Защита сайта и API

Создание виртуальной машины

1. В списке сервисов выберите Elastic Cloud Server.

2. Нажмите Create ECS в правом верхнем углу.

3. В поле AZ выберите Random.

4. Выберите конфигурацию с 2 vCPUs и 4 GiB. Например, «s6.large.2» или «s7n.large.2».

5. В поле Image выберите Public Image → Ubuntu → Ubuntu 20.04 server.

6. Нажмите Next: Configure Network.

7. В поле Network выберите виртуальную сеть и подсеть, в которой будет находиться виртуальная машина.

8. В поле Security Group нажмите Create Security Group.

9. На новой вкладке нажмите Create Security Group.

10. В поле Name введите keycloak.

11. В поле Template выберите Custom — шаблон без дополнительных настроек.

12. Нажмите OK.

13. Нажмите Manage Rule.

14. Перейдите во вкладку Inbound Rule.

15. Нажмите Add Rule.

16. В поле Priority введите 1.

17. В поле Protocol & Port введите 8443. По этому порту будет открыт доступ к серверу из интернета.

18. Нажмите OK.

19. Вернитесь на предыдущую вкладку, в которой создавали виртуальную машину.

20. Обновите список групп безопасности и выберите keycloak.

21. В поле EIP выберите Auto assign.

22. Нажмите Next: Configure Advanced Settings.

23. В поле ECS Name укажите название виртуальной машины.

24. Введите и повторите пароль для подключения к серверу.

25. Нажмите Next: Confirm.

26. Проверьте конфигурацию виртуальной машины.

27. Нажмите Apply Now.

Установка Keycloak

1. В списке сервисов выберите Elastic Cloud Server.

2. Напротив виртуальной машины, которую вы создали ранее, нажмите Remote Login.

3. В консоли введите:

   • root — имя пользователя;

   • пароль, указанный при создании сервера.

4. Скачайте Docker:

   curl -fsSL https://get.docker.com -o get-docker.sh
   
   

5. Установите Docker:

   sh get-docker.sh
   
   

6. Сгенерируйте самоподписанный сертификат:

   openssl req -newkey rsa:2048 -nodes -keyout server.key.pem -x509 -days 3650 -out server.crt.pem
   
   

7. Смените права доступа к файлу server.key.pem:

   chmod 755 server.key.pem
   
   

8. Запустите контейнер с Keycloak:

   docker run -d --name keycloak -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin -e KC_HTTPS_CERTIFICATE_FILE=/opt/keycloak/conf/server.crt.pem -e KC_HTTPS_CERTIFICATE_KEY_FILE=/opt/keycloak/conf/server.key.pem -v $PWD/server.crt.pem:/opt/keycloak/conf/server.crt.pem -v $PWD/server.key.pem:/opt/keycloak/conf/server.key.pem -p 8443:8443 quay.io/keycloak/keycloak:19.0.1 start-dev
   
   

Настройка Keycloak

1. В списке сервисов выберите Elastic Cloud Server.

2. Скопируйте EIP — публичный IP-адрес виртуальной машины, на которую вы установили Keycloak.

3. Чтобы попасть в консоль управления Keycloak, перейдите по адресу:

   https://ip-адрес-сервера:8443/admin
   
   

   Например, если IP-адрес сервера 203.0.113.1, нужно перейти по:

   https://203.0.113.1:8443/admin
   
   

4. Так как на сервере установлен самоподписанный SSL-сертификат, при переходе возникнет уведомление «Подключение не защищено». Чтобы попасть в Keycloak, нажмите Дополнительные → Перейти на сайт.

5. Войдите в Keycloak:

   • Username or email — admin;

   • Password — admin.

6. Перейдите в раздел Clients в левом меню.

7. Нажмите Create Client.

8. В поле Client Type выберите OpenID Connect.

9. Придумайте и введите в поле Client ID идентификатор для сайта, который находится в OBS.

