Начал писать свое приложение, и решил использовать авторизацию через Telegram, но не нашел ни одной нормальной статьи кроме Аутентификация через телеграм в Spring Boot приложении (спасибо автору, он сделал половину работы). Вторую половину пришлось писать самому. По этому покопавшись пару дней хочу представить вам "простенькое" базовое решение, от которого вы сможете оттолкнуться
Чтобы протестить авторизацию, вам придется задеплоить ваше приложение по определенному адресу в интернете (но мы сможем протестить и локально)
Начало
Если вы тут, то скорее всего у вас уже есть какой то приложение, и вы хотите прикрепить к нему аутентификацию, по этому для статьи вам нужно:
Spring Boot приложение
Зависимости Spring Security
Хранилище (можно in-memory, но в моем случае БД)
Изучить документацию https://core.telegram.org/widgets/login (3 мин)
Изучить статью https://habr.com/ru/articles/848502/ (5 мин) и создать бота
Telegram Auth
Создаем html форму из основной документации и помещаем в ресурсы приложения по пути /resources/static/telegramAuth.html
Сама по себе форма сможет работать, только если у вашего приложения будет адрес в интернете, но, мы можем чуть изменить ее, чтобы появилась возможность тестировать локально:
telegramAuth.html
<!--<script async src="https://telegram.org/js/telegram-widget.js?22" data-telegram-login="DynamicQrBot" data-size="large"-->
<!-- data-onauth="onTelegramAuth(user)" data-request-access="write"></script>-->
<script type="text/javascript">
// localhost
onTelegramAuth(null)
function onTelegramAuth(user) {
fetch(
`http://localhost:8080/login`,
{
method: 'POST',
headers: {
'Content-Type': 'application/json'
},
body: JSON.stringify({
"id": "1",
"first_name": "Vasya",
"last_name": "Pupkin",
"photo_url": "https://image",
"auth_date": null,
"hash": "some-hash",
"username": "alekseiiagn",
})
}
)
}
// prod
// function onTelegramAuth(user) {
// fetch(
// `https://${your-domain}/login`,
// {
// method: 'POST',
// headers: {
// 'Content-Type': 'application/json'
// },
// body: JSON.stringify(user)
// }
// )
// }
</script>
POST ${your-domen}/login
- базовый url, в который Spring Security отправляет данные для проверки. Для продакшена заменяем код test на prod и раскомментируем 1-2 строчку
Теперь нам нужен контроллер, который будет переопределять базовый Spring Security GET /login
чтобы отдавать нашу форму:
TmpAuthController.java (в будущем форму лучше перенести на фронт)
@RestController
@RequestMapping("/login")
@RequiredArgsConstructor
public class TmpAuthController {
@GetMapping
public ResponseEntity<Resource> getAuthScript() {
var resource = new ClassPathResource("/static/telegramAuth.html");
var headers = new HttpHeaders();
headers.add(HttpHeaders.CONTENT_DISPOSITION, "inline; filename=telegramAuth.html");
return ResponseEntity.ok()
.headers(headers)
.body(resource);
}
}
Так же в документации Telegram описано, как нужно проверять данные, которыe мы получим и отправим в POST /login
, по этому создаем класс для проверки:
TelegramAuthService.java
@Slf4j
@Service
public class TelegramAuthService {
@Value("${TG_BOT_TOKEN}")
private String tgBotToken;
public boolean isDataValid(Map<String, Object> telegramData) {
var hash = getHash(telegramData);
var dataCheckString = createDataCheckString(telegramData);
try {
var digest = MessageDigest.getInstance("SHA-256");
var key = digest.digest(tgBotToken.getBytes(StandardCharsets.UTF_8));
var hmac = Mac.getInstance("HmacSHA256");
var secretKeySpec = new SecretKeySpec(key, "HmacSHA256");
hmac.init(secretKeySpec);
var hmacBytes = hmac.doFinal(dataCheckString.getBytes(StandardCharsets.UTF_8));
var validateHash = new StringBuilder();
for (byte b : hmacBytes) {
validateHash.append(String.format("%02x", b));
}
return hash.contentEquals(validateHash);
} catch (NoSuchAlgorithmException | InvalidKeyException e) {
log.error("Error while authenticate: {}", e.getMessage());
return false;
}
}
private String getHash(Map<String, Object> telegramData) {
var hash = (String) telegramData.get("hash");
