Auth0 vous permet d’ajouter rapidement l’authentification et de pouvoir accéder aux informations relatives au profil utilisateur dans votre application. Ce guide explique comment intégrer Auth0 dans n’importe quelle application Java Servlet, nouvelle ou existante.Si vous utilisez Maven, ajoutez-les à votre fichier
1
Configuration d’Auth0
Pour utiliser les services Auth0, vous devez avoir une application installée dans Auth0 Dashboard. L’application Auth0 est l’endroit où vous allez configurer le fonctionnement de l’authentification pour le projet que vous développez.
Configurer une application
Utilisez le sélecteur interactif pour créer une nouvelle application Auth0 ou sélectionner une application existante qui représente le projet avec lequel vous souhaitez effectuer l’intégration. Dans Auth0, chaque application se voit attribuer un identifiant client unique alphanumérique que votre code d’application utilisera pour appeler les API Auth0 via la trousse SDK.Tous les paramètres que vous configurez à l’aide de ce guide de démarrage rapide seront automatiquement mis à jour pour votre application dans le Tableau de bord, qui est l’endroit où vous pourrez gérer vos applications à l’avenir.Si vous préférez explorer une configuration complète, consultez plutôt un exemple d’application.Configuration des URL de rappel
Une URL de rappel est une URL intégrée dans votre application vers laquelle vous souhaitez qu’Auth0 redirige les utilisateurs après leur authentification. Si elle n’est pas définie, les utilisateurs ne seront pas redirigés vers votre application après s’être connectés.Si vous suivez notre exemple de projet, définissez cette URL comme suit :
http://localhost:3000``/callback.Configuration des URL de déconnexion
Une URL de déconnexion est une URL intégrée dans votre application vers laquelle vous souhaitez qu’Auth0 redirige les utilisateurs après leur déconnexion. Si elle n’est pas définie, les utilisateurs ne pourront pas se déconnecter de votre application et recevront un message d’erreur.Si vous suivez notre exemple de projet, définissez cette URL comme suit :
http://localhost:3000/logout.2
Intégrer Auth0 dans votre application
Régler les dépendances.
Pour intégrer votre application Java avec Auth0, ajoutez les dépendances suivantes :- javax.servlet-api : est la bibliothèque qui vous permet de créer des servlets Java. Vous devez ensuite ajouter une dépendance de serveur comme Tomcat ou Gretty, selon votre choix. Consultez notre code d’exemple pour plus d’informations.
- auth0-java-mvc-commons : est la bibliothèque Java qui vous permet d’utiliser Auth0 avec Java pour des applications Web MVC côté serveur. Elle génère l’URL d’autorisation que vous devez appeler pour authentifier et valide le résultat reçu au retour afin d’obtenir finalement les jetons Auth0 qui identifient l’utilisateur.
build.gradle :pom.xml :3
Configurer votre application Java
Votre application Java a besoin de certaines informations pour s’authentifier auprès de votre compte Auth0. Les exemples lisent ces informations à partir du fichier descripteur de déploiement Le projet contient un seul JSP :
src/main/webapp/WEB-INF/web.xml, mais vous pouvez les stocker ailleurs.Ces informations seront utilisées pour configurer la bibliothèque auth0-java-mvc-commons afin de permettre aux utilisateurs de se connecter à votre application. Pour en savoir plus sur la bibliothèque, y compris ses différentes options de configuration, consultez la documentation de la bibliothèque.Vérifier les attributs remplis
Si vous avez téléchargé cet exemple en utilisant le bouton Download Sample (Télécharger l’exemple), les attributsdomain, clientId et clientSecret seront remplis pour vous. Vous devez vérifier que les valeurs sont correctes, surtout si vous avez plusieurs applications Auth0 dans votre compte.Structure du projet
L’exemple de projet, qui peut être téléchargé en utilisant le bouton Download Sample (Télécharger l’exemple) a la structure suivante :home.jsp qui affichera les jetons associés à l’utilisateur après une connexion réussie et proposera l’option de déconnexion.Le projet contient un WebFilter : le Auth0Filter.java qui vérifiera l’existence de jetons avant de donner à l’utilisateur accès à notre chemin protégé /portal/*. Si les jetons n’existent pas, la requête sera redirigée vers LoginServlet.Le projet contient également quatre servlets :LoginServlet.java: Appelé lorsque l’utilisateur essaie de se connecter. Le servlet utilise les paramètresclient_idetdomainpour créer une URL d’autorisation valide et y redirige l’utilisateur.CallbackServlet.java: Le servlet enregistre les requêtes adressées à notre URL de rappel et traite les données pour obtenir les identifiants. Après une connexion réussie, les identifiants sont ensuite enregistrés dans la HttpSession de la requête.HomeServlet.java: Le servlet lit les jetons précédemment enregistrés et les affiche sur la ressourcehome.jsp.LogoutServlet.java: Appelé lorsque l’utilisateur clique sur le lien de déconnexion. Le servlet invalide la session de l’utilisateur et redirige l’utilisateur vers la page de connexion, gérée parLoginServlet.AuthenticationControllerProvider.java: Responsable de la création et de la gestion d’une seule instance deAuthenticationController
