tocdepth

2

Защита сайта и API

Для защиты сайта и API нужно:

• Создать Keycloak-сервер для аутентификации пользователей

• Настроить аутентификацию на сайте

• Настроить аутентификацию в API

Создание Keycloak-сервера для аутентификации пользователей

Чтобы настроить аутентификацию на сайте, нужно создать провайдера, который будет удостоверять пользователей. В качестве примера будет настроен экземпляр Keycloak.

Для этого понадобится виртуальная машина, на которую будет установлен провайдер аутентификации Keycloak.

Создание виртуальной машины

Создайте виртуальную машину с публичным IP-адресом, по которому пользователи смогут перейти и выполнить аутентификацию:

1. В списке сервисов выберите Elastic Cloud Server.

2. Нажмите Create ECS в правом верхнем углу.

3. В поле AZ выберите Random.

4. Выберите конфигурацию с 2 vCPUs и 4 GiB. Например, «s6.large.2» или «s7n.large.2».

5. В поле Image выберите Public Image → Ubuntu → Ubuntu 20.04 server.

6. Нажмите Next: Configure Network.

7. В поле Network выберите виртуальную сеть и подсеть, в которой будет находиться виртуальная машина.

8. В поле Security Group нажмите Create Security Group.

9. На новой вкладке нажмите Create Security Group.

10. В поле Name введите keycloak.

11. В поле Template выберите Custom — шаблон без дополнительных настроек.

12. Нажмите OK.

13. Нажмите Manage Rule.

14. Перейдите во вкладку Inbound Rule.

15. Нажмите Add Rule.

16. В поле Priority введите 1.

17. В поле Protocol & Port введите 8443. По этому порту будет открыт доступ к серверу из интернета.

18. Нажмите OK.

19. Вернитесь на предыдущую вкладку, в которой создавали виртуальную машину.

20. Обновите список групп безопасности и выберите keycloak.

21. В поле EIP выберите Auto assign.

22. Нажмите Next: Configure Advanced Settings.

23. В поле ECS Name укажите название виртуальной машины.

24. Введите и повторите пароль для подключения к серверу.

25. Нажмите Next: Confirm.

26. Проверьте конфигурацию виртуальной машины.

27. Нажмите Apply Now.

Сервер создан, настроен и готов к работе.

Установка Keycloak

Чтобы установить Keycloak на сервер:

1. В списке сервисов выберите Elastic Cloud Server.

2. Напротив виртуальной машины, которую вы создали ранее, нажмите Remote Login.

3. В консоли введите:

   • root — имя пользователя;

   • пароль, указанный при создании сервера.

4. Скачайте Docker:

   curl -fsSL https://get.docker.com -o get-docker.sh
   

5. Установите Docker:

   sh get-docker.sh
   

6. Сгенерируйте самоподписанный сертификат:

   openssl req -newkey rsa:2048 -nodes -keyout server.key.pem -x509 -days 3650 -out server.crt.pem
   

7. Смените права доступа к файлу server.key.pem:

   chmod 755 server.key.pem
   

8. Запустите контейнер с Keycloak:

   docker run -d --name keycloak -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin -e KC_HTTPS_CERTIFICATE_FILE=/opt/keycloak/conf/server.crt.pem -e KC_HTTPS_CERTIFICATE_KEY_FILE=/opt/keycloak/conf/server.key.pem -v $PWD/server.crt.pem:/opt/keycloak/conf/server.crt.pem -v $PWD/server.key.pem:/opt/keycloak/conf/server.key.pem -p 8443:8443 quay.io/keycloak/keycloak:19.0.1 start-dev
   

Keycloak установлен.

Настройка Keycloak

1. В списке сервисов выберите Elastic Cloud Server.

2. Скопируйте EIP — публичный IP-адрес виртуальной машины, на которую вы установили Keycloak.

3. Чтобы попасть в консоль управления Keycloak, перейдите по адресу:

   https://ip-адрес-сервера:8443/admin
   

   Например, если IP-адрес сервера 203.0.113.1, нужно перейти по:

   https://203.0.113.1:8443/admin
   

4. Так как на сервере установлен самоподписанный SSL-сертификат, при переходе возникнет уведомление «Подключение не защищено». Чтобы попасть в Keycloak, нажмите Дополнительные → Перейти на сайт.

5. Войдите в Keycloak:

   • Username or email — admin;

   • Password — admin.

6. Перейдите в раздел Clients в левом меню.

7. Нажмите Create Client.

8. В поле Client Type выберите OpenID Connect.

9. Придумайте и введите в поле Client ID идентификатор для сайта, который находится в OBS.

10. Нажмите Next.

11. Активируйте параметр Client authentication.

12. Активируйте опцию Implicit flow.

13. Нажмите Save.

14. Введите адрес сайта, который загружен в OBS, в следующие поля:

    • Root URL

    • Home URL

    • Valid redirect URIs

    Чтобы узнать адрес сайта, откройте страницу сервиса OBS и нажмите на название бакета, в котором находится сайт. Затем перейдите в раздел Basic Configurations → Static Website Hosting.

