Spring Security および Angular

HTML5、リッチブラウザーベースの機能、「シングルページアプリケーション」は、現代の開発者にとって非常に価値のあるツールですが、意味のあるインタラクションにはバックエンドサーバーが必要です。バックエンドサーバーは、静的なコンテンツ（HTML、CSS、JavaScript）の提供、時には（最近はそうでもないですが）動的な HTML のレンダリング、ユーザーの認証、保護されたリソースへのアクセスの確保、（最後になりますが）HTTP や JSON（REST API と呼ばれることもあります）を介してブラウザー上で JavaScript と対話するなど、いくつかのロールのうちのどれか、すべてを果たすことができます。

Spring は常にバックエンド機能 (特に企業で) を構築するための人気のある技術であり、Spring Boot の出現により、物事はかつてないほど簡単になりました。Spring Boot、Angular、Twitter Bootstrap を使って、ゼロから新しいシングルページアプリケーションを構築する方法を見てみましょう。特定のスタックを選択する特別な理由はありませんが、特にエンタープライズ Java ショップのコア Spring 支持者には非常に人気があるため、出発点として価値があります。

Spring と Angular を完全に使いこなしていない人でも、何が起こっているのかを追うことができるように、このアプリケーションの作成を少し詳しく説明します。追いかけたい場合は、アプリケーションが動作している最後までスキップして、すべてがどのように適合するかを確認できます。新しいプロジェクトを作成するためのさまざまなオプションがあります。

ビルドするプロジェクト全体のソースコードはここの Github (英語) にあるため、必要に応じてプロジェクトを複製し、そこから直接作業することができます。次に、次のセクションにジャンプします。

Angular（または最新のフロントエンドフレームワーク）のシングルページアプリケーションの中核は、最近 Node.js ビルドになります。Angular には、これをすばやくセットアップするためのツールがいくつかあるため、使用できます。また、他の Spring Boot アプリケーションと同様に、Maven でビルドするオプションも保持できます。Angular アプリのセットアップ方法の詳細は別の場所 [GitHub] (英語) で説明されています。または、github からこのチュートリアルのコードをチェックアウトすることもできます。

"app-root" コンポーネント（ "src/app/app.component.ts" 内）をカスタマイズしましょう。

最小限の Angular アプリケーションは次のようになります。

この TypeScript のコードのほとんどはボイラープレートです。興味深いものはすべて AppComponent にあり、ここで「セレクター」（HTML 要素の名前）と @Component アノテーションを介してレンダリングする HTML のスニペットを定義します。HTML テンプレート（"app.component.html" ）も編集する必要があります。

これらのファイルを "src/app" に追加してアプリを再構築すると、安全で機能するようになり、"Hello World!" と表示されます。greeting は、handlebar プレースホルダー {{greeting.id}} および {{greeting.content}} を使用して、HTML で Angular によってレンダリングされます。

これまでに、グリーティングがハードコードされたアプリケーションがあります。これは、物事がどのように組み合わされるかを学習できますが、実際にはコンテンツがバックエンドサーバーから来ることを期待しているため、グリーティングを取得するために使用できる HTTP エンドポイントを作成しましょう。アプリケーションクラス [GitHub] (英語) （ "src/main/java/demo" ）で、@RestController アノテーションを追加し、新しい @RequestMapping を定義します。

そのアプリケーションを実行し、"/resource" エンドポイントを curl しようとすると、デフォルトで安全であることがわかります。

一部の開発者ツールを使用すると、ブラウザーとバックエンド間の相互作用をブラウザーで確認できます（通常、F12 はこれを開き、デフォルトで Chrome で動作し、Firefox でプラグインが必要になる場合があります）。概要は次のとおりです。

ブラウザーがホームページの読み込みを単一のインタラクションとして扱うため、401 が表示されない場合があります。また、CORS [Mozilla] ネゴシエーションがあるため、"/resource" に対する 2 つのリクエストが表示される場合があります。

リクエストをより詳細に見ると、すべてのリクエストに "Authorization" ヘッダーがあることがわかります。次のようなものです。

ブラウザーは、すべてのリクエストでユーザー名とパスワードを送信しています（そのため、本番環境で HTTPS のみを使用することを忘れないでください）。それについて "Angular" はないため、JavaScript フレームワークまたは選択した非フレームワークで動作します。

Angular アプリケーションの中核は、基本的なページレイアウト用の HTML テンプレートです。すでに非常に基本的なものがありましたが、このアプリケーションではいくつかのナビゲーション機能（ログイン、ログアウト、ホーム）を提供する必要があるため、それを（src/app で）変更しましょう。

メインコンテンツは <router-outlet/> で、ログインリンクとログアウトリンクのあるナビゲーションバーがあります。

<router-outlet/> セレクターは Angular によって提供され、メインモジュールのコンポーネントに接続する必要があります。ルートごと（メニューリンクごと）に 1 つのコンポーネントがあり、1 つにくっつけて状態を共有するヘルパーサービス（AppService）があります。すべての要素をまとめたモジュールの実装は次のとおりです。

"RouterModule" (英語) と呼ばれる Angular モジュールへの依存関係を追加しました。これにより、魔法の router を AppComponent のコンストラクターに注入することができました。routes は、AppModule のインポート内で使用され、"/" （「ホーム」コントローラー）および "/login"（「ログイン」コントローラー）へのリンクを設定します。

また、そこに FormsModule を忍び込ませました。これは、ユーザーがログインしたときに送信したいフォームにデータをバインドするために後で必要になるためです。

UI コンポーネントはすべて「宣言」であり、サービスグルーは「プロバイダー」です。AppComponent は実際にはあまり機能しません。アプリのルートに付属する TypeScript コンポーネントは次のとおりです。

顕著な特徴:

上記で注入した app サービスには、ユーザーが現在認証されているかどうかを確認できるブール値フラグと、バックエンドサーバーでの認証に使用できる、または単にユーザーの詳細を照会するために使用できる関数 authenticate() が必要です:

authenticated フラグは単純です。authenticate() 関数は、提供されている場合は HTTP 基本認証資格情報を送信し、提供されていない場合は送信しません。また、オプションの callback 引数があり、認証が成功した場合にコードを実行するために使用できます。

追加したログインフォームをサポートするには、さらに機能を追加する必要があります。クライアント側ではこれらは LoginComponent に実装され、サーバーでは Spring Security 構成になります。

この時点でアプリを実行すると、ブラウザーが（ユーザーとパスワードの）基本認証ダイアログをポップアップすることがわかります。これは、"WWW-Authenticate" ヘッダーを持つ /user および /resource への XHR リクエストからの 401 応答を確認するためです。このポップアップを抑制する方法は、Spring Security から来るヘッダーを抑制することです。また、応答ヘッダーを抑制する方法は、特別な従来のリクエストヘッダー "X-Requested-With = XMLHttpRequest" を送信することです。以前は Angular のデフォルトでしたが、1.3.0 では削除されました [GitHub] (英語) 。Angular XHR リクエストでデフォルトのヘッダーを設定する方法は次のとおりです。

最初に、Angular HTTP モジュールによって提供されるデフォルト RequestOptions を継承します。

ここの構文は定型です。Class の implements プロパティはその基本クラスであり、コンストラクターに加えて、本当に必要なことは、Angular によって常に呼び出され、ヘッダーを追加するために使用できる intercept() 関数をオーバーライドすることだけです。

