuth Introduction. Xavier de Rochefort xderoche@labri.fr - labri.fr/~xderoche 15 mai 2014

Transcription

1 1 Introduction Annexe - OAuth 2.0. Xavier de Rochefort xderoche@labri.fr - labri.fr/~xderoche 15 mai 2014 Alternativement à Flickr, notre serveur pourrait proposer aux utilisateurs l utilisation de leur compte Picasa. Contrairement à Flickr, le service Picasa, comme tous les autres services de Google, utilise la version 2 du protocole OAuth, simplifiant le processus de récupération d un token en déléguant les aspects de sécurité au protocole SSL sur lequel il s appuit. En particulier, il supprime l utilisation le jeton intermédiaire (request token). L utilisateur est directement dirigé vers l interface Google (Figure 1, ➊). Il ne s agit plus d une validation de token intermédiaire, mais d accorder à l application demandeuse le droit de demander un token d accès à l aide d un code de vérification généré après la validation utilisateur. WSRestService GET /auth Envoi URL ou redirection vers... client_id redirect_uri scope: picasaweb.google.com/data/ 1 GET 2 Redirection navigateur utilisateur vers... GET code 3 POST api_key, api_secret code callback token token secret refresh token expires in... Figure 1 Google OAuth Récupération d un token 1

2 2 Adaptation TP7 Afin de pouvoir effectuer des requêtes OAuth 1.0 vers Flickr et 2.0 vers Picasa, nous allons utiliser l API cliente et les modules OAuth 1 et 2 intégrés dans Jersey 2.x. La classe implémentant la récupération d un token d accès OAuth 1.0 de Jersey ayant été conçue pour effectuer la demande de token d accès en utilisant la méthode HTTP POST, elle est incompatible avec l API de Flickr attendant une requête GET. Pour remédier au problème, nous allons utiliser la bibliothèque oauth-signpost pour la phase récupération d un token d accès Flickr. Q2.1 Remplacer les dépendances du TP7 comme suit.   <groupid>org.glassfish.jersey.containers</groupid> <artifactid>jersey-container-servlet</artifactid> <groupid>org.glassfish.jersey.core</groupid> <artifactid>jersey-client</artifactid> <groupid>org.glassfish.jersey.security</groupid> <artifactid>oauth1-client</artifactid> <groupid>org.glassfish.jersey.security</groupid> <artifactid>oauth1-signature</artifactid> <groupid>org.glassfish.jersey.media</groupid> <artifactid>jersey-media-json-jackson</artifactid> <groupid>org.glassfish.jersey.media</groupid> <artifactid>jersey-media-multipart</artifactid>  <groupid>oauth.signpost</groupid> <artifactid>signpost-core</artifactid> <version>1.2</version> <scope>compile</scope> </dependencies> 2

3 Q2.2 Modifier la classe OAuth1Token comme suit. import oauth.signpost.basic.defaultoauthconsumer; import oauth.signpost.basic.defaultoauthprovider; import oauth.signpost.exception.oauthcommunicationexception; import oauth.signpost.exception.oauthexpectationfailedexception; import oauth.signpost.exception.oauthmessagesignerexception; import oauth.signpost.exception.oauthnotauthorizedexception; public class OAuth1Token { private String token; private String secret; private DefaultOAuthConsumer consumer; private DefaultOAuthProvider provider; private String authuri; public OAuth1Token(String appkey, String appsecret, String urlreqtoken, String urlaccesstoken, String urlauthorize, String callbackurl) { consumer = new DefaultOAuthConsumer(appKey, appsecret); provider = new DefaultOAuthProvider(urlReqToken, urlaccesstoken, urlauthorize); try { authuri = provider.retrieverequesttoken(consumer, callbackurl); catch (OAuthMessageSignerException OAuthNotAuthorizedException OAuthExpectationFailedException OAuthCommunicationException e) { e.printstacktrace(); public OAuth1Token(String token, String secret) { this.token = token; this.secret = secret; public OAuth1Token exchangeforaccesstoken(string verifier) { try { provider.retrieveaccesstoken(consumer, verifier); catch (OAuthMessageSignerException OAuthNotAuthorizedException OAuthExpectationFailedException OAuthCommunicationException e) { e.printstacktrace(); return null; return new OAuth1Token(consumer.getToken(), consumer.gettokensecret()); public String gettoken() { return token; public String getsecret() { return secret; public String getvalidateurl() { return authuri; 3

