Начал писать свое приложение, и решил использовать авторизацию через Telegram, но не нашел ни одной нормальной статьи кроме Аутентификация через телеграм в Spring Boot приложении (спасибо автору, он сделал половину работы). Вторую половину пришлось писать самому. По этому покопавшись пару дней хочу представить вам "простенькое" базовое решение, от которого вы сможете оттолкнуться

Чтобы протестить авторизацию, вам придется задеплоить ваше приложение по определенному адресу в интернете (но мы сможем протестить и локально)

Начало

Если вы тут, то скорее всего у вас уже есть какой то приложение, и вы хотите прикрепить к нему аутентификацию, по этому для статьи вам нужно:

  1. Spring Boot приложение

  2. Зависимости Spring Security

  3. Хранилище (можно in-memory, но в моем случае БД)

  4. Изучить документацию https://core.telegram.org/widgets/login (3 мин)

  5. Изучить статью https://habr.com/ru/articles/848502/ (5 мин) и создать бота

Telegram Auth

Создаем html форму из основной документации и помещаем в ресурсы приложения по пути /resources/static/telegramAuth.html

Сама по себе форма сможет работать, только если у вашего приложения будет адрес в интернете, но, мы можем чуть изменить ее, чтобы появилась возможность тестировать локально:

telegramAuth.html

<!--<script async src="https://telegram.org/js/telegram-widget.js?22" data-telegram-login="DynamicQrBot" data-size="large"-->
<!--        data-onauth="onTelegramAuth(user)" data-request-access="write"></script>-->
<script type="text/javascript">

    // localhost
    onTelegramAuth(null)
    function onTelegramAuth(user) {
        fetch(
            `http://localhost:8080/login`,
            {
                method: 'POST',
                headers: {
                    'Content-Type': 'application/json'
                },
                body: JSON.stringify({
                    "id": "1",
                    "first_name": "Vasya",
                    "last_name": "Pupkin",
                    "photo_url": "https://image",
                    "auth_date": null,
                    "hash": "some-hash",
                    "username": "alekseiiagn",
                })
            }
        )
    }

    // prod
    // function onTelegramAuth(user) {
    //     fetch(
    //         `https://${your-domain}/login`,
    //         {
    //             method: 'POST',
    //             headers: {
    //                 'Content-Type': 'application/json'
    //             },
    //             body: JSON.stringify(user)
    //         }
    //     )
    // }
</script>

POST ${your-domen}/login - базовый url, в который Spring Security отправляет данные для проверки. Для продакшена заменяем код test на prod и раскомментируем 1-2 строчку

Теперь нам нужен контроллер, который будет переопределять базовый Spring Security GET /login чтобы отдавать нашу форму:

TmpAuthController.java (в будущем форму лучше перенести на фронт)

@RestController
@RequestMapping("/login")
@RequiredArgsConstructor
public class TmpAuthController {

    @GetMapping
    public ResponseEntity<Resource> getAuthScript() {
        var resource = new ClassPathResource("/static/telegramAuth.html");
        var headers = new HttpHeaders();
        headers.add(HttpHeaders.CONTENT_DISPOSITION, "inline; filename=telegramAuth.html");
        return ResponseEntity.ok()
                .headers(headers)
                .body(resource);
    }
}

Так же в документации Telegram описано, как нужно проверять данные, которыe мы получим и отправим в POST /login , по этому создаем класс для проверки:

TelegramAuthService.java

@Slf4j
@Service
public class TelegramAuthService {

    @Value("${TG_BOT_TOKEN}")
    private String tgBotToken;

    public boolean isDataValid(Map<String, Object> telegramData) {
        var hash = getHash(telegramData);
        var dataCheckString = createDataCheckString(telegramData);
        try {
            var digest = MessageDigest.getInstance("SHA-256");
            var key = digest.digest(tgBotToken.getBytes(StandardCharsets.UTF_8));

            var hmac = Mac.getInstance("HmacSHA256");
            var secretKeySpec = new SecretKeySpec(key, "HmacSHA256");
            hmac.init(secretKeySpec);

            var hmacBytes = hmac.doFinal(dataCheckString.getBytes(StandardCharsets.UTF_8));
            var validateHash = new StringBuilder();
            for (byte b : hmacBytes) {
                validateHash.append(String.format("%02x", b));
            }

            return hash.contentEquals(validateHash);
        } catch (NoSuchAlgorithmException | InvalidKeyException e) {
            log.error("Error while authenticate: {}", e.getMessage());
            return false;
        }
    }

    private String getHash(Map<String, Object> telegramData) {
        var hash = (String) telegramData.get("hash");
        telegramData.remove("hash");
        return hash;
    }