この新しい RequestOptions ファクトリをインストールするには、AppModule の providers で宣言する必要があります。

アプリケーションはほぼ関数に終了しています。最後に行う必要があるのは、ホームページでスケッチしたログアウト機能を実装することです。ユーザーが認証されている場合は、「ログアウト」リンクを表示し、AppComponent の logout() 関数にフックします。"/logout" に HTTP POST を送信することを忘れないでください。これは、サーバーに実装する必要があります。これは、Spring Security によってすでに追加されているため簡単です（つまり、この単純なユースケースでは何もする必要はありません）。ログアウトの動作をより細かく制御するには、WebSecurityAdapter で HttpSecurity コールバックを使用して、たとえば、ログアウト後にビジネスロジックを実行できます。

アプリケーションはほとんど使用する準備ができており、実際に実行すると、ログアウトリンクを除いて、これまでに作成したすべてが実際に機能することがわかります。それを使用してみて、ブラウザーでレスポンスを参照してください。その理由がわかります。

それは、Spring Security に組み込まれている CSRF 保護が、足元で自分自身を撃つことを防ぐために開始されたことを意味するため、良いことです。必要なのは、"X-CSRF" というヘッダーで送信されるトークンだけです。CSRF トークンの値は、ホームページをロードした最初のリクエストからの HttpRequest 属性でサーバー側で利用可能でした。クライアントに渡すには、サーバー上の動的な HTML ページを使用してレンダリングするか、カスタムエンドポイントを介して公開するか、Cookie として送信します。Angular には Cookie に基づいた CSRF（ "XSRF" と呼ばれる）のサポートが組み込まれ (英語) ているため、最後の選択が最適です。

そのため、サーバーには、Cookie を送信するカスタムフィルターが必要です。Angular は Cookie 名を "XSRF-TOKEN" にすることを望んでおり、Spring Security はデフォルトでそれをリクエスト属性として提供するため、リクエスト属性から Cookie に値を転送するだけです。幸い、Spring Security（4.1.0 以降）は、これを正確に行う特別な CsrfTokenRepository を提供します。

これらの変更が行われると、クライアント側で何もする必要がなくなり、ログインフォームが機能するようになります。

一部の開発者ツールを使用すると、ブラウザーとバックエンド間の相互作用をブラウザーで確認できます（通常、F12 はこれを開き、デフォルトで Chrome で動作し、Firefox でプラグインが必要になる場合があります）。概要は次のとおりです。

上記で「無視」とマークされているレスポンスは、XHR 呼び出しで Angular によって受信された HTML レスポンスであり、そのデータを処理していないため、HTML はフロアにドロップされます。"/user" リソースの場合、認証されたユーザーを探しますが、最初の呼び出しには存在しないため、そのレスポンスはドロップされます。

リクエストをよく見ると、すべてのリクエストに Cookie が含まれていることがわかります。クリーンなブラウザー（たとえば Chrome のシークレットモード）で起動した場合、最初のリクエストではサーバーに送信される Cookie はありませんが、サーバーは "JSESSIONID"（通常の HttpSession）および "X- XSRF-TOKEN」（上記で設定した CRSF Cookie）。後続のリクエストにはすべてこれらの Cookie があり、それらは重要です。アプリケーションはそれらの Cookie なしでは機能せず、いくつかの本当に基本的なセキュリティ機能（認証および CSRF 保護）を提供しています。Cookie の値は、ユーザーが（POST 後に）認証すると変更されます。これは、別の重要なセキュリティ機能です（セッション固定攻撃 [Wikipedia] を防止します）。

「しかし... 1 ページのアプリケーションでセッションステートを使用するのは非常に悪いことではありませんか ? 」この質問に対する答えは、「ほとんど」使用します。なぜなら、認証と CSRF 保護のためにセッションを使用することは、間違いなく良いことです。この状態はどこかに保存する必要があり、セッションから取り出す場合は、別の場所に置き、サーバーとクライアントの両方で手動で管理する必要があります。これは単にコードが増えただけであり、メンテナンスも増えただけであり、全体として完全に車輪を再発明したことになります。

「しかし、しかし … アプリケーションを今どのように水平にスケーリングするのですか？」これは上記で尋ねていた「本当」の質問ですが、「セッション状態が悪い、ステートレスでなければなりません」に短縮される傾向があります。パニックにならないでください。ここで重要なのは、セキュリティがステートフルであることです。安全でステートレスなアプリケーションを持つことはできません。状態をどこに保存しますか？ これですべてです。Rob Winch (英語) は Spring Exchange 2014 (英語) で非常に有益でインサイトに富んだ講演を行い、状態の必要性（およびその普遍性: TCP と SSL はステートフルであるため、システムはそれを知っているかどうかに関係なくステートフルです）。このトピックをさらに詳しく調べます。

良いニュースは、選択肢があることです。最も簡単な選択は、セッションデータをメモリに保存し、ロードバランサーのスティッキーセッションに依存して、同じセッションからのリクエストを同じ JVM にルーティングすることです（すべてサポートしています）。これで十分に理解でき、非常に多くのユースケースで機能します。もう 1 つの選択肢は、アプリケーションのインスタンス間でセッションデータを共有することです。厳格でセキュリティデータのみを保存している限り、データは小さく、変更はめったに行われません（ユーザーがログインまたはログアウトしたとき、またはセッションがタイムアウトしたときのみ）。インフラストラクチャに大きな問題はありません。Spring Session [GitHub] (英語) を使用するのも簡単です。このシリーズの次のセクションで Spring Session を使用するため、ここで設定する方法について詳しく説明する必要はありませんが、文字通り数行のコードと Redis サーバーであり、非常に高速です。

それが最後のセクションへのレスポンスであった場合、それをもう一度参照してください。トークンをどこかに保存した場合はおそらくステートレスではありませんが、保存していない場合（たとえば、JWT エンコードトークンを使用している場合）、CSRF 保護をどのように提供しますか？ それは重要です。経験則（Rob Winch に起因）は次のとおりです。アプリケーションまたは API がブラウザーからアクセスされる場合、CSRF 保護が必要です。セッションなしでそれができないということではなく、自分ですべてのコードを書かなければならないということです。そして、すでに実装されており、HttpSession の上で完全にうまく機能するため、何がポイントになるでしょう使用し、最初から仕様に焼き付けているコンテナーの？ ） CSRF を必要とせず、完全に「ステートレス」（非セッションベース）のトークン実装を持っていると判断したとしても、それを消費して使用するためにクライアントに追加のコードを記述する必要がありました。ブラウザーとサーバーの独自の組み込み機能: ブラウザーは常に Cookie を送信し、サーバーは常にセッションを保持します（スイッチをオフにしない限り）。そのコードはビジネスロジックではなく、収益を上げるものではなく、単なるオーバーヘッドであるため、さらに悪いことにお金がかかります。

現在のアプリケーションは、ユーザーがライブ環境の「実際の」アプリケーションに期待するものに近いものであり、おそらく、そのアーキテクチャを備えたより機能豊富なアプリケーション（静的な単一サーバーコンテンツと JSON リソース）。HttpSession を使用してセキュリティデータを保存し、クライアントが送信する Cookie を考慮して使用することを頼りにしていますが、独自のビジネスドメインに集中できるため、それに満足しています。次のセクションでは、アーキテクチャを個別の認証および UI サーバーに加えて、JSON 用のスタンドアロンリソースサーバーに拡張します。これは明らかに、複数のリソースサーバーに簡単に一般化できます。また、Spring Session をスタックに導入し、それを使用して認証データを共有する方法を示します。

