Webアプリの準備
以下のような単純なWebアプリケーションを用意します。
hello-maven-webapp-auth\pom.xml
hello-maven-webapp-auth\src\main\webapp\index.jsp
hello-maven-webapp-auth\src\main\webapp\WEB-INF\web.xml
index.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Hello</title>
</head>
<%
java.security.Principal o = request.getUserPrincipal();
String userid = "";
if (o == null) {}
else { userid = o.getName();}
%>
<body>
<h1><%=new java.util.Date()%></h1>
<ol>
<li>OK <%=userid%></li>
</ol>
</body>
</html>
web.xml
<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd" >
<web-app>
<security-role>
<role-name>myrole</role-name>
</security-role>
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>POST</http-method>
<http-method>DELETE</http-method>
</web-resource-collection>
<!-- <web-resource-collection>で定義されたWebリソースに対して、アクセスを許可するロールを定義 -->
<auth-constraint>
<role-name>myrole</role-name>
</auth-constraint>
<!-- クライアントとの通信方法を指定する -->
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
</web-app>
pom.xml
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.ibm</groupId>
<artifactId>hello-maven-webapp-auth</artifactId>
<version>1.0.0.0</version>
<packaging>war</packaging>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<java.version>1.8</java.version>
</properties>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.9.0</version>
<configuration>
<source>1.8</source>
<target>1.8</target>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-war-plugin</artifactId>
<version>3.3.2</version>
</plugin>
</plugins>
</build>
<dependencies>
<!-- https://mvnrepository.com/artifact/javax.servlet/javax.servlet-api -->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.1.0</version>
<scope>provided</scope>
</dependency>
</dependencies>
</project>
WebSphere Liberty
セットアップ
以下を参考にセットアップする。
WebSphere Application Server Liberty の概要 - IBM Documentation
https://www.ibm.com/docs/ja/was-liberty/base?topic=liberty-overview
ダウンロードしたアーカイブを使用した Liberty のインストール - IBM Documentation
https://www.ibm.com/docs/ja/was-liberty/base?topic=liberty-installing-by-using-downloaded-archives
ZIP アーカイブ・ファイルの解凍による Liberty のインストール - IBM Documentation
https://www.ibm.com/docs/ja/was-liberty/base?topic=archives-installing-liberty-by-extracting-zip-archive-file
WebSphere Libertyのコマンド一覧
Administering Liberty from the command line - IBM Documentation
https://www.ibm.com/docs/en/was-liberty/base?topic=manually-administering-liberty-from-command-line
以下、 C:\wlp にインストールしたものとします。
C:\wlp\bin にPATHを通しておきます。
WebSphere Liberty サーバー設定 (1)
server create コマンドでサーバー設定を作成します。
参考:
C:\wlp\bin>server create
サーバー defaultServer が作成されました。
設定ファイルとディレクトリが作成されます
C:\wlp\bin>dir /s /b \wlp\usr\servers\defaultServer
C:\wlp\usr\servers\defaultServer\apps
C:\wlp\usr\servers\defaultServer\dropins
C:\wlp\usr\servers\defaultServer\server.env
C:\wlp\usr\servers\defaultServer\server.xml
C:\wlp\usr\servers\defaultServer\workarea
C:\wlp\usr\servers\defaultServer\workarea\.sLock
WAR の配置
以下のディレクトリにWARファイルをコピーしておきます。
C:\wlp\usr\servers\defaultServer\apps
WebSphere Liberty SSL 設定
WebSphere Liberty に付属する securityUtility を使うのが簡単です。
参考:
C:\wlp\bin>where securityUtility
C:\wlp\bin\securityUtility
C:\wlp\bin\securityUtility.bat
C:\wlp\bin>securityUtility createSSLCertificate --server=defaultServer --password=指定パスワード
鍵ストア C:\wlp\usr\servers\defaultServer\resources\security\key.p12 を作成中です
サーバー defaultServer の SSL 証明書を作成しました。 証明書は SubjectDN CN=9.XXX.XX.XX,OU=defaultServer,O=ibm,C=us で作成されました。