4 Q2.3 Modifier le code de la classe FlickrConsumer par le code suivant. public class FlickrConsumer { final static String ROOT = " final static String ROOT_METHOD = ROOT + "rest/"; final static String RES_REQUEST_TOKEN = ROOT + "oauth/request_token"; final static String RES_ACCESS_TOKEN = ROOT + "oauth/access_token"; final static String RES_AUTHORIZE = ROOT + "oauth/authorize"; final static String RES_UPLOAD = ROOT + "upload/"; private String appkey; private String appsecret; public FlickrConsumer(String appkey, String appsecret) { this.appkey = appkey; this.appsecret = appsecret; public FlickrError geterror() { Client client = ClientBuilder.newClient(); WebTarget service = client.target(root_method); FlickrRsp resp = service.request().get(flickrrsp.class); JAXBElement<?> element = (JAXBElement<?>) resp.getany(); return (FlickrError) element.getvalue(); public FlickrPhotos search(string keywords) { Client client = ClientBuilder.newClient(); WebTarget service = client.target(root_method).queryparam("method", "flickr.photos.search").queryparam("api_key", appkey).queryparam("text", keywords); FlickrRsp resp = service.request().get(flickrrsp.class); if (resp.getstat() == "fail") { // TODO JAXBElement<?> element = (JAXBElement<?>) resp.getany(); return (FlickrPhotos) element.getvalue(); public OAuth1Token getrequesttoken(string callbackurl) { return new OAuth1Token(appKey, appsecret, RES_REQUEST_TOKEN, RES_ACCESS_TOKEN, RES_AUTHORIZE, callbackurl); public OAuth1Token getaccesstoken(oauth1token reqtoken, String verifier) { if (reqtoken == null) return null; return reqtoken.exchangeforaccesstoken(verifier); public String upload(oauth1token accesstoken, InputStream photo, String title) { ConsumerCredentials credentials = new ConsumerCredentials(appKey, appsecret); AccessToken storedtoken = new AccessToken(accessToken.getToken(), accesstoken.getsecret()); 4

5 Feature oauthfeature = OAuth1ClientSupport.builder(credentials).feature().accessToken(storedToken).build(); Client client = ClientBuilder.newBuilder().register(oauthFeature).register(MultiPartFeature.class).build(); WebTarget service = client.target(res_upload); FormDataMultiPart body = new FormDataMultiPart(); body.field("title", title); body.bodypart(new StreamDataBodyPart("photo", photo)); Response resp = service.queryparam("title", title).request().post(entity.entity(body, body.getmediatype())); FlickrRsp rsp = resp.readentity(flickrrsp.class); JAXBElement<?> element = (JAXBElement<?>) rsp.getany(); return (String) element.getvalue(); Q2.4 Le mapping d exception utilise la classe WebApplicationException dans Jersey 2.x. Modifier la classe AlbumNotFoundException comme suit. import javax.ws.rs.webapplicationexception; import javax.ws.rs.core.response; import javax.ws.rs.core.response.status; public class AlbumNotFoundException extends WebApplicationException { private static final long serialversionuid = 1L; public AlbumNotFoundException() { super(status.bad_request); public AlbumNotFoundException(String msg) { super(response.status(status.bad_request). entity(msg).type("text/plain").build()); Q2.5 Déplacer et adapter les tests du TP7 de la classe AppOauth1Test dans la classe FlickrConsumerTest pour en faire des tests unitaires. public class FlickrComsumerTest { private final static String TEST_TOKEN = ""; // TODO private final static String TEST_SECRET = ""; public void testerror() { FlickrError error = new FlickrConsumer(AppParam.APPKEY, AppParam.APPSECRET).getError(); System.out.println("Error "+ error.code + " " + error.msg); public void testupload() { InputStream is = null; try { 5