    /**
     * Create a verification line - sort all the parameters and combine them into a line like:
     * auth_date=<auth_date>\nfirst_name=<first_name>\nid=<id>\nusername=<username>
     */
    private String createDataCheckString(Map<String, Object> telegramData) {
        var sb = new StringBuilder();
        telegramData.entrySet().stream()
                .sorted(Map.Entry.comparingByKey())
                .forEach(entry -> sb.append(entry.getKey()).append("=").append(entry.getValue()).append("\n"));
        sb.deleteCharAt(sb.length() - 1);
        return sb.toString();
    }
}

Тут нам так же понадобится токен бота, чтобы мы могли правильно проверить данные, пришедшие от Telegram

Spring Security + Хранилище

У Spring Security есть интерфейс для кастомных реализаций пользователей - UserDetails.java. Определим собственный:

TelegramUser.java

@Getter
@Setter
@Entity
@Table(name = "users")
public class TelegramUser implements UserDetails {

    public static final List<SimpleGrantedAuthority> DEFAULT_AUTHORITIES =
            List.of(new SimpleGrantedAuthority("USER"));
    public static final String DEFAULT_PASSWORD = "No password";

    @Id
    private String username;
    private String telegramId;
    private String firstName;
    private String lastName;
    private String photoUrl;

    public TelegramUser(
            String telegramId,
            String username,
            String firstName,
            String lastName,
            String photoUrl
    ) {
        this.telegramId = telegramId;
        this.username = username;
        this.firstName = firstName;
        this.lastName = lastName;
        this.photoUrl = photoUrl;
    }

    public TelegramUser() {
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return DEFAULT_AUTHORITIES;
    }

    @Override
    public String getPassword() {
        return DEFAULT_PASSWORD;
    }
}

username может меняться, по этому лучше в будущем определить свой id, мы же для простоты оставим username

Так же нам нужно создать Repository для того, чтобы была возможность взаимодействовать с БД:

TelegramUserRepository.java

package ru.alekseiiagn.telegramauth.auth.dao;

import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.stereotype.Repository;

import java.util.Optional;

@Repository
public interface TelegramUserRepository extends JpaRepository<TelegramUser, String> { }

У Spring Security есть интерфейс UserDetailsManager.java для работы с UserDetails.java, но так как у нас своя реализация пользователя, то придется написать и свой Manager:

TelegramUserDetailsManager.java

@RequiredArgsConstructor
public class TelegramUserDetailsManager implements UserDetailsManager {

    private final TelegramUserRepository telegramUserRepository;

    @Override
    public UserDetails loadUserByUsername(String id) throws UsernameNotFoundException {
        return telegramUserRepository.findById(id)
                .orElseThrow(() -> new UsernameNotFoundException("User not found"));
    }

    /**
     * On a repeat call, the user's data will be updated
     */
    @Override
    public void createUser(UserDetails user) {
        telegramUserRepository.save((TelegramUser) user);
    }

    @Override
    public void deleteUser(String id) {
        telegramUserRepository.deleteById(id);
    }

    @Override
    public boolean userExists(String id) {
        return telegramUserRepository.findById(id).isPresent();
    }

    @Override
    public void updateUser(UserDetails user) {
        /* Not implemented */
    }

    @Override
    public void changePassword(String oldPassword, String newPassword) {
        /* Not implemented */
    }
}

Отлично, теперь у нас есть свой класс пользователя, с которым мы умеем делать CRUD операции

Переопределение Spring Security

Рассмотрим коротко, как работает Spring Security:

  1. Запрос формы из GET /login (определен Spring Security)

  2. Запрос отправляется в POST /login (определен Spring Security)

  3. Внутри него вызывается фильтр AbstractAuthenticationProcessingFilter.java, который создает Authentication.java

  4. Он отправляется в AuthenticationManager.java, который вызывает ProviderManager.java

  5. В ProviderManager.java есть свои AuthenticationProvider.java, которые и проверяют все, что нам нужно

  6. После чего по цепочке поднимаемся вверх и AbstractAuthenticationProcessingFilter.java помещает в Spring Context успешную аутентификацию и выдает соответствующую Cookie