10. Нажмите Next.

11. Активируйте параметр Client authentication.

12. Активируйте опцию Implicit flow.

13. Нажмите Save.

14. Введите адрес сайта, который загружен в OBS, в следующие поля:

    • Root URL

    • Home URL

    • Valid redirect URIs

    Чтобы узнать адрес сайта, откройте страницу сервиса OBS и нажмите на название бакета, в котором находится сайт. Затем перейдите в раздел Basic Configurations → Static Website Hosting.

15. Нажмите Save.

Публикация сайта

1. Скачайте и распакуйте архив с файлами сайта.

2. Откройте файл settings.json.

3. Укажите настройки в конфигурационном файле:

   • api_url — адрес API. Узнать его можно в разделе Узнать API URL.

   • oauth_endpoint — адрес сервера Keycloak. В URL замените example на IP-адрес вашего сервера Keycloak. Это адрес виртуальной машины, которую вы создали в разделе Настройка Keycloak.

   • client_id — Client ID в Keycloak. Он указывался в разделе Настройка Keycloak. Узнать Client ID можно на странице Keycloak по адресу https://ip-адрес-сервера:8443/admin в разделе Clients.

   • response_type — без изменений.

   • scope — без изменений.

   • nonce — без изменений.

   • redirect_url — адрес вашего сайта в Object Storage Service. Узнать URL можно в разделе Basic Configurations → Static Website Hosting.

4. Сохраните изменения в файле.

5. Откройте ранее созданный бакет и перейдите в раздел Objects в правом меню.

6. Выделите и удалите все ранее загруженные файлы в бакете.

7. Нажмите Upload Object.

8. В поле Object Permission выберите Public Read.

9. Перетащите содержимое каталога react-js-oauth-spa в форму загрузки OBS.

10. Нажмите Upload.

    Примечание

    Если у вас возникли проблемы во время загрузки файлов сайта, воспользуйтесь OBS Browser+.

11. Перейдите в раздел Basic Configurations → Static Website Hosting.

12. Перейдите по адресу, который указан в поле Hosted Website URL.

13. Откроется страница аутентификации Keycloak. Введите:

    • логин — admin;

    • пароль — admin.

14. Нажмите Sign In. После успешной аутентификации вы будете перенаправлены обратно на сайт, а в правом верхнем углу появится название аккаунта.

15. Проверьте добавление, отображение и удаление записей на сайте.

Использование готовой функции

1. Скачайте архив с файлами функции.

   Внимание

   По умолчанию Node.js не обрабатывает самоподписанный сертификат, который используется в функции аутентификации. Чтобы аутентификация работала несмотря на самоподписанный сертификат, в код добавлена строка: process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0;. Это небезопасно, но допустимо в рамках практической работы.

2. В списке сервисов выберите FunctionGraph.

3. Нажмите Create Function в правом верхнем углу.

4. В поле Function name укажите название функции, например «API-AUTH».

5. В списке Runtime выберите Node.js 12.13.

6. В поле Handler нужно указать название файла и название функции. Если использовали код из примера, оставьте значение по умолчанию.

7. В поле Code Entry Mode выберите Upload ZIP и загрузите архив с функцией.

8. Нажмите Create Function.

1. В разделе Functions сервиса FunctionGraph нажмите на название загруженной ранее функции.

2. Перейдите во вкладку Configuration.

3. В разделе Environment Variables нажмите Add Now и добавьте два параметра:

   Идентификатор клиента:

   • Key — audience;

   • Value — account.

   Адрес провайдера, выписавшего токен:

   • Key — issuer;

   • Value — адрес сервера Keycloak https://ip-адрес-сервера:8443/realms/master.

4. Нажмите Save напротив каждого параметра.

5. В правом верхнем углу нажмите Save.