6 is = new URL(" openstream(); catch (MalformedURLException e) { e.printstacktrace(); return; catch (IOException e) { e.printstacktrace(); return; OAuth1Token accesstoken = new OAuth1Token(TEST_TOKEN, TEST_SECRET); String id = new FlickrConsumer(AppParam.APPKEY, AppParam.APPSECRET).upload(accessToken, is, "The Black Album!"); of access token implies user manipulation. Not suited for automated tests.") public void testgetaccesstoken() { FlickrConsumer consumer = new FlickrConsumer(AppParam.APPKEY, AppParam.APPSECRET); OAuth1Token reqtoken = consumer.getrequesttoken("oob"); InputStreamReader isr = new InputStreamReader(System.in); BufferedReader br = new BufferedReader(isr); System.out.println("Valider le token : " + reqtoken.getvalidateurl()); System.out.println("Entrer code de verification : "); String verifier = null; try { verifier = br.readline(); br.close(); isr.close(); catch (IOException ex) { throw new RuntimeException(ex); OAuth1Token accesstoken = consumer.getaccesstoken(reqtoken, verifier); System.out.println("Token: " + accesstoken.gettoken() + " Secret: " + accesstoken.getsecret()); public void testsearch() { FlickrPhotos photos = new FlickrConsumer(AppParam.APPKEY, AppParam.APPSECRET).search("pink floyd cover the wall"); if (photos.photo == null) System.err.println("0 result"); for (FlickrPhoto p : photos.photo) System.out.println(UriBuilder.fromPath(" p.id, p.secret).tostring()); 6

7 Dans Eclipse, vous pouvez lancer les tests en faisant un click droit sur le nom de la méthode Run as JUnit Test. La commande maven correspondante est mvn -Dtest=org.rest.service.entities.AlbumResourceTest#[nomMethode test]. 3 Client ID Google Q3.1 Utiliser un compte Google existant, activer votre compte Picasa. Ajouter un album et une photo. ou utiliser la console développeur 1 pour créer un projet. Q3.2 Créer un client id pour une application non web. Menu APIs & auth / Credentials. Create new client id. Installed Application. Q3.3 Creér un client id pour une application web. Menu APIs & auth / Credentials. Create new client id. Web Application. Indiquer l URI de callback que vous souhaitez utiliser. ex. Q3.4 Créer le package org.rest.picasa et y ajouter la classe AppParam contenant les 2 clients id et les secrets associés. package org.rest.picasa; public class AppParam { public final static String APPKEY = ""; // TODO add client id + secret for the installed app public final static String APPSECRET = ""; public static String WEBAPPKEY = ""; // TODO add client id + secret for the webapp public static String WEBAPPSECRET = ""; 4 Google OAuth 2.0 Q4.1 Ajouter la dépendance vers le module oauth2-client de Jersey 2.x. <groupid>org.glassfish.jersey.security</groupid> <artifactid>oauth2-client</artifactid> Q4.2 Dans le package org.rest.picasa, ajouter la classe OAuth2Token encapsulant l utilisation de la classe OAuth2CodeGrantFlow du client OAuth2 de Jersey et stocker les informations d un token d accès Google (token, refresh token, expiration, type)

8 package org.rest.picasa; import javax.ws.rs.client.client; import org.glassfish.jersey.client.oauth2.clientidentifier; import org.glassfish.jersey.client.oauth2.oauth2clientsupport; import org.glassfish.jersey.client.oauth2.oauth2codegrantflow; import org.glassfish.jersey.client.oauth2.oauth2codegrantflow.builder; import org.glassfish.jersey.client.oauth2.oauth2flowgooglebuilder; import org.glassfish.jersey.client.oauth2.tokenresult; public class OAuth2Token { private OAuth2CodeGrantFlow flow; private String authuri; private String token; private String refreshtoken; private String type; private int expirationdelay; public OAuth2Token(String token) { this.token = token; public OAuth2Token(ClientIdentifier clientid, String callbackuri, String scope) { Builder<OAuth2FlowGoogleBuilder> builder = OAuth2ClientSupport.googleFlowBuilder(clientId, callbackuri, scope); flow = builder.property(oauth2codegrantflow.phase.authorization, "readonly", "true").property(oauth2codegrantflow.phase.authorization, "redirect_uri", callbackuri).property(oauth2codegrantflow.phase.authorization, "state", "").scope(scope).build(); authuri = flow.start(); public OAuth2CodeGrantFlow getflow() { return flow; public String getvalidateuri() { return authuri; public void doaccesstokenrequest(string code) { TokenResult result = flow.finish(code, ""); // we do not provide state this.token = result.getaccesstoken(); this.refreshtoken = (String) result.getallproperties().get("refresh_token"); this.expirationdelay = (int) result.getallproperties().get("expires_in"); this.type = (String) result.getallproperties().get("token_type"); public String gettoken() { return token; 8

