みなさん、メリークリスマスイブ!特に予定はない虎の穴ラボの鷺山です。
この記事は、虎の穴ラボ Advent Calendar 2021の24日目の記事です。
23日目はSKさんの「インフラ担当はフルリモートの夢をみれるのか」が投稿されました。
最終日となる25日目は、虎の穴ラボCTO野田による記事が投稿されます。ぜひこちらもご覧ください。
はじめに
最近、Kotlin+Ktor製の社内システムにユーザー認証の仕組みを取り入れる必要があり、AWSのマネージドサービスであるAmazon Cognitoを使ったユーザー認証の仕組みを構築しました。
リファレンスが少なかっため当初は少し試行錯誤が必要でしたが、一度構築してみると設定や実装自体は難しくないことが分かりました。
そこで今回は、Kotlin+KtorでAmazon Cognitoのユーザーを認証する仕組みの構築手順をご紹介したいと思います。
目次
- はじめに
- 目次
- 実行環境
- Amazon Cognitoのユーザープールの作成
- ユーザープールへのユーザーの追加
- AWS CLIを使ったユーザーのログイン
- Amazon Cognitoのトークンを検証するKtorサーバーの実装
- 動作確認
- まとめ
- P.S.
実行環境
- Kotlin: 1.6.10
- Ktor: 1.6.7
- AWS CLI: 2.4.6
- curl: 7.64.1
- macOS Catalina
Amazon Cognitoのユーザープールの作成
まず、AWSマネジメントコンソールでAmazon Cognitoの画面に移動し、「ユーザープール」から「ユーザープールを作成」を行います。
ウィザードに従ってユーザープールの設定を行っていきます。
以下の説明では、デフォルト値から変更した点のみをピックアップしてご紹介します。
なお、中には説明を簡単にする目的で設定している項目も含まれていますので、実際のシステムで使用する際はその要件に適した設定でユーザープールを作成してください。
「Cognito ユーザープールのサインインオプション」に「E メール」を選択します。
「多要素認証」に「MFA なし」を選択します。
「E メールプロバイダー」に「Cognito で E メールを送信」を選択します。
「ユーザープール名」を指定します。この例ではexample-user-pool
としました。
「アプリケーションタイプ」に「パブリッククライアント」を選択し、「アプリケーションクライアント名」を指定します。この例ではexample-app-client
としました。
「高度なアプリケーションクライアントの設定」を開き、「認証フロー」に「ALLOW_ADMIN_USER_PASSWORD_AUTH」を選択します。これは後述するAWS CLIでユーザープールにログインする際に必要になります。
以上の設定で「ユーザープールの作成」を行います。
ユーザープールの作成が完了したら、ユーザープールのIDとアプリクライアントのIDを控えておきます。
ユーザープールのIDは、ユーザープールの詳細画面で確認できます。作成先が東京リージョンの場合はap-northeast-1_XXXXXXXXX
のような形式になります。
アプリクライアントのIDは、ユーザープールの詳細画面から「アプリケーションの統合」タブを開き、その中の「アプリクライアント」で確認できます。26桁程度のランダムな英数字の形式です。
本エントリーでは、ユーザープールのIDはap-northeast-1_XXXXXXXXX
、アプリクライアントのIDはapplicationClientId0123456
を例に以降の説明をします。
ユーザープールへのユーザーの追加
上記で作成したユーザープールにユーザーを追加します。
ユーザープールの詳細画面の「ユーザー」タブから「ユーザーを作成」することができます。
作成するユーザーの情報を入力します。
本エントリーでは説明のため、架空のメールアドレスuser01@example.com
でユーザーを作成しています。仮パスワードはP@ssword1
としました。
入力が完了したら、「ユーザーを作成」をクリックしてユーザーを作成します。
AWS CLIを使ったユーザーのログイン
上記で作成したユーザーでユーザープールにログインします。
実際のシステムであればログイン画面などを介してログインを行いますが、本エントリーでは確認が簡単なAWS Command Line Interface (AWS CLI)でログインを行います。
AWS CLIでAmazon Cognitoのユーザープールにログインするには、以下のようなaws cognito-idp admin-initiate-auth
コマンドを実行します。
$ aws cognito-idp admin-initiate-auth \ --region ap-northeast-1 \ --user-pool-id ap-northeast-1_XXXXXXXXX \ --client-id applicationClientId0123456 \ --auth-flow ADMIN_NO_SRP_AUTH \ --auth-parameters USERNAME=user01@example.com,PASSWORD=P@ssword1
--region
には、対象のリージョンを指定します。--user-pool-id
には、対象のユーザープールのIDを指定します。--client-id
には、対象のアプリクライアントのIDを指定します。--auth-flow
には、ADMIN_NO_SRP_AUTH
を指定します。--auth-parameters
には、ユーザーIDとパスワードをUSERNAME=<ユーザーID>,PASSWORD=<パスワード>
の形式で指定します。
初めて対象のユーザーにログインした際は、以下のような応答が返ってきます。
{ "ChallengeName": "NEW_PASSWORD_REQUIRED", "Session": "AYABe...", "ChallengeParameters": { "USER_ID_FOR_SRP": "651ba529-92c2-4e77-b9aa-d2584d358c4f", "requiredAttributes": "[]", "userAttributes": "{\"email\":\"user01@example.com\"}" } }
パスワードの変更が求められているので、それに応じるためにaws cognito-idp admin-respond-to-auth-challenge
コマンドでパスワードを変更します。
$ aws cognito-idp admin-respond-to-auth-challenge \ --region ap-northeast-1 \ --user-pool-id ap-northeast-1_XXXXXXXXX \ --client-id applicationClientId0123456 \ --challenge-name NEW_PASSWORD_REQUIRED \ --challenge-response USERNAME=user01@example.com,NEW_PASSWORD=P@ssword2 \ --session "AYABe..."
