OAuth-Unterstuetzung fuer jdk.httpserver
ulrich
2021-06-15 a4bee5006ebefa00e3f39cc99c2975b014623874
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
/*
  http-oauth - OAuth Extensions to jdk.httpserver
  Copyright (C) 2021  Ulrich Hilger
 
  This program is free software: you can redistribute it and/or modify
  it under the terms of the GNU Affero General Public License as
  published by the Free Software Foundation, either version 3 of the
  License, or (at your option) any later version.
 
  This program is distributed in the hope that it will be useful,
  but WITHOUT ANY WARRANTY; without even the implied warranty of
  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  GNU Affero General Public License for more details.
 
  You should have received a copy of the GNU Affero General Public License
  along with this program.  If not, see <https://www.gnu.org/licenses/>.
 */
package de.uhilger.httpserver.oauth;
 
import com.sun.net.httpserver.Authenticator;
import com.sun.net.httpserver.Headers;
import com.sun.net.httpserver.HttpExchange;
import com.sun.net.httpserver.HttpPrincipal;
import de.uhilger.httpserver.auth.realm.Realm;
import de.uhilger.httpserver.base.HttpResponder;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import java.io.IOException;
import java.security.Key;
import java.util.Date;
import java.util.logging.Level;
import java.util.logging.Logger;
 
/**
 * Die Klasse Authenticator authentifziert gem&auml;&szlig; OAuth-Spezifikation 
 * "The OAuth 2.0 Authorization Framework: Bearer Token Usage"
 * https://datatracker.ietf.org/doc/html/rfc6750
 * 
 * weitere Info-Links
 * https://www.oauth.com/oauth2-servers/making-authenticated-requests/refreshing-an-access-token/
 * https://swagger.io/docs/specification/authentication/bearer-authentication/
 * 
 * @author Ulrich Hilger
 * @version 1, 08.06.2021
 */
public class BearerAuthenticator extends Authenticator {
  
  /** Der Logger dieser Klasse */
  private static final Logger logger = Logger.getLogger(BearerAuthenticator.class.getName());
  
  public static final String STR_SLASH = "/";
  public static final String STR_BLANK = " ";
  public static final String STR_COMMA = ",";
  public static final String STR_EMPTY = "";
  public static final String STR_EQUAL = "=";
  public static final String STR_QUOTE = "\"";
  
  public static final String AUTHORIZATION = "Authorization";
  public static final String WWW_AUTHENTICATE = "WWW-Authenticate";
  
  public static final String BEARER = "Bearer";
  public static final String REALM = "Realm";
  public static final String ERROR = "error";
  public static final String ERROR_DESC = "error_description";
  
  public static final String MSG_INVALID_TOKEN = "invalid_token";
  public static final String MSG_TOKEN_EXPIRED = "The access token expired";
  
  /** Status code Unauthorized (401) */
  public static final int SC_UNAUTHORIZED = 401;
  
  private Realm realm;
  
  private String wwwAuthRealm;
  
  private String principalAuthRealm;
  
  /** der Schluessel zur Signatur von Tokens */
  protected final Key key;
  
  private long expireSeconds;
  
  private long refreshSeconds;
  
  private long refreshExpire;
 
  public BearerAuthenticator() {
    key = Keys.secretKeyFor(SignatureAlgorithm.HS256);  
  }
  
  @Override
  public Result authenticate(HttpExchange exchange) {
    logger.info(exchange.getRequestURI().toString());
    String jwt = getToken(exchange);
    if(jwt.equals(STR_EMPTY)) {
      return unauthorized(exchange);
    } else {
      try {
        Claims body = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(jwt).getBody();
        Date issueDate = body.getIssuedAt();
        Date refreshDate = Date.from(issueDate.toInstant().plusSeconds(refreshSeconds));
        Date now = new Date();
        if(now.before(refreshDate)) {
          String jwtUserId = body.getSubject();
          try {
            HttpPrincipal pp = new HttpPrincipal(jwtUserId, getPrincipalAuthRealm(exchange));
            Result result = new Authenticator.Success(pp);
            return result;
          } catch (Exception ex) {
            logger.log(Level.SEVERE, null, ex);
            return new Authenticator.Failure(SC_UNAUTHORIZED);
          }
        } else {
          return unauthorizedExpired(exchange);
        }
      } catch (JwtException ex) {
        // we *cannot* use the JWT as intended by its creator
        // z.B. Expiration Date ueberschritten oder Key passt nicht
        //sessions.remove(jwt);
        return unauthorized(exchange);
      }        
    }
  }
  