Простая схема работы Spring Security
Простая схема работы Spring Security

К сожалению, нам придется затронуть почти все вышеописанное:

TelegramAuthToken.java (Authentication):

// AbstractAuthenticationToken implements Authentication
@Getter
public class TelegramAuthToken extends AbstractAuthenticationToken {

    private final Object principal;
    private final Object credentials;

    public static TelegramAuthToken unauthenticated(Map<String, Object> data) {
        return new TelegramAuthToken(
                data.get("id"),
                data,
                false
        );
    }

    public static TelegramAuthToken authenticated(UserDetails userDetails) {
        return new TelegramAuthToken(
                userDetails,
                userDetails,
                true
        );
    }

    private TelegramAuthToken(
            Object principal,
            Object credentials,
            boolean authenticated
    ) {
        super(
                TelegramUser.DEFAULT_AUTHORITIES
        );
        this.principal = principal;
        this.credentials = credentials;
        setAuthenticated(authenticated);
    }

    @Override
    public Object getCredentials() {
        return credentials;
    }

    @Override
    public Object getPrincipal() {
        return principal;
    }
}

Authentication нужен, чтобы нести данные вплоть до самой проверки

TelegramAuthFilter.java

@Slf4j
public class TelegramAuthFilter extends AbstractAuthenticationProcessingFilter {

    private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/login",
            "POST");
    private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper();

    private final SecurityContextRepository securityContextRepository;
    private final AuthenticationManager authenticationManager;

    public TelegramAuthFilter(
            SecurityContextRepository securityContextRepository,
            AuthenticationManager authenticationManager
    ) {
        super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
        this.securityContextRepository = securityContextRepository;
        this.authenticationManager = authenticationManager;
    }

    @Override
    public Authentication attemptAuthentication(
            HttpServletRequest request,
            HttpServletResponse response
    ) throws AuthenticationException {
        var token = createTelegramAuthToken(request);
        return authenticationManager.authenticate(token);
    }

    @Override
    protected void successfulAuthentication(
            HttpServletRequest request,
            HttpServletResponse response,
            FilterChain chain,
            Authentication authResult
    ) throws IOException, ServletException {
        var context = SecurityContextHolder.getContext();
        context.setAuthentication(authResult);
        securityContextRepository.saveContext(context, request, response);
        super.successfulAuthentication(request, response, chain, authResult);
    }

    private static TelegramAuthToken createTelegramAuthToken(HttpServletRequest request) {
        return TelegramAuthToken.unauthenticated(getBody(request));
    }

    private static Map<String, Object> getBody(HttpServletRequest request) {
        try {
            return OBJECT_MAPPER.readValue(request.getInputStream(), new TypeReference<>() {
            });
        } catch (IOException e) {
            log.warn("Can't parse request body with error: {}", e.getMessage());
            return Map.of();
        }
    }
}

Класс создает токен и помещает успешную Authentication в контекст, если аутентификация прошла успешно

TelegramUserDetailsAuthProvider.java

@Slf4j
@RequiredArgsConstructor
public class TelegramUserDetailsAuthProvider implements AuthenticationProvider {

    private final TelegramAuthService telegramAuthService;
    private final UserDetailsManager userDetailsManager;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        var data = (Map<String, Object>) authentication.getCredentials();
        try {
            if (true) { //for localhost usage
//            if (telegramAuthService.isDataValid(data)) { //for prod
                var telegramUser = new TelegramUser(
                        (String) authentication.getPrincipal(),
                        getStringValue(data, "username"),
                        getStringValue(data, "first_name"),
                        getStringValue(data, "last_name"),
                        getStringValue(data, "photo_url")
                );
                log.info("Successfully checked user {} data", telegramUser.getTelegramId());
                upsertUser(telegramUser);
                var userDetails = userDetailsManager.loadUserByUsername(telegramUser.getUsername());
                return TelegramAuthToken.authenticated(userDetails);
            } else {
                throw new AuthenticationServiceException("Data is not valid");
            }
        } catch (UsernameNotFoundException notFound) {
            throw notFound;
        } catch (Exception repositoryProblem) {
            throw new InternalAuthenticationServiceException(
                    repositoryProblem.getMessage(),
                    repositoryProblem
            );
        }
    }

