LIFF 開發框架

# LIFF 開發框架 [TOC] ###### tags: `chatgpt` --- ## 聽過 LIFF 嗎是的，我知道 LIFF。LIFF 全名為 Line Front-end Framework，是 Line 的一個開發框架，用於開發 Line Bot 的前端應用程序。 LIFF 提供了一種輕量級的方式來開發 Line Bot 的前端，開發者可以使用 HTML、CSS 和 JavaScript 等前端技術來設計和實現 Line Bot 的介面和功能，並與 Line Bot 後端進行通信。 ## 由於 LIFF 已處理了前端的認證及授權，當呼叫 REST API 時如何向後端進行認證及授權？當使用 LIFF 框架開發 Line Bot 前端應用程序時，LIFF 已經處理了前端的認證及授權，因此在呼叫 REST API 時，可以使用 LIFF 提供的 token 來向後端進行認證及授權。在 LIFF 中，可以使用 `liff.getAccessToken()` 方法獲取當前用戶的 access token，然後將 access token 傳遞到後端 API 中，讓後端 API 對用戶進行驗證和授權。以下是一個簡單的 JavaScript 代碼示例，展示如何使用 LIFF 的 access token 進行 API 認證及授權： ```javascript // 呼叫 LIFF API 獲取 access token const accessToken = await liff.getAccessToken(); // 發送 API 請求，將 access token 作為請求 header 中的 Authorization 欄位 const response = await fetch('https://your-api.com/your-endpoint', { headers: { 'Authorization': `Bearer ${accessToken}` } }); // 處理 API 响應 const data = await response.json(); ``` 在這個示例中，`fetch` 方法被用來發送 API 請求，並將 access token 作為 Authorization 欄位的值傳遞到 API。注意，這裡的 access token 是一個字串，需要使用 Bearer 方案來進行認證。在實際應用中，你需要將 **`https://your-api.com/your-endpoint`** 替換為實際的 API 端點，並確保你的 API 正確處理了 access token。 ## 後端框架為 Spring Boot，並搭配外部的 Keycloak，該怎麼實作呢如果你的後端框架是 Spring Boot，並且你使用外部的 Keycloak 來進行身份驗證和授權，你可以使用 Spring Security 框架來實現身份驗證和授權。以下是一個簡單的 Spring Security 配置，展示如何使用 Keycloak 進行身份驗證和授權： ```java @Configuration @EnableWebSecurity public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(keycloakAuthenticationProvider()); } @Bean public KeycloakSpringBootConfigResolver keycloakConfigResolver() { return new KeycloakSpringBootConfigResolver(); } @Override protected SessionAuthenticationStrategy sessionAuthenticationStrategy() { return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl()); } @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http.authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } @Bean @Override protected KeycloakAuthenticationProcessingFilter keycloakAuthenticationProcessingFilter() throws Exception { KeycloakAuthenticationProcessingFilter filter = new KeycloakAuthenticationProcessingFilter(authenticationManagerBean()); filter.setSessionAuthenticationStrategy(sessionAuthenticationStrategy()); return filter; } @Bean public FilterRegistrationBean keycloakPreAuthActionsFilterRegistrationBean(KeycloakPreAuthActionsFilter filter) { FilterRegistrationBean registration = new FilterRegistrationBean(filter); registration.setEnabled(false); return registration; } @Bean public FilterRegistrationBean keycloakAuthenticationProcessingFilterRegistrationBean(KeycloakAuthenticationProcessingFilter filter) { FilterRegistrationBean registration = new FilterRegistrationBean(filter); registration.setEnabled(false); return registration; } @Bean public FilterRegistrationBean keycloakAuthenticatedActionsFilterBean(KeycloakAuthenticatedActionsFilter filter) { FilterRegistrationBean registration = new FilterRegistrationBean(filter); registration.setEnabled(false); return registration; } @Bean public FilterRegistrationBean keycloakSecurityContextRequestFilterBean(KeycloakSecurityContextRequestFilter filter) { FilterRegistrationBean registration = new FilterRegistrationBean(filter); registration.setEnabled(false); return registration; } @Bean public FilterRegistrationBean keycloakCorsFilterRegistrationBean(KeycloakCorsFilter filter) { FilterRegistrationBean registration = new FilterRegistrationBean(filter); registration.setEnabled(false); return registration; } } ``` 這個配置中，我們繼承了 `KeycloakWebSecurityConfigurerAdapter` 類，這個類提供了 Keycloak 的 Spring Security 配置。我們使用 `authenticationProvider()` 方法來配置 Keycloak 的身份驗證提供者，使用 `keycloakAuthenticationProcessingFilter()` 方法來配置 Keycloak 的身份驗證過濾器。我們還使用 `configure()` 方法來配置 URL 路徑的授權，這裡的 `/api/**` URL 路徑需要進行身份驗證，其他路徑則不需要。在上面的代碼中，我們還配置了一些過濾器的 Bean，這些過濾器在 ## 後端框架為 Spring Boot，並搭配外部的 Keycloak，該怎麼實作來自 LIFF 的 access token 呢如果你的後端框架是 Spring Boot，並且你使用外部的 Keycloak 來進行身份驗證和授權，你可以使用 Spring Security 框架來實現 LIFF 傳遞的 access token 的驗證和授權。以下是一個簡單的 Spring Security 配置，展示如何使用 Keycloak 進行身份驗證和授權，並從 LIFF 傳遞的 access token 中驗證授權： ```java @Configuration @EnableWebSecurity public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(keycloakAuthenticationProvider()); } @Bean public KeycloakSpringBootConfigResolver keycloakConfigResolver() { return new KeycloakSpringBootConfigResolver(); } @Override protected SessionAuthenticationStrategy sessionAuthenticationStrategy() { return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl()); } @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http.authorizeRequests() .antMatchers("/api/**").hasAnyRole("user") .anyRequest().permitAll() .and() .oauth2ResourceServer() .jwt() .decoder(jwtDecoder()); } @Bean public JwtDecoder jwtDecoder() { return JwtDecoders.fromIssuerLocation("<ISSUER_URL>"); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider(); keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper()); auth.authenticationProvider(keycloakAuthenticationProvider); } } ``` 在這個配置中，我們使用 oauth2ResourceServer() 方法來配置 Spring Security 能夠接受來自 LIFF 傳遞的 access token，使用 `jwt()` 方法來指定 JWT 設定。並在 `jwtDecoder()` 方法中指定 JWT 的簽發者 URL。這樣 Spring Security 就可以在接收到 LIFF 傳遞的 access token 後，使用指定的 JWT 簽發者 URL 進行驗證。另外，我們在 `configure()` 方法中使用 `hasAnyRole("user")` 方法來授予 `/api/**` URL 路徑的 `user` 角色權限，這樣只有具有 `user` 角色的用戶才能訪問這些 URL 路徑。最後，我們在 `configure(AuthenticationManagerBuilder auth)` 方法中設置了 `KeycloakAuthenticationProvider` 的 `GrantedAuthoritiesMapper`，並使用 `authenticationProvider()` 方法來配置 Keycloak 的身份驗證提供者。這樣就能從 LIFF 傳遞的 access token 中解析出用戶的角色，並將其授予 Spring Security 中對應的角色權限。 ## 那外部 Keycloak 該如何設定以配合前述情境要設置外部的 Keycloak 以配合 Spring Boot 中使用 LIFF 傳遞的 access token，你可以遵循以下步驟： 1. 創建一個新的 Keycloak 客戶端，用於與 LIFF 應用程序集成。在 Keycloak 中，轉到 Clients -> Create，然後輸入客戶端的詳細信息，例如客戶端 ID 和描述。 