ブラウザーは、クロスオリジンリソース共有 [Mozilla] プロトコルに従ってリソースサーバーへのアクセスが許可されているかどうかを確認するために、リソースサーバーとネゴシエートしようとします。Angular の責任ではないため、Cookie 契約と同様に、ブラウザー内のすべての JavaScript でこのように機能します。2 つのサーバーは共通の発信元を宣言していないため、ブラウザーはリクエストの送信を拒否し、UI は壊れています。

これを修正するには、「プリフライト」OPTIONS リクエストと、呼び出し元の許可された動作をリストするいくつかのヘッダーを含む CORS プロトコルをサポートする必要があります。Spring 4.2 には、きめの細かい CORS サポート (英語) がいくつかあります。そのため、コントローラーマッピングにアノテーションを追加するだけです。例:

すごい！ 新しいアーキテクチャーで動作するアプリケーションがあります。唯一の問題は、リソースサーバーにセキュリティがないことです。

インターネットおよび人々の Spring バックエンドプロジェクトには、カスタムトークンベースの認証ソリューションが散らばっています。Spring Security は、あなた自身で始めるための最低限の Filter 実装を提供します（たとえば、AbstractPreAuthenticatedProcessingFilter [GitHub] (英語) および TokenService [GitHub] (英語) を参照）。ただし、Spring Security には正規の実装はありません。その理由の 1 つは、おそらくさらに簡単な方法があるからです。

このシリーズのパート II から、Spring Security はデフォルトで HttpSession を使用して認証データを保管することを思い出してください。ただし、セッションと直接対話することはありません。その間にはストレージバックエンドを変更するために使用できる抽象化レイヤー（SecurityContextRepository [GitHub] (英語) ）があります。リソースサーバーで、UI によって認証が検証されたストアをそのリポジトリにポイントできる場合、2 つのサーバー間で認証を共有する方法があります。UI サーバーにはすでにそのようなストア（HttpSession）があります。そのため、そのストアを配布してリソースサーバーに開くことができる場合、ほとんどのソリューションがあります。

不足している唯一の部分は、ストア内のデータへのキーの転送メカニズムです。キーは HttpSession ID であるため、UI クライアントでそのキーを取得できる場合、リソースサーバーにカスタムヘッダーとして送信できます。そのため、「ホーム」コントローラーは、グリーティングリソースの HTTP リクエストの一部としてヘッダーを送信するように変更する必要があります。例：

（よりエレガントなソリューションは、必要に応じてトークンを取得し、RequestOptionsService を使用して、リソースサーバーへのすべてのリクエストにヘッダーを追加することです）

"http://localhost:9000" に直接移動する代わりに、"/token" の UI サーバー上の新しいカスタムエンドポイントへの呼び出しの成功コールバックでその呼び出しをラップしました。その実装は簡単です。

これで、UI アプリケーションの準備が整い、バックエンドへのすべての呼び出しに対して "X-Auth-Token" というヘッダーにセッション ID が含まれます。

リソースサーバーがカスタムヘッダーを受け入れることができるように、リソースサーバーに小さな変更が 1 つあります。CORS 構成では、そのヘッダーをリモートクライアントからの許可されたヘッダーとして指定する必要があります。

ブラウザーからのプリフライトチェックは Spring MVC によって処理されるようになりましたが、Spring Security に通過を許可することを伝える必要があります。

あとは、リソースサーバーでカスタムトークンを取得し、それを使用してユーザーを認証するだけです。必要なのは、Spring Security にセッションリポジトリの場所と、受信リクエストでトークン（セッション ID）を探す場所を伝えるだけなので、これは非常に簡単です。最初に Spring Session と Redis の依存関係を追加する必要があり、次に Filter をセットアップできます。

作成されたこの Filter は、UI サーバーにあるもののミラーイメージであるため、Redis をセッションストアとして確立します。唯一の違いは、デフォルト（ "JSESSIONID" という名前の Cookie）ではなく、ヘッダー（デフォルトでは "X-Auth-Token" ）を調べるカスタム HttpSessionStrategy を使用することです。また、ブラウザーが認証されていないクライアントでダイアログをポップアップしないようにする必要があります。アプリは安全ですが、デフォルトで WWW-Authenticate: Basic で 401 を送信するため、ブラウザーはユーザー名とパスワードのダイアログで応答します。これを実現する方法は複数ありますが、すでに Angular が "X-Requested-With" ヘッダーを送信するようにしているため、Spring Security はデフォルトでそれを処理します。

リソースサーバーには、新しい認証スキームで動作するように、最後に 1 つの変更があります。Spring Boot のデフォルトセキュリティはステートレスであり、セッションに認証を保存するために、application.yml （または application.properties）で明示的にする必要があります。

これは、Spring Security に対して「セッションを作成することはありませんが、セッションが存在する場合はセッションを使用する」と言います（UI での認証のためにすでに存在します）。

リソースサーバーを再起動し、新しいブラウザーウィンドウで UI を開きます。

カスタムヘッダーを使用し、クライアントにヘッダーを入力するコードを記述する必要がありました。これはそれほど複雑ではありませんが、可能な限り Cookie とセッションを使用するというパート II のアドバイスと矛盾するようです。そうしないと、不必要な複雑さが追加されるという議論がありましたが、確かに、現在の実装はこれまで見てきた中で最も複雑です: ソリューションの技術的な部分は、ビジネスロジック（明らかに小さい）をはるかに上回っています。これは間違いなく公正な批判です（そして、このシリーズの次のセクションで説明する予定です）が、すべての目的で Cookie とセッションを使用するほど単純ではない理由を簡単に見てみましょう。

少なくともまだセッションを使用していますが、これは理にかなっています。なぜなら Spring Security と Servlet コンテナーは私たちの努力なしにそれを行う方法を知っているからです。しかし、Cookie を使用して認証トークンを転送し続けることができなかったでしょうか？ それは素晴らしかったでしょうが、それが機能しない理由があり、ブラウザーが私たちを認可しないということです。JavaScript クライアントからブラウザーの Cookie ストアをいじってみることができますが、いくつかの制限があり、十分な理由があります。特に、サーバーから "HttpOnly" として送信された Cookie にはアクセスできません（セッション Cookie の場合、デフォルトで表示されます）。また、送信リクエストに Cookie を設定できないため、"SESSION" Cookie（Spring Session のデフォルト Cookie 名）を設定できなかったため、カスタムの "X-Session" ヘッダーを使用する必要がありました。これらの制限は両方ともユーザー自身の保護のためのものであるため、悪意のあるスクリプトは適切な認可なしにリソースにアクセスできません。

TL; DR UI とリソースサーバーは共通の起源を持たないため、Cookie を共有できません（Spring Session を使用して強制的にセッションを共有できます）。

