Question

Я пытаюсь реализовать OAuth2 между моим сервером gRPC и клиентскими приложениями, используя перехватчики, с помощью следующих шагов:

клиентское приложение вызывает метод gRPC сервера
серверное приложение отвечает с UNAUTHENTICATED статусом и redirect-url в заголовках
клиент получает redirect-url, использует его для доступа к серверу авторизации и, наконец, получает access_token
клиентское приложение вызывает метод gRPC сервера (на этот раз с access_token)

Однако шаг № 4 кажется невозможным всего за один вызов, поскольку транзакция уже закрыта на шаге № 2. Есть ли способ выполнить эти 4 шага всего за один вызов службы gRPC?

Вот мой класс ClientInterceptor. Я указал 4 шага в коде (см. Комментарии к коду).

public class OAuthClientInterceptor implements ClientInterceptor {

    @Override
    public <ReqT, RespT> ClientCall<ReqT, RespT> interceptCall(MethodDescriptor<ReqT, RespT> method, CallOptions callOptions, Channel next) {

        return new CheckedForwardingClientCall<ReqT, RespT>(next.newCall(method, callOptions)) {

            @Override
            public void checkedStart(Listener<RespT> responseListener, Metadata headers) {

                if (redirectUrl != null) {
                    try {
                        //[Step #3] Obtain the access token
                        accessToken = obtainAccessToken(redirectUrl);
                    } catch (ConnectException e) {
                        throw new StatusRuntimeException(Status.UNAUTHENTICATED.withCause(e));
                    }
                }
                if (accessToken != null) {
                    headers.put(Key.of("Authorization",
                        Metadata.ASCII_STRING_MARSHALLER), "Bearer " + accessToken);

                }
                if (recursiveCall) {
                    //[Step #4] PROBLEM: still results to UNAUTHENTICATED
                    next.newCall(method, callOptions).start(responseListener, headers);
                    recursiveCall = false;
                    return;
                }
                OAuthResponseListener<RespT> oAuthRespListener = new OAuthResponseListener(responseListener);
                oAuthRespListener.setUnauthenticatedListener(trailers->{

                    //[Step #2] Obtain the redirect-url
                    redirectUrl = trailers.get(Key.of("redirect-url", Metadata.ASCII_STRING_MARSHALLER));
                    recursiveCall = true;

                    //[Step #3 and 4] Invoke the retrieval of access token and the 2nd call to gRPC method
                    checkedStart(responseListener, headers);
                });
                //[Step #1] Call the gRPC method
                delegate().start(oAuthRespListener, headers);
            }
        };
    }
}

Julio D · Answer 1 · 04 мая 2018

Я решил эту проблему, но я надеялся найти какой-нибудь встроенный механизм аутентификации или несколько вызовов функции blockingStub для поддержки этого потока oAuth, но не смог их найти.

Так что я прибег к звонку blockingStub.invokeServerMethod() хотя бы дважды;

чтобы узнать, если он еще не аутентифицирован, и иметь возможность получить redirect-url
для возможности вызова invokeServerMethod с access_token, прикрепленным к заголовкам.

Обратите внимание, что у меня есть 30 серверных методов, и я должен выполнить одни и те же шаги для всех этих вызовов методов. Чтобы минимизировать дубликаты кода для каждого метода сервера, я создал класс RetryUtil, который будет вызываться для каждого метода сервера. Вот что я сделал:

public class GrpcClient {

    public SomeResponse callServerMethod() {
        //invoke the method twice
        return RetryUtil.retry(() -> blockingStub.invokeServerMethod(), 2); 
    }
}

public class RetryUtil {

    public static <T> T retry(Supplier<T> supplier, int retryCount) {

        StatusRuntimeException finalEx = null;
        for (int i=0; i<retryCount; i++) {
            try {
                return supplier.get();
            } catch (StatusRuntimeException e) {
                if (e.getStatus() != Status.UNAUTHENTICATED) {
                    throw e;
                }
                finalEx = e;
            }
        }
        throw finalEx;
    }
}

OAuth в gRPC с использованием Java

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

OAuth в gRPC с использованием Java

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы