-
Notifications
You must be signed in to change notification settings - Fork 0
/
handler.go
581 lines (459 loc) · 19.5 KB
/
handler.go
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
/*
Основной функционал
*/
package kc
import (
"crypto/rsa"
"fmt"
"net"
"net/http"
"net/url"
"regexp"
"strings"
"sync"
"github.com/coreos/go-oidc"
"github.com/dgrijalva/jwt-go/v4"
"golang.org/x/oauth2"
"github.com/alrusov/auth"
"github.com/alrusov/config"
"github.com/alrusov/log"
"github.com/alrusov/misc"
"github.com/alrusov/stdhttp"
)
//----------------------------------------------------------------------------------------------------------------------------//
type (
// Описание
AuthHandler struct {
initialized bool // Инициализирован?
http *stdhttp.HTTP // Базовый HTTP
cfg *config.AuthMethod // Стандартная конфигурация этого метода
options *methodOptions // Дополнительные параметры конфигурации
uuid string // uuid, генерится при запуске и используется в качестве префикса статура при взаимодействии с kc сервером
callbackRedirectPath string // Путь до callback
logoutRedirectPath string // Путь до logout
clientCfg *kcClientConfig // Конфигурпция kc клиента
kcPubKey *rsa.PublicKey // Публичный ключ kc
oauth2ConfigPattern oauth2.Config // Шаблон конфига соединения с kc
provider *oidc.Provider // oauth2 провайдер
verifier *oidc.IDTokenVerifier // oauth2 верифаер токена
sessionsMutex *sync.RWMutex // mutex кэша сессий
sessions map[string]*sessionData // кэш сессий
}
// Дополнительные параметры конфигурации
methodOptions struct {
Domain string `toml:"domain"` // Имя домена для установки cookie, должен совпадать с доменом "me", в крайнем случае можно указать IP
AuthServer string `toml:"auth-server"` //URL kc сервера
WithGzip bool `toml:"gzip"` // Использовать gzip при взаимодействии с kc сервером
Timeout config.Duration `toml:"timeout"` // Таймаут
SkipTLSVerification bool `toml:"skip-tls-verification"` // Надо ли проверять TLS сертификат сервера на валидность
ClientRealm string `toml:"client-realm"` // realm клиента в keycloak
ClientID string `toml:"client-id"` // ID клиента в keycloak
ClientSecret string `toml:"client-secret"` // secret клиента в keycloak
CheckACR bool `toml:"check-acr"` // Дополнительная проверка поля acr токена, при доступе к приложениям по IP рекомендуется отключить
}
// Описание сессии
sessionData struct {
validBefore int64 // Время окончания (unixtime)
RefreshToken string // Refresh токен
TokenInfo jwt.MapClaims `json:"tokenInfo"` // Claims из токена
UserInfo *kcUserInfo `json:"userInfo"` // Информация о пользователе от kc сервера
}
// Конфигурация клиента kc сервера
kcClientConfig struct {
Issuer string `json:"issuer"` // Базовый URL, ключ там
AuthorizationEndpoint string `json:"authorization_endpoint"` // [не используем]
TokenEndpoint string `json:"token_endpoint"` // URL управления токеном, обновляем через него
IntrospectionEndpoint string `json:"introspection_endpoint"` // [не используем]
UserinfoEndpoint string `json:"userinfo_endpoint"` // URL получения информации о пользователе
EndSessionEndpoint string `json:"end_session_endpoint"` // URL закрытия сессии
JwksURI string `json:"jwks_uri"` // [не используем]
CheckSessionIframe string `json:"check_session_iframe"` // [не используем]
}
// Структура для запроса публичного ключа
kcIssuer struct {
PublicKey string `json:"public_key"` // Публичный ключ
}
// Токен
kcToken struct {
AccessToken string `json:"access_token"` // Access token
RefreshToken string `json:"refresh_token"` // Refresh token
}
// Информация о пользователе, зависит от настроек kc сервера
kcUserInfo struct {
ID string `json:"sub"` // Уникальный ID
UserName string `json:"username"` // Имя пользователе
Name string `json:"name"` // Отображаемое имя
FirstName string `json:"given_name"` // Имя
LastName string `json:"family_name"` // Фамилия
Initials string `json:"initials"` // Инициалы
Email string `json:"email"` // email
Phone string `json:"phone"` // Телефон
City string `json:"city"` // Город
Department string `json:"department"` // Подразделения
Groups []string `json:"groups"` // Группы, в которых состоит
}
)
const (
module = "kc"