このシリーズのパート II のアプリケーションの機能を複製しました。リモートバックエンドから取得した挨拶を含むホームページで、ナビゲーションバーにログインとログアウトのリンクがあります。違いは、グリーティングが UI サーバーに組み込まれているためはなく、スタンドアロンのリソースサーバーから送信されることです。これにより、実装が大幅に複雑になりましたが、幸いなことに、ほとんど構成ベースの (実際には 100% 宣言型) ソリューションを使用できます。新しいコードをすべてライブラリ (Spring 構成と Angular カスタムディレクティブ) に抽出することで、ソリューション 100% を宣言型にすることもできます。この興味深いタスクは、次の 2 回の記事以降に延期します。次のセクションでは、現在の実装の複雑さをすべて軽減するための、別の本当に優れた方法として、API ゲートウェイパターン (クライアントはすべてのリクエストを 1 つの場所に送信し、その場所で認証処理) を見ていきます。

API Gateway は、フロントエンドクライアントの単一のエントリポイント（および制御）であり、ブラウザーベース（このセクションの例のような）またはモバイルの場合があります。クライアントは 1 つのサーバーの URL を知るだけでよく、バックエンドを変更せずに自由にリファクタリングできます。これは大きな利点です。集中化と制御に関して、レート制限、認証、監査、ログ記録などの利点があります。Spring Cloud を使用すると、単純なリバースプロキシの実装は非常に簡単です。

コードを順守している場合、最後のセクションの最後のアプリケーション実装が少し複雑であることがわかるため、それを繰り返すのに最適な場所ではありません。ただし、より簡単に開始できる中間点があり、バックエンドリソースはまだ Spring Security で保護されていませんでした。このソースコードは Github (英語) の別個のプロジェクトなので、そこから始めます。UI サーバーとリソースサーバーがあり、お互いに通信しています。リソースサーバーには Spring Security がまだないため、最初にシステムを動作させてから、そのレイヤーを追加できます。

中間状態では、リソースサーバーにセキュリティが設定されていないことを覚えているかもしれません。

ソフトウェアレベルでセキュリティが必要であると判断したと仮定します（多くの理由により、かなりの可能性があります）。問題になることはありません。依存関係として Spring Security を（リソースサーバー POM [GitHub] (英語) に）追加するだけですから:

セキュアなリソースサーバーを取得するにはこれで十分ですが、パート III にはなかったのと同じ理由で、まだ動作しているアプリケーションは取得できません。2 つのサーバー間で共有認証状態はありません。

認証（および CSRF）状態を共有するために、前回と同じメカニズム、つまり Spring Session [GitHub] (英語) を使用できます。以前のように、両方のサーバーに依存関係を追加します。

ただし、同じ Filter 宣言を両方に追加できるため、今回は構成がはるかに簡単になります。最初に UI サーバー。すべてのヘッダーを転送することを明示的に宣言します（つまり、「機密」はありません）。

その後、リソースサーバーに移動できます。2 つの小さな変更が必要です。1 つは、リソースサーバーで HTTP Basic を明示的に無効にすることです（ブラウザーが認証ダイアログをポップアップするのを防ぐため）。

もう 1 つは、application.properties で非ステートレスセッション作成ポリシーを明示的に要求することです。

redis がバックグラウンドで実行されている限り（起動する場合は docker-compose.yml [GitHub] (英語) を使用してください）、システムは動作します。http://localhost:8080 で UI のホームページをロードしてログインすると、バックエンドからのメッセージがホームページに表示されます。

バックグラウンドで何が起こっていますか？ 最初に、UI サーバー（および API Gateway）で HTTP リクエストを確認できます。

これは、Spring Session を使用しているため、Cookie 名がわずかに異なる（ "JSESSIONID" ではなく "SESSION" ）という点を除いて、パート II の最後のシーケンスと同じです。ただし、アーキテクチャは異なり、"/resource" への最後のリクエストは、リソースサーバーにプロキシされているため、特別です。

UI サーバーの "/trace" エンドポイント（Spring Cloud の依存関係で追加した Spring Boot Actuator から）を確認することで、リバースプロキシの動作を確認できます。新しいブラウザーで http://localhost:8080/trace に移動します（ブラウザー用の JSON プラグインをまだ入手していない場合は、ブラウザーを読みやすくします）。HTTP Basic（ブラウザーポップアップ）で認証する必要がありますが、ログインフォームと同じ資格情報が有効です。開始時または開始近くに、次のようなリクエストのペアが表示されます。

2 番目のエントリは "/resource" のクライアントからゲートウェイへのリクエストであり、Cookie（ブラウザーによって追加された）と CSRF ヘッダー（パート II に従って Angular によって追加された）を確認できます。最初のエントリには remote: true があり、これはリソースサーバーへの呼び出しをトレースしていることを意味します。これが URI パス "/" に送信されたことがわかります。また、（重要なことに）Cookie と CSRF ヘッダーも送信されていることがわかります。Spring Session がないと、これらのヘッダーはリソースサーバーにとって意味がありませんが、セットアップ方法では、これらのヘッダーを使用して、認証と CSRF トークンデータを使用してセッションを再構成できます。リクエストは許可され、ビジネスを行っています！

このセクションではかなり多くのことを説明しましたが、2 台のサーバーに最小限のボイラープレートコードがあり、どちらも安全であり、ユーザーエクスペリエンスが損なわれない、本当に素晴らしい場所に到達しました。それだけが API Gateway パターンを使用する理由になりますが、実際には、使用される可能性のある表面のほんの一部に過ぎません（Netflix は多くのこ [GitHub] (英語) とに使用しています）。Spring Cloud を読んで、より多くの機能をゲートウェイに簡単に追加する方法を確認してください。このシリーズの次のセクションでは、認証の責任を別のサーバーに抽出することで、アプリケーションアーキテクチャを少し拡張します（シングルサインオンパターン）。

最初のステップは、認証とトークン管理を処理する新しいサーバーを作成することです。パート I の手順に従って、Spring Boot Initializr から始めることができます。例: UN*X のようなシステムで curl を使用:

その後、そのプロジェクト（デフォルトでは通常の Maven Java プロジェクト）をお気に入りの IDE にインポートするか、コマンドラインでファイルと "mvn" を操作するだけです。

パート IV から続けると、リソースサーバーは認証に Spring Session [GitHub] (英語) を使用しているため、それを取り出して Spring OAuth に置き換えることができます。Spring Session と Redis の依存関係も削除する必要があるため、これを置き換えます。

これとともに:

次に、セッション Filter をメインアプリケーションクラス [GitHub] (英語) から削除し、便利な @EnableResourceServer アノテーション（Spring Security OAuth2 から）に置き換えます。

その 1 つの変更で、アプリは HTTP Basic ではなくアクセストークンを要求する準備ができていますが、実際にプロセスを完了するには、構成を変更する必要があります。リソースサーバーが与えられたトークンをデコードしてユーザーを認証できるように、少量の外部構成（"application.properties" ）を追加します。

これは、トークンを使用して "/user" エンドポイントにアクセスし、それを使用して認証情報を取得できることをサーバーに通知します（Facebook API の "/me" エンドポイント (英語) に少し似ています）。事実上、Spring OAuth2 の ResourceServerTokenServices インターフェースで表されるように、リソースサーバーがトークンをデコードする方法を提供します。

アプリケーションを実行し、コマンドラインクライアントでホームページにアクセスします。

また、ベアラートークンが必要であることを示す "WWW-Authenticate" ヘッダーを持つ 401 が表示されます。

認可サーバーでは、そのエンドポイントを簡単に追加できます

パート II の UI サーバーと同じ @RequestMapping を追加し、Spring OAuth からの @EnableResourceServer アノテーションも追加しました。これは、デフォルトで "/oauth/*" エンドポイントを除く認可サーバー内のすべてを保護します。

