2011年6月3日金曜日

JavaでOAuthをやっつける方法

前回、OAuthについてまとめてみたので、今度は実際にOAuth認証を利用したAPIへのアクセスをJavaで実装してみる。

今回は、天下のoauth.netのoauthライブラリ(Google Code)を使う。

oauthのリポジトリからcommons、consumer、httpclient4を持ってくる。

OAuthのライブラリはいくつかあるみたいだけど、Javaのコードを書く場合はAndroidアプリやGoogle App Engineなどにも移植可能なものがよさげ。
Jakarta Commons HttpClient v4にてOAuth認証を組み込むとコードがすっきりする。一方、GAEではHttp Client v4が使えなかったりする。こういった違いを吸収できるとこがイイ)


やること

いっぱい。。。

  • consumer.propertiesを用意
  • consumer.propertiesを読み込む
  • リクエストトークンを取得する
  • ユーザーにアプリケーションを承認してもらう
  • アクセストークンを取得する

consumer.propertiesを用意

まず、サービスプロバイダーのエンドポイント情報やコンシューマの情報を、下記のようなconsumer.propertiesファイルに定義する。(適当な名前を付ける。例ではtomokey)

view plainprint?
  1. tomokey.consumerKey: consumer_key  
  2. tomokey.consumerSecret: consumer_secret  
  3. tomokey.callbackURL: oob  
  4. tomokey.serviceProvider.baseURL: https://www.google.com/  
  5. tomokey.serviceProvider.requestTokenURL: /accounts/OAuthGetRequestToken  
  6. tomokey.serviceProvider.userAuthorizationURL: /accounts/OAuthAuthorizeToken  
  7. tomokey.serviceProvider.accessTokenURL: /accounts/OAuthGetAccessToken  
この設定内容は、各サービスプロバイダーや利用形態で異なる。

Google Data APIをWebアプリケーションから利用する場合

consumer key発行されたもの
consumer secret発行されたもの
callback URLverifierを受け取るURL
request token URLhttps://www.google.com/accounts/OAuthGetRequestToken
user authorization URLhttps://www.google.com/accounts/OAuthAuthorizeToken
access token URLhttps://www.google.com/accounts/OAuthGetAccessToken

Google Data APIをクライアントアプリケーションから利用する場合

consumer keyanonymous
consumer secretanonymous
callback URLoob
request token URLhttps://www.google.com/accounts/OAuthGetRequestToken
user authorization URLhttps://www.google.com/accounts/OAuthAuthorizeToken
access token URLhttps://www.google.com/accounts/OAuthGetAccessToken

consumer.propertiesを読み込む

view plainprint?
  1. // クラスローダーを生成  
  2. ClassLoader loader = ClassLoader.getSystemClassLoader();  
  3. // 設定ファイルのURLを取得  
  4. URL url = loader.getResource("consumer.properties");  
  5. // 読み込み  
  6. Properties prop = ConsumerProperties.getProperties(url);  
  7.   
  8. // tomokeyという名前の付いた設定を読み込む  
  9. ConsumerProperties consumers = new ConsumerProperties(prop);  
  10. OAuthConsumer consumer = consumers.getConsumer("tomokey");  

リクエストトークンを取得する

view plainprint?
  1. // OAuthClient  
  2. OAuthClient client = new OAuthClient(new HttpClient4());  
  3.   
  4. // OAuth accessor  
  5. OAuthAccessor accessor = new OAuthAccessor(consumer);  
  6.   
  7. // パラメータを構築  
  8. List<Parameter> params = new ArrayList<Parameter>();  
  9. // oauth_callbackを追加  
  10. params.add(new Parameter(  
  11.     OAuth.OAUTH_CALLBACK,  
  12.     accessor.consumer.callbackURL));  
  13.   
  14. // リクエストトークン取得を要求  
  15. client.getRequestToken(accessor, "GET", params);  
  16.   
  17. // 取得したリクエストトークン  
  18. String token = accessor.requestToken;  
  19. String secret = accessor.tokenSecret;  
ライブラリを使っているおかげでだいぶ簡潔になっているけど、本当は色々とやってくれている。具体的には、下記のことをやっている。
base stringの構築
これらの文字列を全部連結する。
  • HTTPリクエストメソッド(POSTとかGET)
  • アクセスURL
  • 全リクエストパラメータを「key=value」形式にしてkeyでソートして「&」でくっつける…
oauth_signatureの構築
デフォルトのSHA-1アルゴリズムでbase stringに対するハッシュ値を計算し、base64エンコードをかけて生成する。
SHA-1の鍵にはconsumer secretの末尾に「&」を付与したものを用いる。
HTTPリクエストの構築と実行
oauth_signatureを含む全てのパラメータをBODY部に設定し、Content-Type:application/x-www-form-urlencodedとしてリクエストを発行する。
APIに依っては、パラメータをHEADER部に行わなければならない場合もあるので、consumer.propertiesに「tomokey.consumer.parameterStyle: AUTHORIZATION_HEADER」とか設定すると吉。


