【OCI】API Gatewayに認証を実装してみる

はじめに

今回はOracle Cloud Infrastructure（OCI）のAPI Gatewayに手っ取り早く
認証をかけるために、Auth0を利用してOAuth2.0を基盤としたJWT認証を
実装する方法を紹介したいと思います。

そもそもの話、API Gatewayを使ってAPIを公開するのは比較的簡単ですが、
認証の実装についてはかなり面倒な作業とお感じではないでしょうか？
Functionsの中に認証の仕組みを入れることもできますが、
それだとセキュリティ的に問題があると思うので、
ここはやはりトークンを発行し、そのトークンを使用してAPIをコールできる仕組みを
取り入れるのが良いのではないかと思います。

そこでJWT認証です。
JWT（Json Web Token）とは、API認証でよく使用されるトークンの形式のことで
OAuth2.0に基づく認証プロセスを簡単に実現できます。
この仕組みを使えば、認証機能を自前で実装することなく、
API Gatewayに認証を組み込むことが可能です。

JWTの仕組みを簡単に利用できるサービスとして無償プランを
提供しているAuth0があります。
今回はこのサービスを利用してJWT認証の仕組みを設定する方法を
説明したいと思います。

■Auth0の公式サイト
https://auth0.com/jp

■API GatewayでJWT認証を使うまでの簡単な流れ
①Auth0でトークン発行用APIを作成
②Auth0でApplicationを作成し、①で作成したのAPIと紐づける
③OCI API Gatewayでトークンを検証する設定を入れる
④Auth0のAPIでトークン発行
⑤OCI API Gatewayを④のトークンを使ってコールする

今回の構成を図にすると次のようなイメージとなります。

■構成

今回使用するAPI Gateway（Functions）については過去のQiitaに
簡単にまとめていますので、こちら参考にしてください。

■【OCI】API Gateway経由でFunctionsのAPIを呼び出してみる
https://qiita.com/atwits/items/f9dcc82f6a552c3df390

※API Gateway（Functions）の細かい手順については
上記ブログでまとめているので省略します。

◆目次
1.Auth0の設定
2.API Gatewayの設定
3.APIの動作検証

1. Auth0の設定

まずはAuth0の公式サイトからアカウントを作成します。
※こちら無料で利用可能です。

それでは早速、Auth0の設定に入りたいと思います。

Auth0にログインしたら、[Applications] - [APIs]を選択し、
Create APIを実行します。

NameとIdentifierに任意の文字列を入力して、Createを実行します。
※Identifierはアカウント内でユニークであれば問題ありません。

ここでは以下を入力
Name: oci-apigateway
Identifier: https://oci-apigateway-endpoint

次に[Applications] - [Applications]を選択し、
Create Applicationを実行します。

Nameに任意の文字列を入力し、Machine to Machine Applicationsを選択し、
Createを実行します。

ここでは以下を入力
Name: app-oci-apigateway

こちらは先程作成したAPIを選択し、Authoriseを実行します。

前述の手順でAPIとApplicationが作成されているので
まずはApplicationのトップのリンクを選択します。

Basic InformationのエリアにDomain、Client ID、Client Secretがあるので
それぞれ書き留めておきます。

APIsのトップに遷移すると、API Audienceがあるのでこちらも書き留めておきます。
（前述のIdentifierと同じ値です）

以上でAuth0側の設定は終了です。

2. API Gatewayの設定

ここでは既にAPI Gateway + Functionsが設定されている前提で
JWT認証を設定する部分を説明したいと思います。

左上メニュー[Ξ]から開発者サービスを選択し、
ゲートウェイを選択します。

あとは認証設定したいAPI Gatewayを選択します。

続いてデプロイメントを選択します。

ここで編集を選択します。

下記の通り、赤枠部分の通りとします。

ここでは下記の選択／入力をしています。
選択: 単一認証
匿名アクセスの有効化: チェック
認証タイプ: OAuth 2.0 / OpenID Connect
トークンの場所: ヘッダー
JWTトークン・ヘッダー名: Authorization
認証スキーム: Bearer

下にスクロールして下記の赤枠も選択／入力します。

こちらは下記の選択／入力をしています。
タイプ: リモートJWKS
JWKS URI: https://[Auth0のDomain]/.well-known/jwks.json

さらにスクロールして下記の赤枠も選択／入力します。

こちらは下記選択／入力をしています。
許可されている発行者: https://[Auth0のDomain]/
許可されているオーディエンス: [Auth0のAPI Audience] *https://oci-apigateway-endpoint

以上で変更の保存を選択したらAPI Gatewayの設定は終了です。

3. APIの動作検証

それでは最後にAPIの動作検証をしてみます。

最初にJWTトークンを発行します。

■設定情報

[Method] POST
[Endpoint] https://[Auth0のDomain]/oauth/token
[Header] Content-Type: application/json
[Body]
{
  "client_id": "[Auth0のClient ID]",
  "client_secret": "[Auth0のClient Secret]",
  "audience": "[Auth0のAPI Audience]",
  "grant_type": "client_credentials"
}

実行すると下記のようなレスポンスが返ってきますので
このaccess_tokenをコピーしておきます。

{
    "access_token": "eyJhb...qjGiw",
    "expires_in": 86400,
    "token_type": "Bearer"
}

あとはAPI Gatewayのヘッダーにトークンを埋め込むだけで完了です。

■設定情報

[Method] POST (任意)
[Endpoint] *API Gatewayのエンドポイント
[Header] 
Content-Type: application/json
authorization: Bearer <トークン>
[Body] *API GatewayのPOSTデータ

上記でPOSTすればAPIがコールされます。
※デフォルト設定では10時間経過するとトークンの有効期限が切れて認証エラーとなります。

おわり

以上、Auth0のJWT認証を使って簡単にAPI Gatewayに認証を実装することができました。