エンドポイントを配置したら、認可サーバーによって作成されたベアラートークンを受け入れるようになったため、それとグリーティングリソースをテストできます。

（自分で認証サーバーから取得したアクセストークンの値を代入して、それを自分で動作させます）。

完了する必要があるこのアプリケーションの最後の部分は、認証部分を抽出し、認可サーバーに委譲する UI サーバーです。そのため、リソースサーバーと同様に、まず Spring Session と Redis の依存関係を削除し、Spring OAuth2 に置き換える必要があります。UI 層で Zuul を使用しているため、実際には spring-security-oauth2 ではなく spring-cloud-starter-oauth2 を直接使用します（これにより、プロキシを介してトークンを中継するための自動構成が設定されます）。

それが完了したら、セッションフィルターと "/user" エンドポイントも削除し、（@EnableOAuth2Sso アノテーションを使用して）認可サーバーにリダイレクトするようにアプリケーションを設定できます。

UI サーバーが @EnableZuulProxy のおかげで API ゲートウェイとして機能し、YAML でルートマッピングを宣言できることをパート IV から思い出してください。"/user" エンドポイントを認証サーバーにプロキシできます。

最後に、@EnableOAuth2Sso によって設定された SSO フィルターチェーンのデフォルトを変更するために使用されるため、アプリケーションを WebSecurityConfigurerAdapter に変更する必要があります。

主な変更点（基本クラス名を除く）は、マッチャーが独自のメソッドに入ることであり、formLogin() はもう必要ありません。明示的な logout() 構成は、保護されていない成功 URL を明示的に追加するため、/logout への XHR リクエストは正常に戻ります。

@EnableOAuth2Sso アノテーションには、適切な認可サーバーと通信して認証できるようにするためのいくつかの必須の外部構成プロパティもあります。application.yml でこれが必要です:

その大部分は、OAuth2 クライアント（ "acme" ）と認可サーバーの場所に関するものです。ユーザーが UI アプリ自体で認証できるように、userInfoUri もあります（リソースサーバーの場合と同様）。

すべてのサーバーを一緒に実行し、http://localhost:8080 のブラウザーで UI にアクセスします。「ログイン」リンクをクリックすると、OAuth2 からフェッチされたグリーティングを使用して UI のホームページにリダイレクトされる前に、認証サーバー（HTTP Basic ポップアップ）にリダイレクトされ、トークン付与（ホワイトラベル HTML）が認可されます。UI を認証したのと同じトークンを使用するリソースサーバー。

一部の開発者ツールを使用すると、ブラウザーとバックエンド間の相互作用をブラウザーで確認できます（通常、F12 はこれを開き、デフォルトで Chrome で動作し、Firefox でプラグインが必要になる場合があります）。概要は次のとおりです。

（uaa）で始まるリクエストは、認可サーバーに対するものです。「無視」とマークされたレスポンスは、XHR 呼び出しで Angular によって受信されたレスポンスであり、そのデータを処理していないため、フロアにドロップされます。"/user" リソースの場合、認証されたユーザーを探しますが、最初の呼び出しには存在しないため、そのレスポンスはドロップされます。

UI の "/trace" エンドポイント（下にスクロール）に、"/user" および "/resource" へのプロキシされたバックエンドリクエストが表示されます。認証には、Cookie の代わりに remote:true とベアラートークンが使用されます（パート IV の場合と同様）。Spring Cloud Security がこれを処理してくれました。@EnableOAuth2Sso と @EnableZuulProxy があることを認識することで、（デフォルトで）トークンをプロキシされたバックエンドに中継したいことがわかりました。

「ログアウト」リンクをクリックすると、ユーザーが UI サーバーで認証されなくなるため、ホームページが変更される（グリーティングが表示されなくなる）ことがわかります。「ログイン」をクリックしますが、実際には認証サーバーで認証と認可のサイクルに戻る必要はありません（ログアウトしていないため）。それが望ましいユーザーエクスペリエンスであるかどうかについて意見は分かれますが、悪名高いトリッキーな問題です（シングルサインアウト: Science Direct の記事 (英語) および Shibboleth のドキュメント (英語) ）。理想的なユーザーエクスペリエンスは技術的に実現可能ではないかもしれません。また、ユーザーが望むことを本当に望んでいることを疑わなければならないこともあります。「「ログアウト」してログアウトしてほしい」というのは簡単ですが、「何からログアウトしますか？ この SSO サーバーによって制御されているすべてのシステムからログアウトしますか、それともあなただけのシステムからログアウトしますか？」 「ログアウト」リンクをクリックしましたか？」興味がある場合は、このチュートリアルの後のセクションで詳細に説明されています。

これで、Spring Security および Angular スタックの浅いツアーはほぼ終了です。現在、UI/API ゲートウェイ、リソースサーバー、認可サーバー / トークン付与者の 3 つの個別のコンポーネントで明確な責任を持つ優れたアーキテクチャがあります。すべてのレイヤーの非ビジネスコードの量が最小限になり、より多くのビジネスロジックを使用して実装を継承および改善する場所を簡単に確認できます。次のステップは、認証サーバーの UI を整理し、JavaScript クライアントでのテストを含むいくつかのテストを追加することです。もう 1 つの興味深いタスクは、すべてのボイラープレートコードを抽出し、Spring Security と Spring Session の自動構成、および Angular ピースのナビゲーションコントローラー用のいくつかの webjar リソースを含むライブラリ（ "spring-security-angular" など）に配置することです。このシリーズのセクションを読んだら、Angular または Spring Security の内部動作を学びたいと思っていた人はおそらくがっかりするでしょうが、それらがどのようにうまく連携し、少しの構成がどのように長くなるかを知りたい場合は方法、うまくいけば、良い経験をしたでしょう。Spring Cloud は新しく、これらのサンプルは作成時にスナップショットが必要でしたが、リリース候補があり、GA リリースが間もなくリリースされるため、それをチェックして、Github (英語) または gitter.im (英語) を介し [GitHub] (英語) てフィードバックを送信してください。

シリーズの次のセクションでは、アクセス決定（認証以外）について説明し、同じプロキシの背後で複数の UI アプリケーションを使用します。

このアプリケーションの別のバージョンは、Github のソースコードにあります。Github のソースコードには、パート II (英語) のログインページと同じように、きれいなログインページとユーザー承認ページが実装されています。また、JWT (英語) を使用してトークンをエンコードするため、"/user" エンドポイントを使用する代わりに、リソースサーバーはトークン自体から十分な情報をプルして単純な認証を行うことができます。ブラウザークライアントは引き続き UI サーバーを介してプロキシされてそれを使用するため、ユーザーが認証されているかどうかを判断できます（実際のアプリケーションでのリソースサーバーへの呼び出しの可能性と比較して、それほど頻繁に行う必要はありません））。

以下は、最初に構築する基本システムの図です。

このシリーズの他のサンプルアプリケーションと同様に、UI（HTML および JavaScript）とリソースサーバーがあります。セクション IV のサンプルと同様に、ゲートウェイがありますが、ここでは UI の一部ではなく、別個のものです。UI は事実上バックエンドの一部になり、機能を再構成および再実装するための選択肢がさらに広がります。また、これから説明する他の利点ももたらします。