method = "kc"
accessTokenName = "KCAT" // Имя куки с access token
refreshTokenName = "KCRT" // Имя куки с refresh token
)
//----------------------------------------------------------------------------------------------------------------------------//
// Автоматическая регистрация при запуске приложения
func init() {
config.AddAuthMethod(module, &methodOptions{})
}
// Проверка валидности дополнительных опций метода
func (options *methodOptions) Check(cfg interface{}) (err error) {
msgs := misc.NewMessages()
options.AuthServer = misc.NormalizeSlashes(options.AuthServer)
if options.AuthServer == "" {
msgs.Add(`%s.checkConfig: "auth-server" is not defined"`, method)
}
if options.Domain == "" {
msgs.Add(`%s.checkConfig: "domain" is not defined"`, method)
}
if isLocal(options.Domain) {
msgs.Add(`%s.checkConfig: "domain" cannot be local"`, method)
}
if net.ParseIP(options.Domain) == nil {
options.Domain = "." + options.Domain
}
if options.Timeout <= 0 {
options.Timeout = config.ListenerDefaultTimeout
}
if options.ClientRealm == "" {
msgs.Add(`%s.checkConfig: "client-realm" is not defined"`, method)
}
if options.ClientID == "" {
msgs.Add(`%s.checkConfig: "client-id" is not defined"`, method)
}
if options.ClientSecret == "" {
msgs.Add(`%s.checkConfig: "client-secret" is not defined"`, method)
}
err = msgs.Error()
return
}
//----------------------------------------------------------------------------------------------------------------------------//
// Инициализация метода
func (ah *AuthHandler) Init(cfg *config.Listener) (err error) {
ah.cfg = nil
ah.options = nil
methodCfg, exists := cfg.Auth.Methods[module]
if !exists || !methodCfg.Enabled || methodCfg.Options == nil {
return
}
options, ok := methodCfg.Options.(*methodOptions)
if !ok {
return fmt.Errorf(`options for module "%s" is "%T", "%T" expected`, module, methodCfg.Options, options)
}
ah.cfg = methodCfg
ah.options = options
if !ah.cfg.Enabled {
return
}
err = ah.init()
if err != nil {
return
}
return
}
//----------------------------------------------------------------------------------------------------------------------------//
// Добавление в листенер
// Add --
func Add(http *stdhttp.HTTP) (err error) {
return http.AddAuthHandler(
&AuthHandler{
http: http,
},
)
}
//----------------------------------------------------------------------------------------------------------------------------//
// Стандартный вызов - метод разрешен?
func (ah *AuthHandler) Enabled() bool {
return ah.cfg != nil && ah.cfg.Enabled
}
//----------------------------------------------------------------------------------------------------------------------------//
// Стандартный вызов - получение индекса для упорядочивания в последовательности вызовов методов
func (ah *AuthHandler) Score() int {
return ah.cfg.Score
}
//----------------------------------------------------------------------------------------------------------------------------//
// Стандартный вызов - получение имени метода и необходимости добавления realm в HTTP заголовок
func (ah *AuthHandler) WWWAuthHeader() (name string, withRealm bool) {
return method, true
}
//----------------------------------------------------------------------------------------------------------------------------//
// Стандартный вызов - попытка аутентификации данным методом
func (ah *AuthHandler) Check(id uint64, prefix string, path string, w http.ResponseWriter, r *http.Request) (identity *auth.Identity, tryNext bool) {
if !ah.initialized {
auth.Log.Message(log.INFO, `[%d] Not initialized yet`, id)
return nil, false
}
accessToken := ""
refreshToken := ""
c, err := r.Cookie(accessTokenName)
if err == nil {
// Есть access токен в куках
accessToken = c.Value
c, err = r.Cookie(refreshTokenName)
if err == nil {
// Есть refresh токен в куках
refreshToken = c.Value
} else {
// Сбрасываем access, будем по новой логиниться (а так надо???)
accessToken = ""
}
}
// Проверяем айтентификацию
userInfo, err := ah.check(id, prefix, path, w, r, accessToken, refreshToken, 0)
if err != nil {
auth.Log.Message(log.INFO, `[%d] KC login error: %s`, id, err)
return nil, false
}
if userInfo != nil {
// Успешно!
