«1. Обзор
В этом кратком руководстве мы собираемся показать, как мы можем добавить функцию выхода из системы в приложение OAuth Spring Security.
Мы рассмотрим несколько способов сделать это. Сначала мы увидим, как выйти из системы нашего пользователя Keycloak из приложения OAuth, как описано в разделе «Создание REST API с помощью OAuth2», а затем с помощью прокси-сервера Zuul, который мы видели ранее.
Мы будем использовать стек OAuth в Spring Security 5. Если вы хотите использовать устаревший стек Spring Security OAuth, ознакомьтесь с этой предыдущей статьей: Выход из защищенного приложения OAuth (используя устаревший стек).
2. Выход из системы с помощью внешнего приложения
Так как токены доступа управляются сервером авторизации, их необходимо аннулировать на этом уровне. Точные шаги для этого будут немного отличаться в зависимости от используемого вами сервера авторизации.
В нашем примере, согласно документации Keycloak, для выхода непосредственно из приложения браузера мы можем перенаправить браузер на http://auth-server/auth/realms/{realm-name}/protocol/openid- подключиться/выйти?redirect_uri=encodedRedirectUri.
Наряду с отправкой URI перенаправления нам также необходимо передать id_token_hint конечной точке выхода Keycloak. Это должно содержать закодированное значение id_token.
Вспомним, как мы сохраняли access_token, аналогично сохраним и id_token:
saveToken(token) {
var expireDate = new Date().getTime() + (1000 * token.expires_in);
Cookie.set("access_token", token.access_token, expireDate);
Cookie.set("id_token", token.id_token, expireDate);
this._router.navigate(['/']);
}
Важно отметить, что для получения ID Token в полезной нагрузке ответа сервера авторизации мы должны включить openid в параметр масштаба.
Теперь давайте посмотрим на процесс выхода из системы в действии.
Мы изменим нашу функцию выхода из системы в службе приложений:
logout() {
let token = Cookie.get('id_token');
Cookie.delete('access_token');
Cookie.delete('id_token');
let logoutURL = "http://localhost:8083/auth/realms/baeldung/protocol/openid-connect/logout?
id_token_hint=" + token + "&post_logout_redirect_uri=" + this.redirectUri;
window.location.href = logoutURL;
}
Помимо перенаправления, нам также необходимо отказаться от токенов доступа и идентификатора, которые мы получили от сервера авторизации.
Следовательно, в приведенном выше коде мы сначала удалили токены, а затем перенаправили браузер на API выхода Keycloak.
Примечательно, что мы передали URI перенаправления как http://localhost:8089/ — тот, который мы используем во всем приложении, — поэтому мы окажемся на целевой странице после выхода из системы.
Удаление токенов доступа, идентификатора и обновления, соответствующих текущему сеансу, выполняется на стороне сервера авторизации. В этом случае наше браузерное приложение вообще не сохранило Refresh Token.
3. Выход из системы с помощью Zuul Proxy
В предыдущей статье об обработке токена обновления мы настроили наше приложение, чтобы иметь возможность обновлять токен доступа с помощью токена обновления. В этой реализации используется прокси-сервер Zuul с настраиваемыми фильтрами.
Здесь мы увидим, как добавить функцию выхода из системы.
На этот раз мы будем использовать другой API Keycloak для выхода пользователя из системы. Мы будем вызывать POST в конечной точке выхода из системы, чтобы выйти из сеанса с помощью вызова без браузера, вместо перенаправления URL-адреса, которое мы использовали в предыдущем разделе.
3.1. Определить маршрут для выхода
Для начала давайте добавим еще один маршрут к прокси в нашем application.yml:
zuul:
routes:
//...
auth/refresh/revoke:
path: /auth/refresh/revoke/**
sensitiveHeaders:
url: http://localhost:8083/auth/realms/baeldung/protocol/openid-connect/logout
//auth/refresh route
По сути, мы добавили подмаршрут к уже существующему auth/refresh. Важно, чтобы мы добавили подмаршрут перед основным маршрутом, иначе Zuul всегда будет отображать URL-адрес основного маршрута.
Мы добавили подмаршрут вместо основного, чтобы иметь доступ к cookie-файлу refreshToken только для HTTP, который был настроен на очень ограниченный путь как /auth/refresh (и его подпути). Мы увидим, зачем нам нужен файл cookie, в следующем разделе.
3.2. POST для /logout сервера авторизации
Теперь давайте улучшим реализацию CustomPreZuulFilter, чтобы перехватить URL-адрес /auth/refresh/revoke и добавить необходимую информацию для передачи на сервер авторизации.
Параметры формы, необходимые для выхода, аналогичны параметрам запроса Refresh Token, за исключением того, что нет Grant_type:
@Component
public class CustomPostZuulFilter extends ZuulFilter {
//...
@Override
public Object run() {
//...
if (requestURI.contains("auth/refresh/revoke")) {
String cookieValue = extractCookie(req, "refreshToken");
String formParams = String.format("client_id=%s&client_secret=%s&refresh_token=%s",
CLIENT_ID, CLIENT_SECRET, cookieValue);
bytes = formParams.getBytes("UTF-8");
}
//...
}
}
Здесь мы просто извлекли файл cookie refreshToken и отправили требуемые formParams.
3.3. Удаление токена обновления
При отзыве токена доступа с использованием перенаправления выхода из системы, как мы видели ранее, связанный с ним токен обновления также становится недействительным сервером авторизации.
«Однако в этом случае файл cookie httpOnly останется установленным на клиенте. Учитывая, что мы не можем удалить его с помощью JavaScript, нам нужно удалить его со стороны сервера.
Для этого добавим в реализацию CustomPostZuulFilter, которая перехватывает URL-адрес /auth/refresh/revoke, чтобы удалить файл cookie refreshToken при обнаружении этого URL-адреса:
@Component
public class CustomPostZuulFilter extends ZuulFilter {
//...
@Override
public Object run() {
//...
String requestMethod = ctx.getRequest().getMethod();
if (requestURI.contains("auth/refresh/revoke")) {
Cookie cookie = new Cookie("refreshToken", "");
cookie.setMaxAge(0);
ctx.getResponse().addCookie(cookie);
}
//...
}
}
3.4. Удалить токен доступа из клиента Angular
Помимо отзыва токена обновления, файл cookie access_token также необходимо удалить со стороны клиента.
Давайте добавим в наш контроллер Angular метод, который очищает файл cookie access_token и вызывает отображение POST /auth/refresh/revoke:
logout() {
let headers = new HttpHeaders({
'Content-type': 'application/x-www-form-urlencoded; charset=utf-8'});
this._http.post('auth/refresh/revoke', {}, { headers: headers })
.subscribe(
data => {
Cookie.delete('access_token');
window.location.href = 'http://localhost:8089/';
},
err => alert('Could not logout')
);
}
Эта функция будет вызываться при нажатии на кнопку выхода:
<a class="btn btn-default pull-right"(click)="logout()" href="#">Logout</a>
~ ~~ 4. Заключение
В этом кратком, но подробном руководстве мы показали, как можно выйти из приложения, защищенного с помощью OAuth, и аннулировать токены этого пользователя.
Полный исходный код примеров можно найти на GitHub.