Ручное создание и загрузка функции авторизации

1. Создайте каталог для хранения кода функции:

   mkdir catalog-name
   
   

2. Перейдите в созданный каталог:

   cd catalog-name
   
   

3. Инициализируйте проект:

   npm init -y
   
   

4. Установите зависимости:

   npm install jsonwebtoken
   
   

5. Создайте файл index.js:

   touch index.js
   
   

6. Добавьте в файл index.js код:

   exports.handler = async (event, context) => {
      const jwt = require('jsonwebtoken');
      const request = require('request');
      const util = require('util');
      const requestWrapper = util.promisify(request);
   
      const audience = process.env.audience;
      const issuer = process.env.issuer;
   
      process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0;
   
      let body = {
         status: "deny"
      };
   
      try {
         const oauthConfig = await requestWrapper(`${issuer}/.well-known/openid-configuration`);
         const keyUrl = JSON.parse(oauthConfig.body).jwks_uri;
         const keys = await requestWrapper(keyUrl);
         const key = JSON.parse(keys.body).keys[0].x5c[0];
         const signingCertificate = `-----BEGIN CERTIFICATE-----\n${key}\n-----END CERTIFICATE-----`;
   
         //verify token
         const token = event.headers["x-access-token"];
         const jwttoken = jwt.verify(token, signingCertificate, {audience: audience, issuer: issuer});
         body.status = "allow";
      } catch (e) {
         console.log(e);
      }
   
      const output = {
         "statusCode": 200,
         "body": JSON.stringify(body)
      }
   
      return output;
   }
   
   

   Внимание

   По умолчанию Node.js не обрабатывает самоподписанный сертификат, который используется в функции аутентификации. Чтобы аутентификация работала несмотря на самоподписанный сертификат, в код добавлена строка: process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0;. Это небезопасно, но допустимо в рамках практической работы.

7. Создайте ZIP-архив с содержимым каталога catalog-name. Архив должен содержать файлы index.js, package.jsos, package-lock.json и каталог node_modules.

1. В списке сервисов выберите FunctionGraph.

2. Нажмите Create Function в правом верхнем углу.

3. В поле Function name укажите название функции, например «API-AUTH».

4. В списке Runtime выберите Node.js 12.13.

5. В поле Handler нужно указать название файла и название функции. Если использовали код из примера, оставьте значение по умолчанию.

6. В поле Code Entry Mode выберите Upload ZIP и загрузите архив с функцией.

7. Нажмите Create Function.

1. В разделе Functions сервиса FunctionGraph нажмите на название загруженной ранее функции.

2. Перейдите во вкладку Configuration.

3. В разделе Environment Variables нажмите Add Now и добавьте два параметра:

   Идентификатор клиента:

   • Key — audience;

   • Value — account.

   Адрес провайдера, выписавшего токен:

   • Key — issuer;

   • Value — адрес сервера Keycloak https://ip-адрес-сервера:8443/realms/master.

4. Нажмите Save напротив каждого параметра.

5. В правом верхнем углу нажмите Save.

Настройка API Gateway

1. В списке сервисов выберите API Gateway.

2. Перейдите в раздел API Publishing → Custom Authorizers.

3. Нажмите Create Custom Authorizer в правом верхнем углу.

4. В поле Name укажите название.

5. В поле Type выберите Frontend.

6. В поле Function URN нажмите Select и выберите ранее созданную функцию авторизации.

7. Нажмите OK.

1. В списке сервисов выберите API Gateway.

2. Перейдите в раздел API Publishing → APIs.

3. Напротив нужного метода нажмите Edit.

4. В поле Security Authentication выберите Custom.

5. В поле Custom Authorizer выберите созданный ранее Custom Authorizer.

6. Нажмите Next.

7. Нажмите Add Input Parameter.

8. В поле Name введите X-Access-Token.

9. В поле Location выберите Header.

10. В поле Type выберите String.

11. Нажмите OK.

12. Нажмите Finish.

13. Нажмите Publish API.

14. Нажмите Publish.