  /**
   * Anmelden
   * 
   * @param userId  die Kennung des Benutzers
   * @param password  das Kennwort des Benutzers
   * @return Token oder null, wenn die Anmeldung misslang
   */
  public LoginResponse login(String userId, String password) {
    if (realm.isValid(userId, password)) {
      LoginResponse r = new LoginResponse();
      String token = createToken(userId, expireSeconds);
      r.setToken(token);
      r.setRefreshToken(createToken(userId, refreshExpire));
      r.setExpiresIn(expireSeconds);
      return r;
    } else {
      return null;
    }
  }
  
  public LoginResponse refresh(String refreshToken) {
    String userId = validateRefreshToken(refreshToken);
    if (userId != null) {
      LoginResponse r = new LoginResponse();
      String token = createToken(userId, expireSeconds);
      r.setToken(token);
      r.setRefreshToken(createToken(userId, refreshExpire));
      r.setExpiresIn(expireSeconds);
      return r;
    } else {
      return null;
    }
  }
 
  /**
   * 
   * Hinweis: Die Methode setExpiration des JWT laesst einen Token 
   * am entsprechenden Zeitpunkt ungueltig werden. Ein Lesen des Token 
   * laeuft dann auf einen Fehler und man kann nicht ermitteln, ob der 
   * Fehler wegen des Ablaufs des Token oder aus anderem Grund entstand.
   * 
   * Eine Gueltigkeitsdauer, die bei Ablauf einen Refresh des Tokens 
   * siganlisieren soll, kann nicht mit diesem Ablaufdatum realisiert werden.
   * 
   * @param userId
   * @return 
   */
  private String createToken(String userId, long expire) {
    Date now = new Date();
    Date exp = Date.from(now.toInstant().plusSeconds(expire));       
    String jws = Jwts
            .builder()
            .setSubject(userId)
            .setIssuedAt(now)
            .setExpiration(exp)
            .signWith(key)
            .compact();
    return jws;
  }
  
  /**
   * Bis auf weiteres wird hier der Token nur darauf geprueft, ob er ein 
   * gueltiger JWT ist, der mit dem Schluessel dieses Authenticators 
   * erzeugt wurde.
   * 
   * Evtl. wird es in Zukunft noch noetig, weitere Kriterien einzubauen, 
   * z.B. ob er zu einem Token aussgegeben wurde, der noch gilt.
   * 
   * @param refreshToken
   * @return die Benutzerkennung aus dem Refresh Token, wenn der 
   * Refresh Token fuer einen Token Refresh akzeptiert wird, null wenn nicht.
   */
  public String validateRefreshToken(String refreshToken) {
    try {
      Claims body = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(refreshToken).getBody();
      String jwtUserId = body.getSubject();
      return jwtUserId;
    } catch (JwtException ex) {
      // we *cannot* use the JWT as intended by its creator
      // z.B. Expiration Date ueberschritten oder Key passt nicht
      //sessions.remove(jwt);
      return null;
    }        
  }
  
  /**
   * Den Token aus dem Authorization Header lesen
   * 
   * z.B. Authorization: Bearer mF_9.B5f-4.1JqM
   * 
   * @param exchange
   * @return der Token oder STR_EMPTY, falls 
   * kein Token gefunden wurde
   */
  private String getToken(HttpExchange exchange) {
    String token = STR_EMPTY;
    Headers headers = exchange.getRequestHeaders();
    String auth = headers.getFirst(AUTHORIZATION);
    if(auth != null) {
      String[] parts = auth.split(BEARER);
      if(parts != null && parts.length > 1) {
        token = parts[1].trim();
      }
    } else {
      // unschoen, aber fuer Image-Links in HTML-Inhalten
      // mit Query versuchen
      // z.B.
      //   GET /resource?access_token=mF_9.B5f-4.1JqM HTTP/1.1
      //   Host: server.example.com
      String query = exchange.getRequestURI().getQuery();
      if(query != null && query.toLowerCase().contains("access_token")) {
        String[] parts = query.split("&");
        for(String part : parts) {
          String[] keyVal = part.split("=");
          if(keyVal[0].equalsIgnoreCase("access_token")) {
            token = keyVal[1].trim();
          }
        }
      }
    }
    return token;
  }
  
  /**
   * Den Eintrag fuer das 'realm'-Attribut 
   * im WWW-Authenticate Header bestimmen
   * 
   * @param exchange 
   * @return  den Ausdruck fuer den WWW-Authenticate Header 
   */
  protected String getWWWAuthRealm(HttpExchange exchange) {
    return wwwAuthRealm;
  }
  
  /**
   * Den Namen des Realms bestimmen, wie er fuer authentifizierte Benutzer 
   * vom Principal ausgegeben wird
   * 
   * @param exchange
   * @return  den Namen des Realms 
   */
  protected String getPrincipalAuthRealm(HttpExchange exchange) {
    return principalAuthRealm;
  }
  