telegramData.remove("hash");
return hash;
}
/**
* Create a verification line - sort all the parameters and combine them into a line like:
* auth_date=<auth_date>\nfirst_name=<first_name>\nid=<id>\nusername=<username>
*/
private String createDataCheckString(Map<String, Object> telegramData) {
var sb = new StringBuilder();
telegramData.entrySet().stream()
.sorted(Map.Entry.comparingByKey())
.forEach(entry -> sb.append(entry.getKey()).append("=").append(entry.getValue()).append("\n"));
sb.deleteCharAt(sb.length() - 1);
return sb.toString();
}
}
Тут нам так же понадобится токен бота, чтобы мы могли правильно проверить данные, пришедшие от Telegram
Spring Security + Хранилище
У Spring Security есть интерфейс для кастомных реализаций пользователей - UserDetails.java
. Определим собственный:
TelegramUser.java
@Getter
@Setter
@Entity
@Table(name = "users")
public class TelegramUser implements UserDetails {
public static final List<SimpleGrantedAuthority> DEFAULT_AUTHORITIES =
List.of(new SimpleGrantedAuthority("USER"));
public static final String DEFAULT_PASSWORD = "No password";
@Id
private String username;
private String telegramId;
private String firstName;
private String lastName;
private String photoUrl;
public TelegramUser(
String telegramId,
String username,
String firstName,
String lastName,
String photoUrl
) {
this.telegramId = telegramId;
this.username = username;
this.firstName = firstName;
this.lastName = lastName;
this.photoUrl = photoUrl;
}
public TelegramUser() {
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return DEFAULT_AUTHORITIES;
}
@Override
public String getPassword() {
return DEFAULT_PASSWORD;
}
}
username может меняться, по этому лучше в будущем определить свой id, мы же для простоты оставим username
Так же нам нужно создать Repository для того, чтобы была возможность взаимодействовать с БД:
TelegramUserRepository.java
package ru.alekseiiagn.telegramauth.auth.dao;
import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.stereotype.Repository;
import java.util.Optional;
@Repository
public interface TelegramUserRepository extends JpaRepository<TelegramUser, String> { }
У Spring Security есть интерфейс UserDetailsManager.java
для работы с UserDetails.java
, но так как у нас своя реализация пользователя, то придется написать и свой Manager:
TelegramUserDetailsManager.java
@RequiredArgsConstructor
public class TelegramUserDetailsManager implements UserDetailsManager {
private final TelegramUserRepository telegramUserRepository;
@Override
public UserDetails loadUserByUsername(String id) throws UsernameNotFoundException {
return telegramUserRepository.findById(id)
.orElseThrow(() -> new UsernameNotFoundException("User not found"));
}
/**
* On a repeat call, the user's data will be updated
*/
@Override
public void createUser(UserDetails user) {
telegramUserRepository.save((TelegramUser) user);
}
@Override
public void deleteUser(String id) {
telegramUserRepository.deleteById(id);
}
@Override
public boolean userExists(String id) {
return telegramUserRepository.findById(id).isPresent();
}
@Override
public void updateUser(UserDetails user) {
/* Not implemented */
}
@Override
public void changePassword(String oldPassword, String newPassword) {
/* Not implemented */
}
}
Отлично, теперь у нас есть свой класс пользователя, с которым мы умеем делать CRUD операции
Переопределение Spring Security
Рассмотрим коротко, как работает Spring Security:
Запрос формы из
GET /login
(определен Spring Security)Запрос отправляется в
POST /login
(определен Spring Security)Внутри него вызывается фильтр
AbstractAuthenticationProcessingFilter.java
, который создаетAuthentication.java
Он отправляется в
AuthenticationManager.java
, который вызываетProviderManager.java
В
ProviderManager.java
есть своиAuthenticationProvider.java
, которые и проверяют все, что нам нужноПосле чего по цепочке поднимаемся вверх и
AbstractAuthenticationProcessingFilter.java
помещает в Spring Context успешную аутентификацию и выдает соответствующую Cookie
К сожалению, нам придется затронуть почти все вышеописанное:
TelegramAuthToken.java (Authentication):
// AbstractAuthenticationToken implements Authentication
@Getter
public class TelegramAuthToken extends AbstractAuthenticationToken {
private final Object principal;
private final Object credentials;
public static TelegramAuthToken unauthenticated(Map<String, Object> data) {
return new TelegramAuthToken(
data.get("id"),
data,
false
);
}
public static TelegramAuthToken authenticated(UserDetails userDetails) {
return new TelegramAuthToken(
userDetails,
userDetails,
true
);
}
private TelegramAuthToken(
Object principal,
Object credentials,
boolean authenticated
) {
super(
TelegramUser.DEFAULT_AUTHORITIES
);
this.principal = principal;
this.credentials = credentials;
setAuthenticated(authenticated);
}
@Override
public Object getCredentials() {
return credentials;
}
@Override
public Object getPrincipal() {
return principal;
}
}
Authentication нужен, чтобы нести данные вплоть до самой проверки
TelegramAuthFilter.java
@Slf4j
public class TelegramAuthFilter extends AbstractAuthenticationProcessingFilter {
private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/login",
"POST");
private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();
private final SecurityContextRepository securityContextRepository;
private final AuthenticationManager authenticationManager;
public TelegramAuthFilter(
SecurityContextRepository securityContextRepository,
AuthenticationManager authenticationManager
) {
super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
this.securityContextRepository = securityContextRepository;
this.authenticationManager = authenticationManager;
}
@Override
public Authentication attemptAuthentication(
HttpServletRequest request,
HttpServletResponse response
) throws AuthenticationException {
var token = createTelegramAuthToken(request);
return authenticationManager.authenticate(token);
}
@Override
protected void successfulAuthentication(
HttpServletRequest request,
HttpServletResponse response,
FilterChain chain,
Authentication authResult
) throws IOException, ServletException {
var context = SecurityContextHolder.getContext();
context.setAuthentication(authResult);
securityContextRepository.saveContext(context, request, response);
super.successfulAuthentication(request, response, chain, authResult);
}
private static TelegramAuthToken createTelegramAuthToken(HttpServletRequest request) {
return TelegramAuthToken.unauthenticated(getBody(request));
}
private static Map<String, Object> getBody(HttpServletRequest request) {
try {
return OBJECT_MAPPER.readValue(request.getInputStream(), new TypeReference<>() {
});
} catch (IOException e) {
log.warn("Can't parse request body with error: {}", e.getMessage());
return Map.of();
}
}
}
Класс создает токен и помещает успешную Authentication в контекст, если аутентификация прошла успешно
TelegramUserDetailsAuthProvider.java
@Slf4j
@RequiredArgsConstructor
public class TelegramUserDetailsAuthProvider implements AuthenticationProvider {
private final TelegramAuthService telegramAuthService;
private final UserDetailsManager userDetailsManager;
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
var data = (Map<String, Object>) authentication.getCredentials();
try {
if (true) { //for localhost usage
// if (telegramAuthService.isDataValid(data)) { //for prod
var telegramUser = new TelegramUser(
(String) authentication.getPrincipal(),
getStringValue(data, "username"),
getStringValue(data, "first_name"),
getStringValue(data, "last_name"),
getStringValue(data, "photo_url")
);
log.info("Successfully checked user {} data", telegramUser.getTelegramId());
upsertUser(telegramUser);
var userDetails = userDetailsManager.loadUserByUsername(telegramUser.getUsername());
return TelegramAuthToken.authenticated(userDetails);
} else {
throw new AuthenticationServiceException("Data is not valid");
}
} catch (UsernameNotFoundException notFound) {
throw notFound;
} catch (Exception repositoryProblem) {
throw new InternalAuthenticationServiceException(