SSL を使用可能にするには、server.xml に次の行を追加してください。
<featureManager>
<feature>transportSecurity-1.0</feature>
</featureManager>
<keyStore id="defaultKeyStore" password="{xor}暗号化されたパスワード" />
C:\wlp\bin>
「」の部分は後で server.xml に反映させます。
WebSphere Liberty サーバーの起動
C:\wlp\usr\servers\defaultServer>server run
Google 側での設定
Google Cloud Console で「認証情報」を作成する
「OAuth 2.0 クライアント ID」を作成します。
redirect_uris は、とりあえずローカルでサーバーを動かして動作を試す想定で設定しています。
クライアントに必要な情報がJSON形式で生成されますので記録しておきます。
「project_id」「client_secret」が特に重要な情報になります。
{"web":{
"client_id":"xxx.apps.googleusercontent.com",
"project_id":"my-project-xxx",
"auth_uri":"https://accounts.google.com/o/oauth2/auth",
"token_uri":"https://oauth2.googleapis.com/token",
"auth_provider_x509_cert_url":"https://www.googleapis.com/oauth2/v1/certs",
"client_secret":"xxx",
"redirect_uris":["http://localhost/",
"https://localhost:9443/oidcclient/redirect/googleRP",
"http://localhost:9080/oidcclient/redirect/googleRP"]
}
}
WebSphere Liberty サーバー設定 (2)
server.xml の設定
<?xml version="1.0" encoding="UTF-8"?>
<server description="new server">
<featureManager>
<feature>appSecurity-2.0</feature>
<feature>openidConnectClient-1.0</feature>
<feature>ssl-1.0</feature>
<feature>servlet-3.1</feature>
<!-- securityUtility createSSLCertificate -->
<feature>transportSecurity-1.0</feature>
</featureManager>
<keyStore id="defaultKeyStore" password="{xor}xxx" />
<!-- To access this server from a remote client add a host attribute to the following element, e.g. host="*" -->
<httpEndpoint id="defaultHttpEndpoint"
xhttpPort="9080"
httpsPort="9443" />
<!-- Automatically expand WAR files and EAR files -->
<applicationManager autoExpand="true"/>
<!-- Google -->
<!-- https://console.cloud.google.com/apis/dashboard -->
<openidConnectClient
authorizationEndpointUrl="https://accounts.google.com/o/oauth2/auth"
clientId="xxx.apps.googleusercontent.com"
clientSecret="xxx"
id="googleRP"
issuerIdentifier="accounts.google.com"
grantType="implicit"
jwkEndpointUrl="https://www.googleapis.com/oauth2/v2/certs"
scope="openid profile email"
signatureAlgorithm="RS256"
tokenEndpointUrl="https://www.googleapis.com/oauth2/v3/token"
userIdentityToCreateSubject="email">
</openidConnectClient>
<ssl id="oidcClientSSL" keyStoreRef="defaultKeyStore" trustDefaultCerts="true" />
<application
id="simple-liberty-backend-app"
location="hello-maven-webapp-auth-1.0.0.0.war"
name="simple-liberty-backend-app"
type="war">
<application-bnd>
<security-role name="myrole">
<special-subject type="ALL_AUTHENTICATED_USERS"/>
</security-role>
</application-bnd>
</application>
</server>
エラーの例
SSL Handshake のエラー
WebSphere Liberty と Google の間でSSL通信を行おうとした際に、証明書がLiberty側にインストールされておらずエラーになる場合があります。
WARNING: An illegal reflective access operation has occurred
WARNING: Illegal reflective access by com.ibm.ws.logging.internal.impl.IntrospectionLevelMember$1 (file:/C:/wlp/lib/com.ibm.ws.logging_1.0.72.jar) to field sun.security.x509.X509CertImpl.NAME
WARNING: Please consider reporting this to the maintainers of com.ibm.ws.logging.internal.impl.IntrospectionLevelMember$1
WARNING: Use --illegal-access=warn to enable warnings of further illegal reflective access operations
WARNING: All illegal access operations will be denied in a future release
[エラー ] CWPKI0823E: SSL ハンドシェークの失敗: SubjectDN [CN=upload.video.google.com] の署名者がホスト [www.googleapis.com:443] から送信されました。 SSL 構成別名 [defaultSSLConfig] にあるトラストストア [C:/wlp/usr/servers/defaultServer/resources/security/key.p12] にこの署名者を追加する必要がある可能性があります。 SSL ハンドシェーク例外からの拡張エラー・メッセージ: [PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target]