15. Нажмите Save.

Сервер аутентификации Keycloak создан.

Аутентификация на сайте

Теперь аутентификацию нужно добавить на сайт. Она будет выполняться с помощью сервера Keycloak.

В разделе Публикация статического веб-сайта для работы с API вы уже загрузили сайт, который работает с API, но он не поддерживает аутентификацию пользователей. Нужно загрузить новый сайт с поддержкой аутентификации через Keycloak. Для размещения файлов сайта используйте тот же бакет, который вы создавали ранее.

Порядок действий при загрузке точно такой же, как и ранее. Отличаются файлы сайта, которые нужно загрузить.

Публикация сайта

Чтобы опубликовать сайт в OBS:

1. Скачайте и распакуйте архив с файлами сайта.

2. Откройте файл settings.json.

3. Укажите настройки в конфигурационном файле:

   • api_url — адрес API. Узнать его можно в разделе Узнать API URL.

   • oauth_endpoint — адрес сервера Keycloak. В URL замените example на IP-адрес вашего сервера Keycloak. Это адрес виртуальной машины, которую вы создали в разделе Настройка Keycloak.

   • client_id — Client ID в Keycloak. Он указывался в разделе Настройка Keycloak. Узнать Client ID можно на странице Keycloak по адресу https://ip-адрес-сервера:8443/admin в разделе Clients.

   • response_type — без изменений.

   • scope — без изменений.

   • nonce — без изменений.

   • redirect_url — адрес вашего сайта в Object Storage Service. Узнать URL можно в разделе Basic Configurations → Static Website Hosting.

4. Сохраните изменения в файле.

5. Откройте ранее созданный бакет и перейдите в раздел Objects в правом меню.

6. Выделите и удалите все ранее загруженные файлы в бакете.

7. Нажмите Upload Object.

8. В поле Object Permission выберите Public Read.

9. Перетащите содержимое каталога react-js-oauth-spa в форму загрузки OBS.

10. Нажмите Upload.

    Примечание

    Если у вас возникли проблемы во время загрузки файлов сайта, воспользуйтесь OBS Browser.

11. Перейдите в раздел Basic Configurations → Static Website Hosting.

12. Перейдите по адресу, который указан в поле Hosted Website URL.

13. Откроется страница аутентификации Keycloak. Введите:

    • логин — admin;

    • пароль — admin.

14. Нажмите Sign In. После успешной аутентификации вы будете перенаправлены обратно на сайт, а в правом верхнем углу появится название аккаунта.

15. Проверьте добавление, отображение и удаление записей на сайте.

Сайт опубликован. Теперь каждый посетитель сайта должен пройти аутентификацию. При этом API все равно доступен любому анонимному пользователю. Чтобы запретить анонимный доступ, нужно настроить аутентификацию в API.

Аутентификация в API

Для аутентификации в API нужно создать отдельную функцию валидации запросов к API. API Gateway будет вызывать ее при обращении к API. Функция будет проверять входящий access_token и разрешать обращение к API только валидным пользователям.

API Gateway умеет кешировать ответ от функции валидации. Это позволяет не вызывать функцию валидации при каждом обращении к API.

Можно воспользоваться готовой функцией авторизации или создать самостоятельно.

Использование готовой функции

1. Скачайте архив с файлами функции.

   Внимание

   По умолчанию Node.js не обрабатывает самоподписанный сертификат, который используется в функции аутентификации. Чтобы аутентификация работала несмотря на самоподписанный сертификат, в код добавлена строка: process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0;. Это небезопасно, но допустимо в рамках практической работы.

2. В списке сервисов выберите FunctionGraph.

3. Нажмите Create Function в правом верхнем углу.

4. В поле Function name укажите название функции, например «API-AUTH».

5. В списке Runtime выберите Node.js 12.13.

6. В поле Handler нужно указать название файла и название функции. Если использовали код из примера, оставьте значение по умолчанию.

7. В поле Code Entry Mode выберите Upload ZIP и загрузите архив с функцией.

8. Нажмите Create Function.

Функция загружена в FunctionGraph.

Для работы функции нужно указать переменные окружения. Для этого:

1. В разделе Functions сервиса FunctionGraph нажмите на название загруженной ранее функции.

2. Перейдите во вкладку Configuration.

3. В разделе Environment Variables нажмите Add Now и добавьте два параметра:

   Идентификатор клиента:

   • Key — audience;

   • Value — account.

   Адрес провайдера, выписавшего токен:

   • Key — issuer;

   • Value — адрес сервера Keycloak https://ip-адрес-сервера:8443/realms/master.

4. Нажмите Save напротив каждого параметра.

5. В правом верхнем углу нажмите Save.

Функция загружена и настроена. Перейдите к разделу Настройка API Gateway.