9 public String gettokentype() { return type; public int getexpiration() { return expirationdelay; public String getrefreshtoken() { return refreshtoken; public Client getoauth2client() { return flow.getauthorizedclient(); 9

10 Q4.3 Dans le même package, ajouter la classe PicasaConsumer utilisant OAuth2Token et contenant 2 méthodes permettant ➊ de créer un OAuth2Token ➋ de l initialiser. package org.rest.picasa; import org.glassfish.jersey.client.oauth2.clientidentifier; public class PicasaConsumer { public static String OOB = "urn:ietf:wg:oauth:2.0:oob"; public static String PICASA_SCOPE = " private String api_key; private String secret; public PicasaConsumer(String api_key, String secret) { this.api_key = api_key; this.secret = secret; public OAuth2Token buildtoken(string callbackuri) { ClientIdentifier clientid = new ClientIdentifier(api_key, secret); return new OAuth2Token(clientId, callbackuri, PICASA_SCOPE); public void inittoken(oauth2token token, String code) { token.doaccesstokenrequest(code); Q4.4 Créer le package org.rest.picasa dans le dossier src/test et y ajouter que la classe PicasaConsumerTest contenant un test de récupération d un token Google. public void testgetaccesstoken() { PicasaConsumer consumer = new PicasaConsumer(AppParam.APPKEY, AppParam.APPSECRET); OAuth2Token token = consumer.buildtoken(picasaconsumer.oob); InputStreamReader isr = new InputStreamReader(System.in); BufferedReader br = new BufferedReader(isr); System.out.println(token.getValidateURI()); System.out.println("Entrer code de verification : "); String verifier = null; try { verifier = br.readline(); br.close(); isr.close(); catch (IOException ex) { throw new RuntimeException(ex); consumer.inittoken(token, verifier); System.out.println("Token: " + token.gettoken() + " Refresh token: " + token. getrefreshtoken() + " Expires in: " + token.getexpiration() + " Type: " + token. gettokentype()); 10

11 Q4.5 Lancer le test unitaire et procéder à la récupération d un token. Stocker le token récupéré dans une final static String TEST TOKEN dans la classe de test. Q4.6 Ajouter l annotation ignore au test pour éviter le exécution systématique par of access token implies user manip. Not suited for automated tests.") public void testgetaccesstoken() {... Q4.7 Récupérer votre id utilisateur Picasa et stocker le dans une final static String USERID dans la classe de test. Cliquer sur un de vos albums. Votre id est la suite d entier précédent le nom de l album dans l URL. ex. https ://picasaweb.google.com/ /testalbum Q4.8 À la classe PicasaConsumer, ajouter une méthode récupérant la réponse brute d une requête de demande de liste des albums utilisateur Picasa. public Response getalbums(oauth2token token, String userid) { Feature filterfeature = OAuth2ClientSupport.feature(token.getToken()); Client client = ClientBuilder.newBuilder().register(filterFeature).build(); WebTarget service = client.target(" + userid); return service.request().get(); Q4.9 Ajouter une fonction de test basique à la classe PicasaComsumerTest. public void testlistalbum() { OAuth2Token token = new OAuth2Token(TEST_TOKEN); Response resp = new PicasaConsumer(AppParam.APPKEY, AppParam.APPSECRET).getAlbums(token, USERID); System.out.println(resp.readEntity(String.class)); 11