2. 配置新創建的 Keycloak 客戶端。在 Keycloak 中，轉到 **Clients** -> **ClientID** -> **Settings**，然後執行以下操作： 1. 在 “Client Protocol” 下拉菜單中，選擇 “openid-connect”。 2. 在 “Access Type” 下拉菜單中，選擇 “confidential”。 3. 在 “Valid Redirect URIs” 欄位中，輸入 LIFF 應用程序的 URL。例如，如果 LIFF 應用程序的 URL 為 https://example.com，則輸入 https://example.com/*。 4. 在 “Web Origins” 欄位中，輸入 LIFF 應用程序的 URL。例如，如果 LIFF 應用程序的 URL 為 https://example.com，則輸入 https://example.com。 5. 確定保存更改。 3. 配置 Keycloak 的用戶和角色。在 Keycloak 中，轉到 Users，然後創建新用戶。然後，在 Roles 下創建一些角色，例如 `user`。 4. 為 LIFF 應用程序生成一個專用的 access token。在 Keycloak 中，轉到 **Clients** -> **Client ID** -> **Credentials**，然後點擊 **Regenerate Secret** 生成新的 Client Secret。 5. 最後，將新生成的 Client Secret 設置為 Spring Boot 應用程序的參數，並配置 Spring Security 使用 Keycloak 進行身份驗證和授權，如上所述。 ## 這樣 Keycloak 就能從 LIFF 傳來的 access token 解析出用戶身分並保護 REST API 嗎是的，這樣配置之後，當 LIFF 應用程序使用 access token 訪問 Spring Boot 的 REST API 時，Keycloak 可以使用 access token 中的信息進行用戶身份驗證，並根據用戶角色或權限保護 REST API 的訪問。在 Spring Boot 應用程序中，你需要使用 Keycloak Spring Security Adapter 來實現此功能。Keycloak Spring Security Adapter 是一個 Keycloak 提供的用於 Spring Security 應用程序的庫，可用於簡化 Spring Security 的集成和配置。在 Spring Boot 應用程序中，你可以將 Keycloak Spring Security Adapter 添加到依賴中，然後在 Spring Security 的配置中配置 Keycloak 的身份驗證和授權功能。這樣配置之後，當用戶訪問受保護的 REST API 時，Spring Security 將使用 Keycloak 中的用戶信息進行身份驗證和授權，並根據用戶角色或權限控制訪問權限。 ## 我不太理解 Keycloak 是怎麼解析出用戶身分的，不需要配置 JWKS 等等之類的嗎當 LIFF 應用程序使用 access token 訪問 Spring Boot 的 REST API 時，Keycloak 將使用 access token 中的 JWT (JSON Web Token) 進行身份驗證。JWT 是一種開放標準，用於在不同應用程序之間傳遞安全信息。JWT 由三部分組成：Header、Payload 和 Signature。在 JWT 中，Payload 包含有關用戶身份的信息，例如用戶名、電子郵件地址和角色。Keycloak 可以使用 JWT 的內容進行用戶身份驗證和授權。在 LIFF 應用程序中，當使用者進行登入後，LIFF 會透過 Keycloak 發出 token 的 request，Keycloak 則會進行身份驗證，並在使用者身份驗證成功後返回一個包含 JWT 的 access token 給 LIFF 應用程序。當 LIFF 應用程序使用 access token 訪問 Spring Boot 的 REST API 時，Keycloak 將從 access token 中解析出 JWT，然後使用 JWT 的內容進行用戶身份驗證和授權。因此，你不需要額外配置 JWKS 或其他類似的設置，只需要配置好 Keycloak 的 client 和角色即可。 ## 這種情況下，當有一個新的用戶產生時 Keycloak 怎麼知道呢當有一個新的用戶產生時，你需要在 Keycloak 中手動創建用戶。你可以在 Keycloak 管理介面中的 Users 頁面上添加新用戶，或者使用 Keycloak 的 API 創建用戶。在創建用戶時，你可以為用戶分配角色或權限，並將其關聯到相應的 client 上。在這種情況下，當用戶使用 LIFF 應用程序訪問 Spring Boot 的 REST API 時，Keycloak 將使用 JWT 的內容進行用戶身份驗證和授權，並根據用戶角色或權限控制訪問權限。如果你希望自動創建 Keycloak 用戶，可以使用 Keycloak 的 API 進行自動化創建。你可以通過調用 Keycloak 的 REST API，使用相應的 API 請求在 Keycloak 中創建新用戶。但是，這需要你進行更多的開發工作，並需要保證安全性和可靠性。 ## 使用 API 自動創建 Keycloak 用戶在 Spring Boot 該怎麼做要在 Spring Boot 中使用 Keycloak 的 API 創建用戶，你需要使用 Keycloak 的 Java 客戶端庫。以下是一個簡單的例子，展示了如何使用 Java 客戶端庫創建 Keycloak 用戶：首先，你需要在你的 Spring Boot 項目中添加 Keycloak Java 客戶端庫的依賴項。