[エラー ] CWWKS1739E: 署名アルゴリズム [RS256] に必要な署名鍵が利用できませんでした。 PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
[エラー ] CWWKS1706E: OpenID Connect クライアント [xxx.apps.googleusercontent.com] が ID トークンの検証に失敗しました。原因は [CWWKS1739E: 署名アルゴリズム [RS256] に必要な署名鍵が利用できませんでした。 PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target] です。
証明書のインストール
FireFox で以下URLを開き、証明書の詳細画面を開くことでPEMファイルをダウンロードすることができます。
「upload-video-google-com.pem」として保存したものとします。
>keytool -importcert -keystore "C:/wlp/usr/servers/defaultServer/resources/security/key.p12" -file "C:\Users\xxx\Downloads\upload-video-google-com.pem" -alias uploadvideogooglecom
キーストアのパスワードを入力してください:
所有者: CN=upload.video.google.com
発行者: CN=GTS CA 1C3, O=Google Trust Services LLC, C=US
シリアル番号: 870cc492f0d89f3b0a38c95c3295c839
有効期間の開始日: Mon Nov 28 17:18:34 JST 2022終了日: Mon Feb 20 17:18:33 JST 2023
証明書のフィンガプリント:
SHA1: F7:2C:F0:BD:6C:A9:14:8B:CC:83:6D:DA:82:1B:CF:0A:6A:6C:BD:F1
SHA256: 00:6C:F8:59:E4:9E:50:19:34:CE:0B:30:F6:C3:61:47:DE:EA:B1:C5:00:7E:60:60:62:22:27:6F:7A:B4:2B:83
署名アルゴリズム名: SHA256withRSA
サブジェクト公開鍵アルゴリズム: 256ビットEC (secp256r1)鍵
バージョン: 3
(略)
#9: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
DNSName: upload.video.google.com
DNSName: *.clients.google.com
DNSName: *.docs.google.com
DNSName: *.drive.google.com
DNSName: *.gdata.youtube.com
DNSName: *.googleapis.com
DNSName: *.photos.google.com
DNSName: *.youtube-3rd-party.com
DNSName: upload.google.com
DNSName: *.upload.google.com
DNSName: upload.youtube.com
DNSName: *.upload.youtube.com
DNSName: uploads.stage.gdata.youtube.com
DNSName: bg-call-donation.goog
DNSName: bg-call-donation-alpha.goog
DNSName: bg-call-donation-canary.goog
DNSName: bg-call-donation-dev.goog
]
#10: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: BC 26 18 9A D7 64 EE 90 82 44 3F DE 4C A4 D6 88 .&...d...D?.L...
0010: FF DE 54 5F ..T_
]
]
この証明書を信頼しますか。 [いいえ]: Y
証明書がキーストアに追加されました
>
アプリの再起動
C:\wlp\usr\servers\defaultServer>server run
Eclipse OpenJ9 VM バージョン 11.0.13+8 (ja_JP) で、defaultServer (WebSphere Application Server 22.0.0.13/wlp-1.0.72.cl221320221205-1900) を起動しています
[監査 ] CWWKE0001I: サーバー defaultServer が起動されました。
[監査 ] CWWKE0100I: この製品は、開発使用向け、および限定的な実動使用向けにライセンスが交付されています。 全ライセンス条項 は以下で表示可能です: https://public.dhe.ibm.com/ibmdl/export/pub/software/websphere/wasdev/license/base_ilan/ilan/22.0.0.13/lafiles/ja.html
[監査 ] CWWKZ0058I: アプリケーションの dropins をモニター中です。
[監査 ] CWWKT0016I: Web アプリケーションが使用可能です (default_host): http://localhost:9080/oauth2/
[監査 ] CWWKT0016I: Web アプリケーションが使用可能です (default_host): http://localhost:9080/oidcclient/
[監査 ] CWWKT0016I: Web アプリケーションが使用可能です (default_host): http://localhost:9080/jwt/
[監査 ] CWWKT0016I: Web アプリケーションが使用可能です (default_host): http://localhost:9080/simple-liberty-backend-app/
[監査 ] CWWKZ0001I: アプリケーション simple-liberty-backend-app が 0.119 秒で開始しました。
[監査 ] CWWKF0012I: サーバーは次のフィーチャーをインストールしました。[appSecurity-2.0, distributedMap-1.0, federatedRegistry-1.0, jndi-1.0, json-1.0, jsp-2.2, ldapRegistry-3.0, oauth-2.0, openidConnectClient-1.0, servlet-3.1, ssl-1.0, transportSecurity-1.0]。
[監査 ] CWWKF0011I: defaultServer サーバーは、Smarter Planet に対応する準備ができました。defaultServer サーバーは 3.832 秒で始動しました。
アプリを開く
「 http://localhost:9080/simple-liberty-backend-app/ 」を開くとGoogleにリダイレクトされます。
以下のようになれば成功です。
以上
参考になるかもしれないページ
Liberty での OpenID Connect クライアントの構成 - IBM Documentation