ブラウザーはすべてのためにゲートウェイにアクセスし、バックエンドのアーキテクチャを知る必要はありません（基本的に、バックエンドがあることを知りません）。このゲートウェイでブラウザーが行うことの 1 つに認証があります。セクション II のようにユーザー名とパスワードを送信し、代わりに Cookie を取得します。後続のリクエストでは、Cookie が自動的に提示され、ゲートウェイはそれをバックエンドに渡します。Cookie の受け渡しを有効にするために、クライアントでコードを記述する必要はありません。バックエンドは Cookie を使用して認証し、すべてのコンポーネントがセッションを共有するため、ユーザーに関する同じ情報を共有します。これと比較して、ゲートウェイで Cookie をアクセストークンに変換する必要があり、アクセストークンはすべてのバックエンドコンポーネントで個別にデコードする必要があるセクション V と比較してください。

セクション IV と同様に、ゲートウェイはクライアントとサーバー間の対話を簡素化し、セキュリティを処理するための小さく明確に定義された表面を提供します。例: クロスオリジンリソース共有 [Mozilla] について心配する必要はありません。これは間違いを犯しやすいため、歓迎されます。

ビルドするプロジェクト全体のソースコードはここの Github (英語) にあるため、必要に応じてプロジェクトを複製し、そこから直接作業することができます。このシステムの終了状態には追加のコンポーネント（"double-admin"）があるため、今は無視してください。

このアーキテクチャでは、バックエンドはセクション III で構築した "spring-session" [GitHub] (英語) サンプルに非常に似ていますが、実際にはログインページは必要ありません。ここで必要なものに到達する最も簡単な方法は、おそらくセクション III から「リソース」サーバーをコピーし、セクション I の「基本」 [GitHub] (英語) サンプルから UI を取得することです。「基本」UI からここで必要な UI に到達するには、いくつかの依存関係を追加するだけです（セクション III で Spring Session [GitHub] (英語) を最初に使用したときのように）。

これは UI になっているため、"/resource" エンドポイントは必要ありません。これを行うと、非常に単純な Angular アプリケーション（「基本」サンプルと同じ）が作成され、その動作のテストと推論が大幅に簡素化されます。

最後に、このサーバーをバックエンドとして実行したいため、（application.properties で）リッスンするデフォルト以外のポートを指定します。

それがコンテンツ application.properties 全体である場合、アプリケーションは安全であり、"user" と呼ばれるユーザーがランダムなパスワードでアクセスできますが、起動時にコンソールに（ログレベル INFO で）出力されます。"security.sessions" 設定は、Spring Security が認証トークンとして Cookie を受け入れるが、Cookie がすでに存在しない限り Cookie を作成しないことを意味します。

リソースサーバーは、既存のサンプルの 1 つから簡単に生成できます。これは、セクション III の "spring-session" リソースサーバーと同じです。分散セッションデータを取得するための "/resource" エンドポイント Spring Session だけです。このサーバーにリッスンするデフォルト以外のポートを持たせ、セッションで認証を検索できるようにしたいため、これが必要です（application.properties で）。

このチュートリアルの新しい機能であるメッセージリソースへの変更を POST する予定です。これは、バックエンドで CSRF 保護が必要になることを意味し、Spring Security を Angular とうまく動作させるために通常のトリックを行う必要があります。

完成したサンプルは、こちらの github (英語) にあります。

ゲートウェイの初期実装（おそらく動作する可能性のある最も単純なもの）では、空の Spring Boot Web アプリケーションを取得して @EnableZuulProxy アノテーションを追加するだけです。セクション I で見たように、それを行うにはいくつかの方法があり、その 1 つは Spring Initializr を使用してスケルトンプロジェクトを生成することです。さらに簡単なのは、Spring Cloud Initializr (英語) を使用することですが、これは同じことですが、Spring Cloud (英語) アプリケーション用です。セクション I と同じ一連のコマンドライン操作を使用します。

次に、そのプロジェクト（デフォルトでは通常の Maven Java プロジェクト）をお気に入りの IDE にインポートするか、コマンドラインでファイルと "mvn" を操作するだけです。そこから行きたい場合は github (英語) にバージョンがありますが、まだ必要のない追加機能がいくつかあります。

空白の Initializr アプリケーションから始めて、Spring Session 依存関係を追加します（上記の UI のように）。ゲートウェイを実行する準備はできていますが、バックエンドサービスについてはまだ知らないため、application.yml でセットアップしてみましょう（上記の curl を行った場合は application.properties から名前を変更します）。

プロキシには 2 つのルートがあり、どちらも sensitive-headers プロパティを使用して Cookie をダウンストリームで渡します。どちらも UI とリソースサーバーに 1 つずつあり、デフォルトのパスワードとセッション永続性戦略を設定しています（Spring Security に常にセッションを作成するように伝えます）認証）。認証とセッションをゲートウェイで管理する必要があるため、この最後のビットは重要です。

現在、3 つのポートで実行される 3 つのコンポーネントがあります。ブラウザーを http://localhost:8080/ui/ に向けると、HTTP Basic チャレンジを取得する必要があり、「ユーザー / パスワード」（ゲートウェイの資格情報）として認証できます。これを行うと、バックエンド経由で UI に挨拶が表示されます。プロキシを介してリソースサーバーに呼び出します。

一部の開発者ツールを使用すると、ブラウザーとバックエンド間の相互作用をブラウザーで確認できます（通常、F12 はこれを開き、デフォルトで Chrome で動作し、Firefox でプラグインが必要になる場合があります）。概要は次のとおりです。

ブラウザーはホームページの読み込みを単一の対話として扱うため、401 が表示されない場合があります。すべてのリクエストはプロキシされます（管理用のアクチュエーターエンドポイントを超えて、ゲートウェイにはまだコンテンツがありません）。

うまくいきました！ 2 つのバックエンドサーバーがあり、その 1 つは UI であり、それぞれが独立した機能を持ち、独立してテストすることができ、それらは制御し、認証を構成したセキュアゲートウェイと一緒に接続されます。ブラウザーがバックエンドにアクセスできない場合は重要ではありません（実際、物理的なセキュリティをさらに制御できるため、おそらく利点です）。

セクション I の「基本」サンプルのように、ログインフォームをゲートウェイに追加できます。セクション II からコードをコピーします。それを行うとき、ゲートウェイにいくつかの基本的なナビゲーション要素を追加することもできるため、ユーザーはプロキシの UI バックエンドへのパスを知る必要がありません。それでは、最初に静的アセットを「単一」UI からゲートウェイにコピーし、メッセージレンダリングを削除して、ログインフォームをホームページ（<app/> のどこか）に挿入します。

メッセージのレンダリングの代わりに、素敵な大きなナビゲーションボタンがあります。

github でサンプルを見ている場合、「ログアウト」ボタンのある最小限のナビゲーションバーもあります。スクリーンショットのログインフォームは次のとおりです。

ログインフォームをサポートするには、<form/> で宣言した login() 関数を実装するコンポーネントを含む TypeScript が必要です。また、authenticated フラグを設定して、ユーザーが認証されているかどうかに応じてホームページのレンダリングが異なるようにする必要があります。例：

login() 関数の実装はセクション II の実装に似ています。

この単純なアプリケーションにはコンポーネントが 1 つしかないため、self を使用して authenticated フラグを格納できます。

この強化されたゲートウェイを実行する場合、UI の URL を覚える必要はなく、ホームページを読み込んでリンクをたどることができます。認証済みユーザーのホームページは次のとおりです。