--region
,--user-pool-id
,--client-id
には、上記のadmin-initiate-auth
コマンドと同様のパラメータを指定します。--challenge-name
には、NEW_PASSWORD_REQUIRED
を指定します。--challenge-response
には、ユーザーIDと新しいパスワードをUSERNAME=<ユーザーID>,PASSWORD=<新しいパスワード>
の形式で指定します。--session
には、上記のadmin-initiate-auth
コマンドで返ってきた"Session"
の値をそのまま指定します。
ログイン及びパスワードの変更に成功すると、以下のような応答が返ってきます。ユーザープールから各種トークンが取得できていることが確認できます(※)。
{ "ChallengeParameters": {}, "AuthenticationResult": { "AccessToken": "eyJ...", "ExpiresIn": 86400, "TokenType": "Bearer", "RefreshToken": "eyJ...", "IdToken": "eyJ..." } }
※ 実際のAccessToken
, RefreshToken
, IdToken
にはJWT (JSON Web トークン) 形式の文字列が入りますが、ここでは表記をeyJ...
のように省略しています。
Amazon Cognitoのトークンを検証するKtorサーバーの実装
上記のAmazon Cognitoのトークンを検証するKtorサーバーを実装します。
ここでは、以下のような単純な応答を返すサーバーを構築します:
- トークン検証の成功時には、トークンの中に含まれているEメールアドレスを返す。
- トークン検証の失敗時には、
HTTP 401 Unauthorized
を返す。
本エントリーのソースコードは、Ktor Project Generatorで以下の設定で生成した構成をベースにしています。
Project Name | ktor-cognito-auth |
---|---|
Build System | Gradle Kotlin |
Website | example.com |
Ktor version | 1.6.7 |
Engine | Netty |
Configuration in | HOCON file |
Plugins | "Authentication JWT" を選択 |
まず、ビルド構成ファイルbuild.gradle.kts
にio.ktor:ktor-auth
やio.ktor:ktor-auth-jwt
のライブラリの依存がない場合は追加します:
- build.gradle.kts
dependencies { ... implementation("io.ktor:ktor-auth:$ktor_version") implementation("io.ktor:ktor-auth-jwt:$ktor_version") ... }
次に、リソースファイルsrc\main\resources\application.conf
にjwt
というブロックを作り、その中にAmazon
Cognitoで作成したユーザープールのURL、およびアプリクライアントのIDをそれぞれissuer
, audience
というキーで以下のように追加します:
- application.conf
jwt { issuer = "https://cognito-idp.ap-northeast-1.amazonaws.com/ap-northeast-1_XXXXXXXXX" audience = "applicationClientId0123456" }
最後に、アプリケーションを記述します。
今回は分かりやすさのために一つのファイルApplication.kt
にすべてを記述していますが、必要に応じてファイルを分割しても構いません。
- Application.kt
package com.example import com.auth0.jwk.JwkProviderBuilder import io.ktor.application.* import io.ktor.auth.* import io.ktor.auth.jwt.* import io.ktor.response.* import io.ktor.routing.* fun main(args: Array<String>): Unit = io.ktor.server.netty.EngineMain.main(args) // ログインユーザーを表現するPrincipal data class LoginUserPrincipal(val email: String) : Principal fun Application.module() { // 認証設定 authentication { jwt { val audience = environment.config.property("jwt.audience").getString() val issuer = environment.config.property("jwt.issuer").getString() val jwkProvider = JwkProviderBuilder(issuer).build() verifier(jwkProvider, issuer) validate { credential -> if (credential.payload.audience.contains(audience)) { val email = credential.payload.getClaim("email").asString() LoginUserPrincipal(email) } else { null } } } } // ルーティング設定 routing { authenticate { get("/hello") { val principal = call.authentication.principal<LoginUserPrincipal>() call.respond("Hello, ${principal?.email}") } } } }