return &auth.Identity{
Method: module,
User: userInfo.UserName,
Groups: userInfo.Groups,
Extra: userInfo,
},
false
}
return nil, false
}
//----------------------------------------------------------------------------------------------------------------------------//
// Проверка аутентификации
func (ah *AuthHandler) check(id uint64, prefix string, path string, w http.ResponseWriter, r *http.Request, accessToken string, refreshToken string, iter int) (userInfo *kcUserInfo, err error) {
var session *sessionData
sessionSign := ""
logoutNeeded := true
defer func() {
if err != nil {
// Не получилось
auth.Log.Message(log.DEBUG, "[%d] %s", id, err)
if sessionSign != "" {
// Удаляем их кэша
ah.sessionsMutex.Lock()
delete(ah.sessions, sessionSign)
ah.sessionsMutex.Unlock()
}
baseURL := ah.baseURL(r)
referer := url.QueryEscape(
misc.NormalizeSlashes(
fmt.Sprintf("%s/%s", baseURL, r.URL.RequestURI()),
),
)
if logoutNeeded {
// Если нужен logout
w.Header().Set("Location", misc.NormalizeSlashes(fmt.Sprintf("%s/%s?referer=%s&token=%s", baseURL, ah.logoutRedirectPath, referer, accessToken)))
w.WriteHeader(http.StatusFound)
return
}
// пробуем обновить токен
accessToken, refreshToken = ah.tryToRefresh(id, w, r, refreshToken)
if accessToken == "" {
// токен не обновлён
oa := ah.oaConfig(baseURL, r)
w.Header().Set("Location", oa.AuthCodeURL(fmt.Sprintf("%s%s", ah.uuid, referer)))
w.WriteHeader(http.StatusFound)
return
}
if iter > 0 {
err = fmt.Errorf("auth loop detected")
return
}
// Может получилось обновиться?
iter++
userInfo, err = ah.check(id, prefix, path, w, r, accessToken, refreshToken, iter)
}
}()
if accessToken == "" {
err = fmt.Errorf("empty token")
// не будем делать logout, а попробуем сразу залогиниться
logoutNeeded = false
return
}
parts := strings.SplitN(accessToken, ".", 3)
if len(parts) != 3 {
err = fmt.Errorf("illegal token format: %s", accessToken)
return
}
sessionSign = parts[2]
ah.sessionsMutex.RLock()
session, exists := ah.sessions[sessionSign]
ah.sessionsMutex.RUnlock()
if exists {
if misc.NowUnix() >= session.validBefore {
err = fmt.Errorf("session expired")
// возможно, что токен можно еще продлить, не будем пока делать logout
logoutNeeded = false
return
}
userInfo = session.UserInfo
return
}
session = &sessionData{
RefreshToken: refreshToken,
TokenInfo: jwt.MapClaims{},
}
userInfo, err = ah.userInfo(accessToken)
if err != nil {
err = fmt.Errorf("get user info error: %s", err)
// возможно, что токен можно еще продлить, не будем пока делать logout
logoutNeeded = false
return
}
_, err = jwt.ParseWithClaims(accessToken, &session.TokenInfo,
func(*jwt.Token) (interface{}, error) {
return ah.kcPubKey, nil
},
jwt.WithoutAudienceValidation(),
)
if err != nil {
return
}
if ah.options.CheckACR {
// Если в конфиге разрешена проверка способа обновления (мы сами или автоматом)
// По хорошему надо, но это при нормальной настроке доменных имен, а при хождении по IP могут быль нюансы и придется отключить.
var acr int64
acr, err = misc.Iface2Int(session.TokenInfo["acr"])
if err != nil {
err = fmt.Errorf("bad token.acr")
return
}
if acr == 0 {
// это говорит о том, что токен нам обновили, но без нашего запроса, это legacy метод, лучше перелогинимся
err = fmt.Errorf("token.acr == 0")
return
}
}
// Получем время, до которого нам выдали токен
exp, err := misc.Iface2Int(session.TokenInfo["exp"])
if err != nil {
err = fmt.Errorf("bad token.exp")
return
}
session.validBefore = exp
session.UserInfo = userInfo
ah.sessionsMutex.Lock()
ah.sessions[sessionSign] = session
ah.sessionsMutex.Unlock()
return
}
//----------------------------------------------------------------------------------------------------------------------------//
// Попытка обновить токен
func (ah *AuthHandler) tryToRefresh(id uint64, w http.ResponseWriter, r *http.Request, refreshToken string) (newAccessToken string, newRefreshToken string) {
if refreshToken == "" {
// refresh токена нет - увы...