これまでのアプリケーションは、関数にはセクション III またはセクション IV のものと非常によく似ていますが、専用のゲートウェイが追加されています。余分なレイヤーの利点はまだ明らかではないかもしれませんが、システムを少し拡張することで強調できます。ユーザーがメイン UI でコンテンツを「管理」するために、そのゲートウェイを使用して別のバックエンド UI を公開し、この機能へのアクセスを特別なロールを持つユーザーに制限するとします。プロキシの背後に「管理」アプリケーションを追加すると、システムは次のようになります。

application.yml のゲートウェイには、新しいコンポーネント（Admin）と新しいルートがあります。

"USER" ロールのユーザーが既存の UI を使用できることは、管理アプリケーションにアクセスするために "ADMIN" ロールが必要であるという事実と同様に、ゲートウェイボックス（緑色の文字）の上のブロック図に示されています。"ADMIN" ロールのアクセス決定は、ゲートウェイで適用できます。その場合、WebSecurityConfigurerAdapter に表示されるか、管理アプリケーション自体に適用できます（これを行う方法については後述します）。

最初に、新しい Spring Boot アプリケーションを作成するか、UI をコピーして編集します。UI アプリで変更する必要はありませんが、最初に名前を変更する必要があります。完成したアプリはここの Github (英語) にあります。

管理アプリケーション内で、"READER" ロールと "WRITER" ロールを区別し、監査者であるユーザーに、メイン管理者ユーザーによる変更の表示を許可できるようにするとします。これはきめ細かいアクセス決定であり、ルールはバックエンドアプリケーションでのみ知られ、知られるべきです。ゲートウェイでは、ユーザーアカウントに必要なロールがあることを確認するだけでよく、この情報は利用可能ですが、ゲートウェイはそれを解釈する方法を知る必要はありません。ゲートウェイでは、ユーザーアカウントを作成して、サンプルアプリケーションを自己完結型に保ちます。

"admin" ユーザーは 3 つの新しいロール（ "ADMIN"、"READER"、"WRITER" ）で拡張され、"ADMIN" アクセス権を持つ "audit" ユーザーも追加されましたが、"WRITER" アクセス権はありません。

アクセスの決定は、管理アプリケーションで行います。"ADMIN" ロール（このバックエンドにグローバルに必要）については、Spring Security でそれを行います。

"READER" ロールと "WRITER" ロールの場合、アプリケーション自体が分割されます。アプリケーションは JavaScript に実装されているため、ここでアクセスを決定する必要があります。これを行う 1 つの方法は、計算されたビューがルーターを介して埋め込まれたホームページを持つことです。

ルートは、コンポーネントがロードされるときに計算されます。

アプリケーションが最初に行うことは、ユーザーが認証されているかどうかを確認し、ユーザーデータを見てルートを計算することです。ルートはメインモジュールで宣言されます。

これらの各コンポーネント（各ルートに 1 つ）は個別に実装する必要があります。例として ReadComponent を次に示します。

WriteComponent も同様ですが、バックエンドでメッセージを変更する形式があります。

AppService は、ルートを計算するためのデータも提供する必要があるため、authenticate() 関数では次のように表示されます。

バックエンドでこの機能をサポートするには、/user エンドポイントが必要です。メインアプリケーションクラスで:

ゲートウェイでもロールを使用してアクセスを決定するため（管理 UI へのリンクを条件付きで表示できるようにするため）、ゲートウェイの "/user" エンドポイントにも「ロール」を追加する必要があります。それが整ったら、JavaScript を追加して、現在のユーザーが "ADMIN" であることを示すフラグを設定できます。authenticated() 関数の場合:

また、ユーザーがログアウトしたときに admin フラグを false にリセットする必要があります。

その後、HTML で条件付きで新しいリンクを表示できます。

すべてのアプリを実行し、http://localhost:8080 に移動して結果を確認します。すべてが正常に機能し、現在認証されているユーザーに応じて UI が変更されます。

これで、2 つの独立したユーザーインターフェースとバックエンドリソースサーバーを備えたすてきな小さなシステムができました。これらはすべて、ゲートウェイで同じ認証によって保護されています。ゲートウェイがマイクロプロキシとして機能するという事実により、バックエンドセキュリティの関心事の実装が非常に簡単になり、ビジネス上の関心事に自由に集中できます。Spring Session の使用により、（再び）膨大な量の手間と潜在的なエラーが回避されました。

強力な機能は、バックエンドが任意の種類の認証を独自に持つことができることです（たとえば、物理アドレスと一連のローカル認証情報がわかっている場合は、UI に直接アクセスできます）。ゲートウェイは、ユーザーを認証し、バックエンドのアクセスルールを満たすメタデータをユーザーに割り当てることができる限り、完全に無関係な一連の制約を課します。これは、バックエンドコンポーネントを個別に開発およびテストできる優れた設計です。必要に応じて、ゲートウェイでの認証のために外部 OAuth2 サーバー（セクション V など、またはまったく異なるもの）に戻ることができ、バックエンドに触れる必要はありません。

このアーキテクチャのボーナス機能（認証を制御する単一のゲートウェイ、およびすべてのコンポーネントにわたる共有セッショントークン）は、セクション V で実装が困難であると判断した機能である「シングルログアウト」がフリーで提供されることです。より正確には、シングルログアウトのユーザーエクスペリエンスに対する特定のアプローチが完成したシステムで自動的に使用可能になります。ユーザーが UI（ゲートウェイ、UI バックエンド、管理バックエンド）からログアウトすると、すべてのログアウトその他、個々の UI が「ログアウト」機能を同じ方法で実装したと仮定します（セッションを無効にします）。

「基本」アプリケーションの「アプリ」コンポーネントは非常にシンプルなので、徹底的にテストするのにそれほど時間はかかりません。コードのリマインダーは次のとおりです。

直面する主な課題は、テストで http オブジェクトを提供することです。そのため、コンポーネントでの http オブジェクトの使用メソッドについてアサーションを作成できます。実際、その課題に直面する前であっても、コンポーネントインスタンスを作成できる必要があります。そのため、ロード時に何が起こるかをテストできます。以下にそのメソッドを示します。

ng new から作成されたアプリの Angular ビルドには、すでに仕様とそれを実行するための構成があります。生成された仕様は "src/app" にあり、次のように始まります。

この非常に基本的なテストスイートには、次の重要な要素があります。

ここでのテスト関数は非常に単純なため、実際にはコンポーネントが存在することをアサートするだけなので、それが失敗するとテストは失敗します。

仕様を製品グレードに改善するには、コントローラーのロード時に何が起こるかについて実際にアサートする必要があります。http.get() を呼び出すため、単体テストのためだけにアプリケーション全体を実行する必要がないように、その呼び出しをモックする必要があります。そのためには、Angular HttpClientTestingModule を使用します。

ここでの新しい部分は次のとおりです。

「テストを実行する」コードは、プロジェクトのセットアップ時に作成された便利なスクリプトを使用して ./ng test （または ./ng build）を実行できます。これは Maven ライフサイクルの一部としても実行されるため、./mvnw install はテストを実行する良い方法でもあります。CI ビルドで何が起こるかです。