repositoryProblem.getMessage(),
repositoryProblem
);
}
}
// create or update
private void upsertUser(UserDetails user) {
if (userDetailsManager.userExists(user.getUsername())) {
userDetailsManager.updateUser(user);
} else {
userDetailsManager.createUser(user);
}
}
private static String getStringValue(Map<String, Object> requestBody, String key) {
var value = requestBody.get(key);
return (value != null)
? value.toString().trim()
: "";
}
@Override
public boolean supports(Class<?> authentication) {
return true;
}
}
Класс производит аутентификацию через наш TelegramAuthService.java
. При локальном запуске мы не сможем получить нормальные данные из Telegram, по этому нам придется закомментировать проверку telegramAuthService.isDataValid(data)
в TelegramUserDetailsAuthProvider.java
Конфигурация Spring Security
Все, что нам остается - это написать конфигурацию, которая соберет воедино все, что мы написали до этого:
SecurityConfig.java
@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {
private static final String[] NO_AUTH_URLS = {
"/hello-world/public",
"/login",
};
private static final String[] AUTH_URLS = {
"/hello-world/private",
};
@Bean
public SecurityFilterChain securityFilterChain(
HttpSecurity http,
SecurityContextRepository contextRepository,
AuthenticationManager authenticationManager
) throws Exception {
return http
.csrf(AbstractHttpConfigurer::disable)
.authorizeHttpRequests(auth -> auth
.requestMatchers(NO_AUTH_URLS).permitAll()
.requestMatchers(AUTH_URLS).authenticated()
.anyRequest().authenticated()
)
.formLogin(formLogin -> formLogin
.loginPage("/login")
.loginProcessingUrl("/login")
.permitAll()
)
.addFilterAt(
new TelegramAuthFilter(contextRepository, authenticationManager),
UsernamePasswordAuthenticationFilter.class
)
.build();
}
@Bean
public UserDetailsManager userDetailsManager(
TelegramUserRepository telegramUserRepository
) {
return new TelegramUserDetailsManager(telegramUserRepository);
}
@Bean
public SecurityContextRepository securityContextRepository() {
return new HttpSessionSecurityContextRepository();
}
@Bean
public AuthenticationManager authenticationManager(
AuthenticationProvider telegramAuthProvider,
UserDetailsManager userDetailsManager
) {
DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
authenticationProvider.setUserDetailsService(userDetailsManager);
ProviderManager providerManager = new ProviderManager(telegramAuthProvider);
providerManager.setEraseCredentialsAfterAuthentication(false);
return providerManager;
}
@Bean
public AuthenticationProvider telegramAuthProvider(
TelegramAuthService telegramAuthService,
UserDetailsManager userDetailsManager
) {
return new TelegramUserDetailsAuthProvider(
telegramAuthService,
userDetailsManager
);
}
}
В данной конфигурации мы определили доступное всем (GET /hello-world/public
) и защищенное (GET /hello-world/private
) API, которое создадим чуть позже. Так же определили базовый путь для аутентификации /login
, и использовали написанные выше переопределения классов Spring Security. Использование formLogin
создает UsernamePasswordAuthenticationFilter.java
, который применяется по дефолту, по этому мы заменяем его на наш фильтр с помощью addFilterAt
.
Тестирование
Для проверки создадим простенький Controller:
@RestController
@RequestMapping("/hello-world")
@RequiredArgsConstructor
public class HelloWorldController {
@GetMapping("/public")
public String helloWorld() {
return "Hello World";
}
@GetMapping("/private")
public String helloWorldPerson(
@AuthenticationPrincipal TelegramUser user
) {
return "Hello World, " + user.getUsername();
}
}
Шаги тестирования:
-
Вызываем незащищенный метод, получаем ответ
-
Вызываем защищенный метод, нас перекидывает /login если продакшен (если localhost, то нас сразу аутентифицирует)
-
Проходим аутентификацию если продакшен
-
Снова вызываем защищенный метод, получаем ответ:
Как видим, реализация Spring Security работает и выдает username пользователя. Надеюсь я хоть немного помог вам, спасибо, что прочитали, увидимся в новых статях ?