    // create or update
    private void upsertUser(UserDetails user) {
        if (userDetailsManager.userExists(user.getUsername())) {
            userDetailsManager.updateUser(user);
        } else {
            userDetailsManager.createUser(user);
        }
    }

    private static String getStringValue(Map<String, Object> requestBody, String key) {
        var value = requestBody.get(key);
        return (value != null)
                ? value.toString().trim()
                : "";
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return true;
    }
}

Класс производит аутентификацию через наш TelegramAuthService.java. При локальном запуске мы не сможем получить нормальные данные из Telegram, по этому нам придется закомментировать проверку telegramAuthService.isDataValid(data) в TelegramUserDetailsAuthProvider.java

Конфигурация Spring Security

Все, что нам остается - это написать конфигурацию, которая соберет воедино все, что мы написали до этого:

SecurityConfig.java

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {

    private static final String[] NO_AUTH_URLS = {
            "/hello-world/public",
            "/login",
    };
    private static final String[] AUTH_URLS = {
            "/hello-world/private",
    };


    @Bean
    public SecurityFilterChain securityFilterChain(
            HttpSecurity http,
            SecurityContextRepository contextRepository,
            AuthenticationManager authenticationManager
    ) throws Exception {
        return http
                .csrf(AbstractHttpConfigurer::disable)
                .authorizeHttpRequests(auth -> auth
                        .requestMatchers(NO_AUTH_URLS).permitAll()
                        .requestMatchers(AUTH_URLS).authenticated()
                        .anyRequest().authenticated()
                )
                .formLogin(formLogin -> formLogin
                        .loginPage("/login")
                        .loginProcessingUrl("/login")
                        .permitAll()
                )
                .addFilterAt(
                        new TelegramAuthFilter(contextRepository, authenticationManager),
                        UsernamePasswordAuthenticationFilter.class
                )
                .build();
    }

    @Bean
    public UserDetailsManager userDetailsManager(
            TelegramUserRepository telegramUserRepository
    ) {
        return new TelegramUserDetailsManager(telegramUserRepository);
    }

    @Bean
    public SecurityContextRepository securityContextRepository() {
        return new HttpSessionSecurityContextRepository();
    }

    @Bean
    public AuthenticationManager authenticationManager(
            AuthenticationProvider telegramAuthProvider,
            UserDetailsManager userDetailsManager
    ) {
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setUserDetailsService(userDetailsManager);
        ProviderManager providerManager = new ProviderManager(telegramAuthProvider);
        providerManager.setEraseCredentialsAfterAuthentication(false);
        return providerManager;
    }

    @Bean
    public AuthenticationProvider telegramAuthProvider(
            TelegramAuthService telegramAuthService,
            UserDetailsManager userDetailsManager
    ) {
        return new TelegramUserDetailsAuthProvider(
                telegramAuthService,
                userDetailsManager
        );
    }
}

В данной конфигурации мы определили доступное всем (GET /hello-world/public) и защищенное (GET /hello-world/private) API, которое создадим чуть позже. Так же определили базовый путь для аутентификации /login, и использовали написанные выше переопределения классов Spring Security. Использование formLogin создает UsernamePasswordAuthenticationFilter.java, который применяется по дефолту, по этому мы заменяем его на наш фильтр с помощью addFilterAt.

Тестирование

Для проверки создадим простенький Controller:

@RestController
@RequestMapping("/hello-world")
@RequiredArgsConstructor
public class HelloWorldController {

    @GetMapping("/public")
    public String helloWorld() {
        return "Hello World";
    }

    @GetMapping("/private")
    public String helloWorldPerson(
            @AuthenticationPrincipal TelegramUser user
    ) {
        return "Hello World, " + user.getUsername();
    }
}

Шаги тестирования:

  1. Вызываем незащищенный метод, получаем ответ

    Ответ из незащищенного метода
    Ответ из незащищенного метода
  2. Вызываем защищенный метод, нас перекидывает /login если продакшен (если localhost, то нас сразу аутентифицирует)

    Страница /login
    Страница /login
  3. Проходим аутентификацию если продакшен

    Страница /login после log in
    Страница /login после log in
  4. Снова вызываем защищенный метод, получаем ответ:

    Ответ из защищенного метода после log in
    Ответ из защищенного метода после log in

Как видим, реализация Spring Security работает и выдает username пользователя. Надеюсь я хоть немного помог вам, спасибо, что прочитали, увидимся в новых статях ?

Комментарии (0)