Angular には、ブラウザーと生成された JavaScript を使用した「エンドツーエンドテスト」用にセットアップされた標準ビルドもあります。これらは、最上位の e2e ディレクトリに「仕様」として書き込まれます。このチュートリアルのすべてのサンプルには、Maven ライフサイクルで実行される非常に単純なエンドツーエンドテストが含まれています（したがって、"ui" アプリで mvn install を実行すると、ブラウザーウィンドウがポップアップ表示されます）。

Javascript の単体テストを実行できることは、最新の Web アプリケーションでは重要であり、このシリーズではこれまで無視（または回避）したトピックです。今回の記事では、テストを記述する方法、開発時にテストを実行する方法、さらに重要なこととして、継続的インテグレーション設定の基本的な要素を紹介しました。取ったアプローチはすべての人に適しているわけではないため、別の方法でやるのを気にしないでください。ここで行った方法は、おそらく従来の Java エンタープライズ開発者にとって快適であり、既存のツールやプロセスとうまく統合できるため、そのカテゴリにいるなら、出発点として役立つと思います。Angular および Jasmine を使用したテストのその他の例は、インターネット上の多くの場所で見つけることができますが、最初のコールポイントはこのシリーズの「単一」サンプル [GitHub] (英語) である可能性があります。このチュートリアルの「基本」サンプル用に記述する必要があるコード。

このチュートリアルの oauth2 サンプルのログアウトに関するユーザーエクスペリエンスは、UI アプリからはログアウトしますが、認証サーバーからはログアウトしないため、UI アプリに再度ログインするときに、認証サーバーは資格情報を再度要求しません。認証サーバーが外部の場合、これは完全に予期されており、正常であり、望ましいものです。Google やその他の外部認証サーバープロバイダーは、信頼できないアプリケーションからサーバーからログアウトすることを望んでいませんし、許可しません。しかし、認証サーバーが実際に認証サーバーである場合、これは最高のユーザーエクスペリエンスではありません。UI と同じシステムの一部です。

大まかに言えば、OAuth2 クライアントとして認証された UI アプリからログアウトするための 3 つのパターンがあります。

外部認証サーバーを使用している場合でも、認証を制御し、アクセス制御の内部レイヤー（認証サーバーがサポートしていないスコープやロールなど）を追加したい場合があります。次に、認証に EA を使用することをお勧めしますが、必要な追加の詳細をトークンに追加できる内部認証サーバーを用意します。この他の OAuth2 チュートリアル [GitHub] (英語) の auth-server サンプルは、非常に簡単な方法でそれを行う方法を示しています。その後、内部認証サーバーを含むシステムに GIA または SL パターンを適用できます。

EA が必要ない場合のオプションは次のとおりです。

SL が困難または不可能な場合、すべての UI を単一のゲートウェイの背後に配置する方がよい場合があることに注意してください。次に、より簡単な GIA を使用して、不動産全体からのログアウトを制御できます。

GIA パターンにうまく当てはまる最も簡単な 2 つのオプションは、チュートリアルサンプルで次のように実装できます（oauth2 サンプルを取得して、そこから作業します）。

UI アプリがログアウトされるとすぐに authserver からログアウトするコードをブラウザークライアントに追加するのは非常に簡単です。例:

このサンプルでは、authserver ログアウトエンドポイント URL を JavaScript にハードコードしましたが、必要に応じて外部化するのは簡単です。セッション Cookie も一緒に送信するため、authserver に直接 POST する必要があります。XHR リクエストは、withCredentials:true を明確にリクエストした場合にのみ、Cookie が添付されたブラウザーから送信されます。

逆に、リクエストは別のドメインから送信されるため、サーバーでは CORS 構成が必要です。例: WebSecurityConfigurerAdapter

"/logout" エンドポイントには特別な処理が施されています。どの発信元からでも呼び出すことができ、資格情報（Cookie など）の送信を明示的に許可します。許可されるヘッダーは、Angular がサンプルアプリで送信するヘッダーのみです。

Angular はクロスドメインリクエストで X-XSRF-TOKEN ヘッダーを送信しないため、CORS 設定に加えて、ログアウトエンドポイントの CSRF を無効にする必要があります。authserver はこれまで CSRF 設定を必要としませんでしたが、ログアウトエンドポイントの無視を簡単に追加できます。

UI アプリクライアントと authserver の 2 つの簡単な変更により、UI アプリからログアウトすると、再度ログインすると、常にパスワードの入力が求められることがわかります。

もう 1 つの便利な変更点は、OAuth2 クライアントを自動承認するように設定することです。これにより、ユーザーはトークンの付与を承認する必要がなくなります。これは、ユーザーが別のシステムとして認識しない内部認証サーバーでは一般的です。AuthorizationServerConfigurerAdapter では、クライアントの初期化時にフラグが必要です。

ログアウトエンドポイントで CSRF 保護を放棄したくない場合は、他の簡単なアプローチを試すことができます。これは、トークンが許可されるとすぐに（実際は認証コードとなるとすぐに、認証サーバーのユーザーセッションを無効にする生成されます）。これも非常に簡単に実装できます。oauth2 サンプルから始めて、HandlerInterceptor を OAuth2 エンドポイントに追加するだけです。

このインターセプターは RedirectView を探します。これは、ユーザーがクライアントアプリにリダイレクトされていることを示すシグナルであり、場所に認証コードまたはエラーが含まれているかどうかを確認します。暗黙的な許可も使用している場合は、"token =" を追加できます。

この簡単な変更により、認証するとすぐに、authserver のセッションはすでに停止しているため、クライアントからセッションを試行および管理する必要はありません。UI アプリからログアウトしてから再度ログインすると、認証サーバーはユーザーを認識せず、資格情報の入力を求めます。このパターンは、このチュートリアルのソースコード [GitHub] (英語) の oauth2-logout サンプルによって実装されたものです。このアプローチの欠点は、本当のシングルサインオンがもはやないことです。システムの一部である他のアプリは、authserver セッションが停止していることを発見し、再度認証を要求する必要があります。複数のアプリがある場合の優れたユーザーエクスペリエンス。

このセクションでは、OAuth2 クライアントアプリケーションからログアウトするためのいくつかの異なるパターンを実装する方法を見てきました（開始点としてチュートリアルのセクション V のアプリケーションを使用）。他のパターンのオプションについても説明しました。これらのオプションはすべてを網羅しているわけではありませんが、トレードオフの適切なアイデアと、ユースケースに最適なソリューションを検討するためのいくつかのツールを提供する必要があります。このセクションには JavaScript の行が 2、3 行しかなく、Angular に固有のものではなかったため（XHR リクエストにフラグを追加します）、このガイドのサンプルアプリの狭い範囲を超えてすべてのレッスンとパターンを適用できます。繰り返し発生するテーマは、複数の UI アプリがあり、単一の認証サーバーに何らかの欠陥がある傾向があるシングルログアウト（SL）へのすべてのアプローチです: できることは、ユーザーの不快感を最小限に抑えるアプローチを選択することです。内部 authserver と多くのコンポーネントで構成されるシステムがある場合、単一のシステムのようにユーザーに感じる唯一のアーキテクチャは、すべてのユーザーインタラクションのゲートウェイである可能性があります。

新しいガイドを作成したり、既存のガイドに貢献したいですか？ 投稿ガイドラインを参照してください [GitHub] (英語) 。