ユーザーにアプリケーションを承認してもらう

これはアプリケーションの形態に依存すると思う(Androidアプリならhttp/httpsのインテントを投げるとか)けど、いずれにしても下記のように作成したURLに対して、ブラウザでアクセスしてもらう必要がある。

view plainprint?
  1. // サービスプロバイダーが定義しているエンドポイント  
  2. String authUrl  
  3.   = accessor.consumer.serviceProvider.userAuthorizationURL;  
  4.   
  5. // ここで作成したURLにアクセスしてもらう  
  6. String url  
  7.   = OAuth.addParameters(authUrl, OAuth.OAUTH_TOKEN, token);  
大抵の場合は承認ボタンがあるのでポチっとしてもらう。その後、Webアプリケーション(callbackURLが設定されている)の場合は、そのURLへのアクセス時にパラメータとしてverifierが送信される。(リダイレクトされる)

クライアントアプリケーション(callbackURLがoob)の場合は、画面にverifierが表示される。(ユーザーにコピペしてもらう必要がある)


アクセストークンを取得する

view plainprint?
  1. // OAuthClient  
  2. OAuthClient client = new OAuthClient(new HttpClient4());  
  3.   
  4. // OAuth accessor  
  5. OAuthAccessor accessor = new OAuthAccessor(consumer);  
  6.   
  7. // SHA1の鍵にリクエストトークンのシークレットのほうが必要  
  8. accessor.tokenSecret = secret;  
  9.   
  10. // パラメータを構築  
  11. List<Parameter> params = new ArrayList<Parameter>();  
  12. // oauth_tokenとしてリクエストトークンを追加  
  13. params.add(new Parameter(  
  14.     OAuth.OAUTH_TOKEN,  
  15.     token));  
  16. // oauth_verifierを追加  
  17. params.add(new Parameter(  
  18.     OAuth.OAUTH_VERIFIER,  
  19.     "ベリファイア"));  
  20.   
  21. // アクセストークン取得を要求  
  22. client.getAccessToken(accessor, "GET", params);  
  23.   
  24. // 取得したアクセストークン  
  25. String accToken = accessor.accessToken;  
  26. String accSecret = accessor.tokenSecret;  
リクエストトークンの取得と似ているけど、注意点がいくつかある。
  • accessor.tokenSecretにリクエストトークンのシークレットのほうを設定する。(SHA1ハッシュ計算時に使う鍵として利用)
  • リダイレクトかコピペかで入力してもらったベリファイアをパラメータとして設定する。

終わり

一応、アクセストークンを使ってAPIアクセスするコードものっけておく。

view plainprint?
  1. // URL(Fusion Tables API)  
  2. String url = "https://www.google.com/fusiontables/api/query";  
  3.   
  4. // パラメータ  
  5. List<Parameter> params  
  6.   = OAuth.newList("sql""SELECT * FROM 913439");  
  7.   
  8. // OAuthClient  
  9. OAuthClient client = new OAuthClient(new HttpClient4());  
  10.   
  11. // OAuth accessor  
  12. OAuthAccessor accessor = new OAuthAccessor(consumer);  
  13.   
  14. // アクセストークンを設定  
  15. accessor.accessToken = accToken;  
  16. accessor.tokenSecret = accSecret;  
  17.   
  18. // リクエストオブジェクト生成  
  19. OAuthMessage request  
  20.   = accessor.newRequestMessage("POST", url, aParams);  
  21.   
  22. // 実行  
  23. OAuthMessage response  
  24.   = client.access(request, ParameterStyle.AUTHORIZATION_HEADER);  
但し、リダイレクトの考慮をしていないので注意。

ライブラリにして公開した

すぐ上に書いてあるリダイレクトの考慮をした上で、ちょっと便利っぽくライブラリにまとめてみた。 ここ(Google Code)からダウンロード可能。

ラベル: , At: By:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)