Ручное создание и загрузка функции авторизации

1. Создайте каталог для хранения кода функции:

   mkdir catalog-name
   

2. Перейдите в созданный каталог:

   cd catalog-name
   

3. Инициализируйте проект:

   npm init -y
   

4. Установите зависимости:

   npm install jsonwebtoken
   

5. Создайте файл index.js:

   touch index.js
   

6. Добавьте в файл index.js код:

   exports.handler = async (event, context) => {
      const jwt = require('jsonwebtoken');
      const request = require('request');
      const util = require('util');
      const requestWrapper = util.promisify(request);
   
      const audience = process.env.audience;
      const issuer = process.env.issuer;
   
      process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0;
   
      let body = {
         status: "deny"
      };
   
      try {
         const oauthConfig = await requestWrapper(`${issuer}/.well-known/openid-configuration`);
         const keyUrl = JSON.parse(oauthConfig.body).jwks_uri;
         const keys = await requestWrapper(keyUrl);
         const key = JSON.parse(keys.body).keys[0].x5c[0];
         const signingCertificate = `-----BEGIN CERTIFICATE-----\n${key}\n-----END CERTIFICATE-----`;
   
         //verify token
         const token = event.headers["x-access-token"];
         const jwttoken = jwt.verify(token, signingCertificate, {audience: audience, issuer: issuer});
         body.status = "allow";
      } catch (e) {
         console.log(e);
      }
   
      const output = {
         "statusCode": 200,
         "body": JSON.stringify(body)
      }
   
      return output;
   }
   

   Внимание

   По умолчанию Node.js не обрабатывает самоподписанный сертификат, который используется в функции аутентификации. Чтобы аутентификация работала несмотря на самоподписанный сертификат, в код добавлена строка: process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0;. Это небезопасно, но допустимо в рамках практической работы.

7. Создайте ZIP-архив с содержимым каталога catalog-name. Архив должен содержать файлы index.js, package.jsos, package-lock.json и каталог node_modules.

Функция создана. Чтобы загрузить ее в FunctionGraph:

1. В списке сервисов выберите FunctionGraph.

2. Нажмите Create Function в правом верхнем углу.

3. В поле Function name укажите название функции, например «API-AUTH».

4. В списке Runtime выберите Node.js 12.13.

5. В поле Handler нужно указать название файла и название функции. Если использовали код из примера, оставьте значение по умолчанию.

6. В поле Code Entry Mode выберите Upload ZIP и загрузите архив с функцией.

7. Нажмите Create Function.

Функция загружена в FunctionGraph.

Для работы функции нужно указать переменные окружения. Для этого:

1. В разделе Functions сервиса FunctionGraph нажмите на название загруженной ранее функции.

2. Перейдите во вкладку Configuration.

3. В разделе Environment Variables нажмите Add Now и добавьте два параметра:

   Идентификатор клиента:

   • Key — audience;

   • Value — account.

   Адрес провайдера, выписавшего токен:

   • Key — issuer;

   • Value — адрес сервера Keycloak https://ip-адрес-сервера:8443/realms/master.

4. Нажмите Save напротив каждого параметра.

5. В правом верхнем углу нажмите Save.

Функция загружена и настроена. Перейдите к разделу Настройка API Gateway.

Настройка API Gateway

API Gateway нужно настроить на использование функции валидации. Для этого сначала нужно создать Custom Authorizer на уровне API Gateway:

1. В списке сервисов выберите API Gateway.

2. Перейдите в раздел API Publishing → Custom Authorizers.

3. Нажмите Create Custom Authorizer в правом верхнем углу.

4. В поле Name укажите название.

5. В поле Type выберите Frontend.

6. В поле Function URN нажмите Select и выберите ранее созданную функцию авторизации.

7. Нажмите OK.

Custom Authorizer создан.

Теперь нужно настроить авторизацию для функций. access_token будет передаваться с сайта в каждом запросе в заголовке X-Access-Token.

Авторизацию нужно настроить для каждого API: для GET, POST и DELETE. Повторите инструкцию ниже для каждого из методов.

1. В списке сервисов выберите API Gateway.

2. Перейдите в раздел API Publishing → APIs.

3. Напротив нужного метода нажмите Edit.

4. В поле Security Authentication выберите Custom.

5. В поле Custom Authorizer выберите созданный ранее Custom Authorizer.

6. Нажмите Next.

7. Нажмите Add Input Parameter.

8. В поле Name введите X-Access-Token.

9. В поле Location выберите Header.

10. В поле Type выберите String.

11. Нажмите OK.

12. Нажмите Finish.

13. Нажмите Publish API.

14. Нажмите Publish.

Когда для каждого API настроена авторизация, запросы через Postman работать перестанут. Они не будут содержать нужный заголовок. Если же вручную добавить заголовок и задать произвольное значение, API вернет ошибку и никаких действий с базой данных выполнено не будет.

Была ли статья полезной?

Да Нет

Предыдущая статья

Публикация статического веб-сайта для работы с API

Следующая статья

Миграция в Advanced средствами платформенных сервисов

Запустили Evolution free tier
для Dev & Test

Получить