個人的なプロジェクトとして、ログイン機能を実装したWebアプリを作成したいと考えています。
独自のユーザ認証にするという方法もありますが、今回はGoogleのOAuth2を使う方法を検討しました。
HaskellのWebフレームワークであるSpockを使用しました。
また、OAuth2はwreqを使って、自分でHTTPリクエストを発行することで実装しました。
また、Webアプリ自体はポート8888でSSLを使用せずに待ち受けるようになっています。
SSL化をするためにnginxをインストールして、/etc/nginx/conf.d/test.confとして以下を作成します。
server {
listen 443;
server_name test.com;
ssl on;
ssl_certificate /etc/letsencrypt/live/test.com/fullchain.pem;
ssl_sertificate_key /etc/letsencrypt/live/test.com/privkey.pem;
ssl_session_timeout 15m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
location / {
proxy_pass http://localhost:8888/;
proxy_redirect default;
}
}
これでnginxをSSL対応リバースプロキシとして動作させ、同一マシン上で動くHaskell WebアプリにHTTPリクエストを転送することができます。
プログラムはモジュールに分割せず、全部を1ファイルにまとめて書いてしまいましたが、次のようになりました。
{-# LANGUAGE OverloadedStrings #-}
{-# LANGUAGE ScopedTypeVariables,FlexibleContexts #-}
module Main where
import Web.Spock (SpockM, get, root, param, getState, runQuery, text, redirect, (<//>), spock, runSpock, var)
import Web.Spock.Config
import Web.Spock.SessionActions
import Database.PostgreSQL.Simple
import Data.Pool
import Database.PostgreSQL.Simple.FromRow
import qualified Network.Wreq as W
import Network.Wreq (FormParam(..))
import Control.Lens
import qualified Control.Exception as E
import qualified Network.HTTP.Client as H
import Data.Aeson.Lens (_String, _Integer, key)
import Data.Aeson.Types (Value)
import Data.Map.Strict (Map, (!?), insert, empty, (!))
import Control.Monad.Trans
import Data.IORef
import Data.Monoid
import qualified Data.ByteString.Char8 as B
import Data.ByteString.Lazy (ByteString)
import qualified Data.Text as T
import qualified System.Random as R
type Sess = Map T.Text T.Text
data AppState = DummyAppState (IORef Int)
type Email = String
type ErrorMsg = String
type Resp = W.Response (Map String Value)
redirect_uri = "https://(GoogleからリダイレクトされるURL)/google_oauth_callback" :: T.Text
client_id = "(Googleから発行されるClient ID)" :: T.Text
client_secret = "(Googleから発行されるClient Secret)" :: T.Text
auth_uri = "https://accounts.google.com/o/oauth2/v2/auth" :: T.Text
exchange_uri = "https://www.googleapis.com/oauth2/v4/token" :: String
api_uri = "https://www.googleapis.com/oauth2/v2/userinfo" :: String
scope = "https://www.googleapis.com/auth/userinfo.email email" :: T.Text
db_name = "(データベース名)"
db_user = "(データベースユーザ名)"
db_pwd = "(データベースパスワード)"
main :: IO ()
main =
do ref <- newIORef 0
pool <- createPool (connect defaultConnectInfo
{ connectDatabase = db_name,
connectUser = db_user,
connectPassword = db_pwd })
close 1 10 10
spockCfg <- defaultSpockCfg empty (PCPool pool) (DummyAppState ref)
runSpock 8888 (spock spockCfg app)
-- Here "id_token" contains JWT, which includes email address (See https://developers.google.com/identity/protocols/OpenIDConnect)
debugExchangeResult :: W.Response ByteString -> IO ()
debugExchangeResult r = do
res <- W.asJSON r :: IO Resp
putStrLn "======================"
putStrLn $ show $ r ^. W.responseBody
putStrLn $ dbgMsg res "access_token"
putStrLn $ dbgMsg res "token_type"
putStrLn $ dbgMsg res "expires_in"
putStrLn $ dbgMsg res "refresh_token"
putStrLn "======================"
where dbgMsg res str = str ++ " : " ++ show ((res ^. W.responseBody) !? str)
getEmail :: String -> IO (Either ErrorMsg Email)
getEmail auth_code = do
putStrLn ("authorization code : " ++ auth_code)
r <- W.post exchange_uri
["code" := auth_code,
"client_id" := client_id,
"client_secret" := client_secret,
"redirect_uri" := redirect_uri,
"grant_type" := ("authorization_code" :: T.Text)]
let status_code = r ^. W.responseStatus . W.statusCode
if status_code == 200 then
do
let access_token = show $ r ^. W.responseBody . key "access_token" . _String
let opts = W.defaults & W.header "Authorization" .~ [B.pack $ "Bearer " ++ access_token]
debugExchangeResult r
r2 <- W.getWith opts api_uri
putStrLn $ show (r2 ^? W.responseBody)
let email = show (r2 ^. W.responseBody . key "email" . _String)
case email of
"" -> return $ Left ""
_ -> return $ Right email
else
return $ Left "failed to exchange token"
handle_callback = do
(Just code :: Maybe String) <- param "code"
(Just state :: Maybe String) <- param "state"
m <- readSession
if (m ! "state" /= T.pack state) then
text "state invalid"
else
(liftIO $ getEmail code `E.catch` handler) >>= handle_result
where handle_result (Left msg) = text ("error " <> T.pack msg)
handle_result (Right mail) = text ("Logged in as: " <> T.pack mail)
handler e@(H.HttpExceptionRequest req cont) =
do liftIO $ putStrLn $ show cont
return $ Left $ show cont
handle_hello name = do
(DummyAppState ref) <- getState
[Only xs] <- runQuery $ \conn -> query_ conn "select 1+1;" :: IO [Only Int]
liftIO $ putStrLn $ show xs
num <- liftIO $ atomicModifyIORef' ref $ \i -> (i+1, i+1)
m <- readSession
writeSession $ insert "name" name m
text ("Hello " <> name <> ", number " <> T.pack (show num))
handle_login = do
g <- liftIO $ R.newStdGen
let state = take 30 (R.randomRs ('a', 'z') g)
liftIO $ putStrLn state
sessionRegenerateId
m <- readSession
writeSession $ insert "state" (T.pack state) m
redirect (T.concat [auth_uri, "?client_id=", client_id,
"&redirect_uri=", redirect_uri,
"&state=", T.pack state,
"&scope=", scope, "&access_type=online&response_type=code"])
app :: SpockM Connection Sess AppState ()
app =
do get root $
do m <- readSession
let name = m !? "name"
case name of
Nothing -> text "Hello World"
Just n -> text ("Hello World, " <> n)
get ("hello" <//> var) handle_hello
get "login" handle_login
get "google_oauth_callback" handle_callback
上記コードでは、OAuth2を用いてログインしたユーザのメールアドレスを取得しています。アクセストークン取得時にJWT(JSON Web Token)がid_tokenに発行されるので、それをデコードして、中のデータから取り出しても良いはずですが、もう一度APIを呼び出すことで、その結果からアドレスを取り出しています。