4
Créer l’AuthenticationController
Pour permettre aux utilisateurs de s’authentifier, créez une instance de l’
AuthenticationController fournie par la trousse SDK auth0-java-mvc-commons en utilisant le domain, clientId, et clientSecret. L’exemple présente comment configurer le composant pour l’utiliser avec des jetons signés à l’aide de l’algorithme de signature asymétrique RS256, en précisant un JwkProvider pour récupérer la clé publique utilisée pour vérifier la signature du jeton. Consultez le référentiel jwks-rsa-java pour en savoir plus sur les options de configuration supplémentaires. Si vous utilisez HS256, il n’est pas nécessaire de configurer JwkProvider.AuthenticationController ne stocke aucun contexte et est destiné à être réutilisé. Une création inutile peut entraîner la génération de ressources supplémentaires, ce qui peut avoir une incidence sur les performances.5
Redirection de connexion
Pour permettre aux utilisateurs de se connecter, votre application les redirigera vers la page de Connexion universelle. En utilisant l’instance
AuthenticationController , vous pouvez générer l’URL de redirection en appelant la méthode buildAuthorizeUrl(HttpServletRequest request, HttpServletResponse response, String redirectUrl). L’URL de redirection doit être celle qui a été ajoutée aux URL de rappel autorisées de votre application Auth0.6
Gérer les jetons
Après que l’utilisateur s’est connecté, le résultat sera reçu dans notre
CallbackServlet via une requête HTTP GET ou POST. Comme nous utilisons le flux de code d’autorisation (par défaut), une requête GET sera envoyée. Si vous avez configuré la bibliothèque pour le flux implicite, une requête POST sera plutôt envoyée.La requête contient le contexte d’appel que la bibliothèque a précédemment défini en générant l’URL d’autorisation avec AuthenticationController. Lorsqu’il est passé au contrôleur, vous recevez soit une instance Tokens valide soit une Exception indiquant ce qui a mal tourné. En cas d’appel réussi, vous devez enregistrer les identifiants afin de pouvoir y accéder ultérieurement. Vous pouvez utiliser HttpSession de la requête en utilisant la classe SessionsUtils comprise dans la bibliothèque.Il est recommandé d’enregistrer le moment où nous avons demandé les jetons ainsi que la valeur
expiresIn reçue, afin que la prochaine fois que nous utiliserons le jeton, nous puissions vérifier s’il a déjà expiré ou s’il est encore valide. Pour les besoins de cet exemple, nous ignorerons cette validation.7
Afficher la page d’accueil
Maintenant que l’utilisateur est authentifié (les jetons existent),
Auth0Filter leur permettra d’accéder à nos ressources protégées. Dans le HomeServlet nous obtenons les jetons de la session de la requête et les définissons comme l’attribut userId afin qu’ils puissent être utilisés dans le code JSP.8
Gérer la déconnexion
Pour gérer adéquatement la déconnexion, nous devons effacer la session et déconnecter l’utilisateur d’Auth0. Cette opération est gérée dans
LogoutServlet de notre exemple d’application.Tout d’abord, nous effaçons la session en appelant request.getSession().invalidate(). Nous générons ensuite l’URL de déconnexion, en veillant à inclure le paramètre de requête returnTo qui est l’endroit où l’utilisateur sera redirigé après la déconnexion. Enfin, nous redirigeons la réponse vers notre URL de déconnexion.9
Exécuter l’exemple
Pour exécuter l’exemple à partir d’un terminal, placez-vous dans le dossier racine du projet et exécutez la ligne suivante :
Vous serez en mesure de voir le contenu de la page d’accueil après une authentification réussie.
Déconnectez-vous en cliquant sur le bouton logout (déconnexion) en haut à droite de la page d’accueil.
./gradlew clean appAprès quelques secondes, l’application sera accessible sur http://localhost:3000/. Essayez d’accéder à la ressource protégée http://localhost:3000/portal/home et notez comment vous êtes redirigé par Auth0Filter vers la page de connexion Auth0. Le gadget logiciel affiche toutes les connexions via réseaux sociaux et de bases de données que vous avez définies pour cette application dans le tableau de bord.Étapes suivantes
Beau travail! Si vous en êtes arrivé là, vous devriez avoir la connexion, la déconnexion et les informations de profil utilisateur actives dans votre application.Cela conclut notre tutoriel de démarrage rapide, mais il y a tellement plus à explorer. Pour en savoir plus sur ce que vous pouvez faire avec Auth0, consultez :- Auth0 Dashboard : apprenez à configurer et gérer votre locataire et vos applications Auth0
- Trousse SDK auth0-java-mvc-common : explorez en détail la trousse SDK utilisée dans ce tutoriel
- Auth0 Marketplace : découvrez des intégrations que vous pouvez activer pour étendre les fonctionnalités d’Auth0