你可以在 Maven 或 Gradle 配置文件中添加以下依賴項： ```xml <dependency> <groupId>org.keycloak</groupId> <artifactId>keycloak-admin-client</artifactId> <version>16.1.0</version> </dependency> ``` 或 ```xml implementation 'org.keycloak:keycloak-admin-client:16.1.0' ``` 然後，在你的 Spring Boot 項目中，你可以使用以下代碼創建一個 Keycloak 用戶： ```java // 創建 Keycloak 客戶端 Keycloak keycloak = KeycloakBuilder.builder() .serverUrl("http://localhost:8080/auth") .realm("your_realm") .clientId("your_client_id") .clientSecret("your_client_secret") .username("admin") .password("admin_password") .build(); // 創建用戶 UserRepresentation user = new UserRepresentation(); user.setUsername("user123"); user.setEmail("user123@example.com"); user.setEnabled(true); // 添加用戶到 Keycloak 中 Response response = keycloak.realm("your_realm").users().create(user); if (response.getStatus() != 201) { throw new RuntimeException("Failed to create user"); } ``` 這個代碼片段中，我們使用 KeycloakBuilder 創建了一個 Keycloak 客戶端，並使用客戶端創建了一個新用戶。在創建用戶時，我們還可以為用戶指定角色或其他屬性。最後，我們使用 Keycloak 的 REST API 將用戶添加到 Keycloak 中。注意，你需要使用你自己的 Keycloak 設置替換上面代碼中的 "your_realm"、"your_client_id"、"your_client_secret"、"admin" 和 "admin_password" 等參數。這樣，你就可以使用 Keycloak 的 Java 客戶端庫創建 Keycloak 用戶了。 ## 前述 Keycloak 參數 "your_realm"、"your_client_id"、"your_client_secret"、"admin" 和 "admin_password" 等能設置在 application.properties 嗎是的，你可以將 Keycloak 的參數設置在 Spring Boot 的 `application.properties` 或 `application.yml` 文件中，並使用 Spring Boot 的屬性注入來注入這些參數。以下是一個使用 `application.properties` 文件設置 Keycloak 參數的例子：在 `application.properties` 文件中添加以下配置： ```properties # Keycloak 配置 keycloak.auth-server-url=http://localhost:8080/auth keycloak.realm=your_realm keycloak.resource=your_client_id keycloak.credentials.secret=your_client_secret keycloak.admin.username=admin keycloak.admin.password=admin_password ``` 然後，在你的 Java 代碼中使用 @Value 注解來注入這些參數。例如，你可以創建一個名為 "keycloakConfig" 的類，並使用以下代碼來注入 Keycloak 參數： ```java @Component @ConfigurationProperties(prefix = "keycloak") public class KeycloakConfig { private String authServerUrl; private String realm; private String resource; private String credentialsSecret; private String adminUsername; private String adminPassword; // 省略 getter 和 setter 方法 } ``` 在這個例子中，我們使用 @Component 和 @ConfigurationProperties 注解將這個類聲明為 Spring Bean，並注入了 Keycloak 的各個參數。然後，在你的代碼中，你可以使用 @Autowired 注解來注入 KeycloakConfig 類，並從這個類中獲取 Keycloak 的各個參數，例如： ```java @Autowired private KeycloakConfig keycloakConfig; public void createKeycloakUser() { // 創建 Keycloak 客戶端 Keycloak keycloak = KeycloakBuilder.builder() .serverUrl(keycloakConfig.getAuthServerUrl()) .realm(keycloakConfig.getRealm()) .clientId(keycloakConfig.getResource()) .clientSecret(keycloakConfig.getCredentialsSecret()) .username(keycloakConfig.getAdminUsername()) .password(keycloakConfig.getAdminPassword()) .build(); // 創建用戶 UserRepresentation user = new UserRepresentation(); user.setUsername("user123"); user.setEmail("user123@example.com"); user.setEnabled(true); // 添加用戶到 Keycloak 中 Response response = keycloak.realm(keycloakConfig.getRealm()).users().create(user); if (response.getStatus() != 201) { throw new RuntimeException("Failed to create user"); } } ``` 這樣，你就可以在 Spring Boot 中使用 application.properties 文件設置 Keycloak 參數並使用 Spring Boot 的屬性注入來注入這些參數了。 ## 前述使用 @Autowired 注解來注入 KeycloakConfig 類，是要在哪個類裡注入你可以在需要使用 Keycloak 參數的 Spring Bean 中注入 KeycloakConfig 類，以便在這個 Bean 中使用這些參數。例如，如果你需要在一個 UserService 中創建 Keycloak 用戶，你可以在這個 UserService 中注入 KeycloakConfig 類，並使用這個類中的參數創建 Keycloak 客戶端。以下是一個示例： ```java @Service public class UserService { @Autowired private KeycloakConfig keycloakConfig; public void createUser(UserDto userDto) { // 創建 Keycloak 客戶端 Keycloak keycloak = KeycloakBuilder.builder() .serverUrl(keycloakConfig.getAuthServerUrl()) .realm(keycloakConfig.getRealm()) .clientId(keycloakConfig.getResource()) .clientSecret(keycloakConfig.getCredentialsSecret()) .username(keycloakConfig.getAdminUsername()) .password(keycloakConfig.getAdminPassword()) .build(); // 創建用戶 UserRepresentation user = new UserRepresentation(); user.setUsername(userDto.getUsername()); user.setEmail(userDto.getEmail()); user.setEnabled(true); // 添加用戶到 Keycloak 中 Response response = keycloak.realm(keycloakConfig.getRealm()).users().create(user); if (response.getStatus() != 201) { throw new RuntimeException("Failed to create user"); } } } ``` 在這個例子中，我們在 UserService 中使用 @Autowired 注解來注入 KeycloakConfig 類，並使用這個類中的參數創建 Keycloak 客戶端。這樣，當 UserService 的 createUser 方法被調用時，就可以使用這個 Keycloak 客戶端創建用戶了。 ## 若 `response.getStatus() != 201` 除了拋出 `RuntimeException` 還有沒有更好的實踐當 Keycloak 創建用戶失敗時，拋出 RuntimeException 可以讓呼叫者知道出了什麼問題。不過，更好的實踐是使用自定義的異常類型，以便區分不同類型的錯誤。這樣做可以提高代碼的可讀性和可維護性，也更容易進行錯誤處理和調試。你可以創建一個自定義的異常類型，例如 UserCreationFailedException，並在 createUser 方法中捕獲 Keycloak 創建用戶時可能拋出的異常，然後拋出 UserCreationFailedException 異常，以便在外層進行處理。以下是一個示例： ```java @Service public class UserService { // ... public void createUser(UserDto userDto) throws UserCreationFailedException { // ... // 添加用戶到 Keycloak 中 Response response = keycloak.realm(keycloakConfig.getRealm()).users().create(user); if (response.getStatus() != 201) { throw new UserCreationFailedException("Failed to create user"); } } } ``` 在這個例子中，我們定義了一個 UserCreationFailedException 異常類型，並在 createUser 方法中拋出這個異常，以便在外層進行處理。這樣，當創建用戶失敗時，就可以捕獲這個異常，並進行相應的處理。 ## 前述的 `KeycloakAuthenticationProvider` 中有個 `JwtDecoder` 的 `@Bean`，它的依存性是什麼在 `KeycloakAuthenticationProvider` 中使用的 `JwtDecoder` `@Bean` 的依存性是 `org.springframework.security.oauth2.jwt.JwtDecoder`。這個依存性是 Spring Security OAuth2 中的一部分，用於解碼 JWT（JSON Web Tokens）。在 Spring Security OAuth2 中，JwtDecoder 用於解碼 JWT，然後將其轉換為 OAuth2AuthenticationToken。JwtDecoder 的實現方式可以是對稱加密、非對稱加密、JWK Set 等，因此可以支持多種加密方式。在 KeycloakAuthenticationProvider 中，JwtDecoder 用於解碼從 Keycloak 返回的 ID Token，並使用其內容創建 Authentication 對象。簡單來說，JwtDecoder 確保 ID Token 的有效性，並使用其內容創建一個 Authentication 對象，以便 Spring Security 進行授權。為了使用 JwtDecoder，我們需要將 `org.springframework.boot:spring-boot-starter-oauth2-client` 依存性添加到 Maven 或 Gradle 項目中，或者將 spring-security-oauth2-client 依存性添加到舊版的 Spring Security 項目中。這樣，Spring Security 就能夠自動配置 JwtDecoder，以便使用 JWT 進行身份驗證和授權。