Server/src/main/java/ssu/eatssu/domain/auth/entity/SystemAppleAuthenticator.java at eb2807787cd3b1537a3ea027ed474e43c11f6176 · EAT-SSU/Server · GitHub

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
package ssu.eatssu.domain.auth.entity;

import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.core.type.TypeReference;
import com.fasterxml.jackson.databind.ObjectMapper;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import lombok.RequiredArgsConstructor;
import org.springframework.http.ResponseEntity;
import org.springframework.stereotype.Component;
import org.springframework.web.client.RestTemplate;
import org.springframework.web.util.UriComponentsBuilder;
import ssu.eatssu.domain.auth.dto.AppleKeys;
import ssu.eatssu.domain.auth.dto.OAuthInfo;
import ssu.eatssu.global.handler.response.BaseException;

import java.math.BigInteger;
import java.net.URI;
import java.security.KeyFactory;
import java.security.NoSuchAlgorithmException;
import java.security.PublicKey;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.RSAPublicKeySpec;
import java.util.Base64;
import java.util.Map;

import static ssu.eatssu.global.handler.response.BaseResponseStatus.*;

@Component
@RequiredArgsConstructor
public class SystemAppleAuthenticator implements AppleAuthenticator {

    private final RestTemplate restTemplate;

    public OAuthInfo getOAuthInfoByIdentityToken(String identityToken) {
        PublicKey publicKey = generatePublicKey(identityToken);
        return getOAuthInfoByPublicKey(identityToken, publicKey);
    }

    /**
     * 애플 로그인 - PublicKey 를 통해 유저 정보(providerId, email) 조회
     */
    private OAuthInfo getOAuthInfoByPublicKey(String identityToken, PublicKey publicKey) {
        // identityToken 에서 publicKey 서명을 통해 Claims 를 추출한다.
        Claims claims = Jwts.parserBuilder()
                            .setSigningKey(publicKey)
                            .build()
                            .parseClaimsJws(identityToken)
                            .getBody();

        Object emailObj = claims.get("email");
        Object providerIdObj = claims.get("sub");

        if (providerIdObj == null) {
            throw new BaseException(NOT_FOUND_PROVIDER_ID);
        }
        if (emailObj == null) {
            throw new BaseException(NOT_FOUND_EMAIL);
        }

        try {
            String email = emailObj.toString();
            String providerId = providerIdObj.toString();
            return new OAuthInfo(email, providerId);
        } catch (ExpiredJwtException exception) {
            throw new BaseException(INVALID_IDENTITY_TOKEN);
        }
    }

    private PublicKey generatePublicKey(String identityToken) {
        //PublicKey 를 만들기 위한 재료가 되는 후보 Key 목록을 가져온다.
        AppleKeys keys = getAppleKeys();

        //후보 Key 에서 정답 Key 를 찾는다.
        AppleKeys.Key matchedKey = selectMatchedKey(identityToken, keys);

        //정답 Key 를 통해 PublicKey 를 생성한다.
        return generatePublicKeyWithApplePublicKey(matchedKey);
    }

    /**
     * 애플 로그인 - 헤더에서 뽑은 정보를 통해 후보 Key 에서 정답 Key 를 찾아서 반환한다.
     */
    private AppleKeys.Key selectMatchedKey(String identityToken, AppleKeys candidateKeys) {

        //identity token 에서 header 를 뽑아서 decode 한다.
        String header = identityToken.split("\\.")[0];
        String decodedHeader = new String(Base64.getDecoder().decode(header));

        //decode 된 header 정보를 통해 정답키의 key id, algorithm 정보를 가져온다.
        Map<String, String> headerMap;
        try {
            headerMap = new ObjectMapper().readValue(decodedHeader,
                                                     new TypeReference<Map<String, String>>() {
                                                     });
        } catch (JsonProcessingException e) {
            throw new BaseException(INVALID_IDENTITY_TOKEN);
        }

        //후보키 중에서 정답키를 찾아서 반환한다.
        return candidateKeys.findKeyBy(headerMap.get("kid"), headerMap.get("alg"))
                            .orElseThrow(() -> new BaseException(INVALID_IDENTITY_TOKEN));
    }

    /**
     * 애플 로그인 - 정답 Key 를 통해 PublicKey 를 생성한다.
     */
    private PublicKey generatePublicKeyWithApplePublicKey(AppleKeys.Key matchedKey) {

        //정답 키에서 PublicKey 의 재료가 될 n, e 값을 가져온다.
        byte[] nBytes = Base64.getUrlDecoder().decode(matchedKey.getN());
        byte[] eBytes = Base64.getUrlDecoder().decode(matchedKey.getE());

        BigInteger n = new BigInteger(1, nBytes);
        BigInteger e = new BigInteger(1, eBytes);

        // n, e 값을 통해 PublicKeySpec 을 세팅한다.
        RSAPublicKeySpec publicKeySpec = new RSAPublicKeySpec(n, e);

        //PublicKeySpec 을 통해 PublicKey 를 생성한다.
        try {
            KeyFactory keyFactory = KeyFactory.getInstance(matchedKey.getKty());
            return keyFactory.generatePublic(publicKeySpec);
        } catch (NoSuchAlgorithmException | InvalidKeySpecException ex) {
            throw new BaseException(INVALID_IDENTITY_TOKEN);
        }
    }

    /**
     * 애플 로그인 - Apple api 호출을 통해  apple 후보 key 리스트를 받아온다.
     */
    private AppleKeys getAppleKeys() {
        URI uri = UriComponentsBuilder
                .fromUriString("https://appleid.apple.com")
                .path("/auth/keys")
                .encode()
                .build()
                .toUri();

        ResponseEntity<AppleKeys> response = restTemplate.getForEntity(uri, AppleKeys.class);
        return response.getBody();
    }
}