上記のコードを詳しく解説します。
以下の記述で、ログインユーザーを表現するPrincipal (認証主体) であるLoginUserPrincipal
のデータクラスを宣言しています。このクラスはプロパティとしてEメールアドレスemail
を持ちます。
// ログインユーザーを表現するPrincipal data class LoginUserPrincipal(val email: String) : Principal
以下の記述で、JWTを検証するVerifierを構築しています。検証先のユーザープールのURL (Issuer) やアプリクライアントのID (Audience) を、設定ファイルapplication.conf
から読み出して設定しています。トークンの有効期限や署名は、このVerifierがチェックしてくれます。
authentication { jwt { val audience = environment.config.property("jwt.audience").getString() val issuer = environment.config.property("jwt.issuer").getString() val jwkProvider = JwkProviderBuilder(issuer).build() verifier(jwkProvider, issuer) ... } }
以下の記述で、アプリクライアントのID (Audience) のチェックを行っています。OKだった場合は検証成功とみなし、前述のログインユーザーを表現するLoginUserPrincipal
オブジェクトを生成して返します。このとき、トークンの中のemail
クレームからEメールアドレスを取り出してLoginUserPrincipal
のプロパティに設定しています。チェックがNGだった場合は検証失敗とみなしnull
を返します。
validate { credential -> if (credential.payload.audience.contains(audience)) { val email = credential.payload.getClaim("email").asString() LoginUserPrincipal(email) } else { null } }
以下の記述でルーティングを設定しています。
/hello
ルートをauthenticate
ブロックで囲むことで、/hello
ルートへのアクセスには認証が必要であることを表現できます。
/hello
ルートの中では、トークン検証時に生成したLoginUserPrincipal
を取得し、応答のメッセージにEメールアドレスを含めています。
routing { authenticate { get("/hello") { val principal = call.authentication.principal<LoginUserPrincipal>() call.respond("Hello, ${principal?.email}") } } }
上記で実装したサーバーを起動するには、プロジェクトのルートディレクトリで以下のコマンドを実行します (Ktor Project GeneratorでBuild SystemにGradle GroovyかGradle Kotlinを選択している場合):
$ ./gradlew run
動作確認
curlを使って、上記で実装したサーバーの動作確認をします。
事前に「AWS CLIを使ったユーザーのログイン」の章を参考にして、Amazon Cognitoのトークンを取得しておいてください。
有効なトークンでアクセスが成功することを確認する
有効なトークンで/hello
ルートへのアクセスが成功することを確認します。
Amazon Cognitoのログインレスポンス中のIDトークン (IdToken
) の値 (eyJ...
) をコピーし、BearerスキームでAuthorizationヘッダに指定します。
$ curl --header "Authorization: Bearer eyJ..." http://localhost:8080/hello
トークンが有効な場合は、以下のようにCognitoでログインしたユーザーのEメールアドレスを含む応答が返ります。
Hello, user01@example.com
無効なトークンではアクセスが失敗することを確認する
無効なトークンでは/hello
ルートへのアクセスが失敗することを確認します。
Auhorizationヘッダにトークンを含めなかったり、期限切れのトークンを指定した場合は、HTTP 401 Unauthorized
が返ります。
$ curl --verbose http://localhost:8080/hello
... < HTTP/1.1 401 Unauthorized ...
まとめ
今回は、Kotlin+KtorでAmazon Cognitoのユーザーを認証する仕組み (正確には「Kotlin+KtorでAmazon Cognitoのトークンを検証する仕組み」でしたが) の構築手順についてご紹介しました。
Amazon Cognitoを使うことで、ユーザーの管理や認証などの処理を自前のシステムで作り込むことなく、AWSに任せることができるようになります。
Ktorの場合はJWTを扱うプラグインがKtor Project Generatorにより提供されているので、より簡単に導入することができると思います。
P.S.
■ 採用情報
とらのあなでは、オタクなエンジニアを募集しています。
カジュアル面談も随時開催中です。お申し込みはこちら!
■ ToraLab.fmスタートしました!
メンバーによるPodcastを配信中!是非スキマ時間に聞いて頂けると嬉しいです。
anchor.fm
■ Twitterもフォローしてくださいね!
Twitterでも随時情報発信をしています。