return
}
// Обновляемся
newAccessToken, newRefreshToken, err := ah.refreshToken(refreshToken)
if err != nil {
auth.Log.Message(log.DEBUG, "[%d] tryToRefresh: %s", id, err)
return
}
// Успешно, ставим куки с токенами
w.Header().Add("Set-Cookie", fmt.Sprintf("%s=%s; path=/; domain=%s;", accessTokenName, newAccessToken, ah.options.Domain))
w.Header().Add("Set-Cookie", fmt.Sprintf("%s=%s; path=/; domain=%s;", refreshTokenName, newRefreshToken, ah.options.Domain))
// будем надеяться, что наши куки дальше не потрут
// иначе надо раскоментаривать следующие две строки, что приведет к редиректу, а это, в числе прочего, нехорошо для POST
//w.Header().Set("Location", referer)
//w.WriteHeader(http.StatusFound)
return
}
//----------------------------------------------------------------------------------------------------------------------------//
// Ответ при ошибке
func (ah *AuthHandler) errorReply(id uint64, w http.ResponseWriter, r *http.Request, httpCode int, message string, p ...interface{}) {
message = fmt.Sprintf(message, p...)
msg := struct {
Message string `json:"error"`
}{
Message: message,
}
stdhttp.SendJSON(w, r, httpCode, msg)
auth.Log.Message(log.DEBUG, `[%d] Reply: %d - "%s"`, id, httpCode, message)
}
//----------------------------------------------------------------------------------------------------------------------------//
/*
Нам надо получить доступный с других хостов URL, так как в общем случае KC сервер стоит отдельно и если исходный
запрос пришел на localhost или 127.0.0.1, то KC будет на себя редиректить.
Поэтому если исходный запрос локальный, то передаем KC наш внешний адрес или доменное имя.
*/
func (ah *AuthHandler) baseURL(r *http.Request) (newURL string) {
h := r.Header
host := h.Get("X-Forwarded-Host")
if host == "" {
// Это не через nginx. Получаем необходимые данные из запроса.
// Протокол
proto := "http"
if r.TLS != nil {
proto = "https"
}
host = r.Host
if isLocal(host) {
// Прилетели с локалхоста
// Получаем порт
port := ""
portDlm := ""
pp := strings.SplitN(host, ":", 2)
if len(pp) == 2 {
port = pp[1]
portDlm = ":"
}
// И преобразуем на доменное имя или внешний адрес, в зависимости от того, что лежит в настроках
host = ah.options.Domain
newURL = fmt.Sprintf("%s://%s%s%s", proto, host, portDlm, port)
return
}
// Формируем нужный URL
newURL = fmt.Sprintf("%s://%s", proto, host)
return
}
// Через nginx
if isLocal(host) {
// Локальный запрос - подменяем хост
host = ah.options.Domain
}
// Получаем порт
port := h.Get("X-Forwarded-Port")
portDlm := ""
if port != "" {
portDlm = ":"
}
// Формируем нужный URL
newURL = misc.NormalizeSlashes(fmt.Sprintf("%s://%s%s%s", h.Get("X-Forwarded-Proto"), host, portDlm, port))
return
}
//----------------------------------------------------------------------------------------------------------------------------//
// Получение копии OA конфига, как как RedirectURL зависит от исходного запроса
func (ah *AuthHandler) oaConfig(baseURL string, r *http.Request) (oa *oauth2.Config) {
prefix := ""
if r.Header.Get("X-Forwarded-Host") != "" {
prefix = ah.http.Config().ProxyPrefix
}
cfg := ah.oauth2ConfigPattern // делаем копию
oa = &cfg
oa.RedirectURL = misc.NormalizeSlashes(fmt.Sprintf("%s/%s/%s", baseURL, prefix, ah.callbackRedirectPath))
return
}
//----------------------------------------------------------------------------------------------------------------------------//
// Проверка url на локальный. Пока по regexp'ам.
var (
localHostREs = []*regexp.Regexp{
regexp.MustCompile(`^(https?://)?localhost(\..*)?`),
regexp.MustCompile(`^(https?://)?127(.\d{1,3}){3}(/.*)?`),
}
)
func isLocal(url string) bool {
for _, re := range localHostREs {
if re.MatchString(url) {
return true
}
}
return false
}
//----------------------------------------------------------------------------------------------------------------------------//