  /**
   * Wenn die Anfrage eine Token enthaelt, der gemaess setRefreshSeconds 
   * abgelaufen ist und einen Refresh erfordert.
   * 
   *  HTTP/1.1 401 Unauthorized
   *  WWW-Authenticate: Bearer realm="example",
   *                    error="invalid_token",
   *                    error_description="The access token expired"
   * 
   * @param exchange
   * @return 
   */
  protected Result unauthorizedExpired(HttpExchange exchange) {
    StringBuilder sb = new StringBuilder();
    sb.append(BEARER);
    sb.append(STR_BLANK);
    sb.append(REALM);
    sb.append(STR_EQUAL);
    sb.append(STR_QUOTE);
    sb.append(getWWWAuthRealm(exchange));
    sb.append(STR_QUOTE);
    sb.append(STR_COMMA);
    sb.append(STR_BLANK);
    sb.append(ERROR);
    sb.append(STR_EQUAL);
    sb.append(STR_QUOTE);
    sb.append(MSG_INVALID_TOKEN);
    sb.append(STR_QUOTE);
    sb.append(STR_COMMA);
    sb.append(STR_BLANK);
    sb.append(ERROR_DESC);
    sb.append(STR_EQUAL);
    sb.append(STR_QUOTE);
    sb.append(MSG_TOKEN_EXPIRED);
    sb.append(STR_QUOTE);
    Headers headers = exchange.getResponseHeaders();
    headers.add(WWW_AUTHENTICATE, sb.toString());
    HttpResponder r = new HttpResponder();
    try {
      r.antwortSenden(exchange, SC_UNAUTHORIZED, STR_EMPTY);
    } catch (IOException ex) {
      logger.log(Level.SEVERE, null, ex);
    }
    return new Authenticator.Retry(SC_UNAUTHORIZED);
  }
  
  /**
   * Wenn die Anfrage keinen Token enthaelt
   * 
   * HTTP/1.1 401 Unauthorized
   * WWW-Authenticate: Bearer realm="example"
   * 
   * @param exchange
   * @return das Ergebnis
   */
  protected Result unauthorized(HttpExchange exchange) {
    StringBuilder sb = new StringBuilder();
    sb.append(BEARER);
    sb.append(STR_BLANK);
    sb.append(REALM);
    sb.append(STR_EQUAL);
    sb.append(STR_QUOTE);
    sb.append(getWWWAuthRealm(exchange));
    sb.append(STR_QUOTE);
    Headers headers = exchange.getResponseHeaders();
    headers.add(WWW_AUTHENTICATE, sb.toString());
    HttpResponder r = new HttpResponder();
    try {
      r.antwortSenden(exchange, SC_UNAUTHORIZED, STR_EMPTY);
    } catch (IOException ex) {
      logger.log(Level.SEVERE, null, ex);
    }
    return new Authenticator.Retry(SC_UNAUTHORIZED);
  }
  
  /**
   * Den Realm dieses Authenticators setzen
   * @param realm der Realm
   */
  public void setRealm(Realm realm) {
    this.realm = realm;
  }
  
  /**
   * Pruefen, ob ein Nutzer eine Rolle hat
   * @param userId die Kennung des Nutzers
   * @param roleId  die Rollen-ID des Nutzers
   * @return true, wenn der Nutzer die Rolle hat, false wenn nicht
   */
  public boolean hasRole(String userId, String roleId) {
    return realm.hasRole(userId, roleId);
  }
  
  /**
   * Den Eintrag fuer das 'realm'-Attribut 
   * zur Nutzung im WWW-Authenticate Header setzen
   * 
   * @param wwwAuthRealm der Text fuer das realm-Attribut im 
   * WWW-Autehnticate-Header
   */
  public void setWWWAuthRealm(String wwwAuthRealm) {
    this.wwwAuthRealm = wwwAuthRealm;
  }
  
  /**
   * Den Namen des Realms setzen, wie er fuer authentifizierte Benutzer 
   * vom Principal ausgegeben werden soll
   * 
   * @param principalAuthRealm der Name des Realms fuer authentifizierte 
   * Benutzer
   */
  public void setPrincipalAuthRealm(String principalAuthRealm) {
    this.principalAuthRealm = principalAuthRealm;
  }
  
  /**
   * Die Dauer der Gueltigkeit einer Authentifizierung in Sekunden
   * @param seconds die Sekunden, nach denen die Authentifizierung 
   * ungueltig wird
   */
  public void setExpireSeconds(long seconds) {
    this.expireSeconds = seconds;
  }
  
  /**
   * Die Dauer bis eine Authentifizierung eine Erneuerung benoetigt in Sekunden
   * @param seconds die Sekunden, nach denen die Authentifizierung 
   * eine Erneuerung benoetigt
   */
  public void setRefreshSeconds(long seconds) {
    this.refreshSeconds = seconds;
  }
  
  /**
   * Die Dauer der Gueltigkeit eines Refresh-Token in Sekunden
   * 
   * @param seconds die Anzhal Sekunden, die ein Refresh-Token gueltig ist
   */
  public void setRefreshExpireSeconds(long seconds) {
    this.refreshExpire = seconds;
  }
}