要するにJWT認証をしたい。JWT認証をしたいんですけど(Scalaの)記事がないんじゃぁぁぁ。というわけで書いた記事になります。ここでいうJWT認証は実際のシステムでいうとサーバサイドの話であって今回はクライアントサイドは関係ないです。JWTはAWS Cognitoから発行されたものという前提で書いてますが、他のでも同様のやり方でできるハズです。

ライブラリを探す


ちょろっとできないかな~とライブラリを探した結果、どうもJVM界隈ではnimbus-jose-jwtというのが有名っぽかったので、こちらを使うことにしました。この他にも多くのライブラリがありますが、探すにはJWT.IOを使うのが良いと思います。

Scalaではjwt-scalaというライブラリが有名そうで、こちらはJSONライブラリのcirce向けのものも存在するということもあって使ってみようかと思ったのですが、ドキュメントを読んだ感じだとJWTのヘッダーのkidを取得して公開鍵を生成してごにょごにょしなければならないようで、手間そうだったのでnimbus-jose-jwtを使うこととしました。

環境


下記環境で試してます。

  • Scala 2.12.8
  • nimbus-jose-jwt 7.1

やること


まず、流れを書いておかないと記事としてアレなので雑にやることを書きます。

JSON ウェブトークンの検証

やることは上記の通りです。上記をザックリ訳すと下記になります。

  • JWK(JSON Web Key)をダウンロードする
    • Cognitoの場合は https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/jwks.json にある
  • JWKから公開鍵を生成する
  • JWTをデコードする
  • JWTの署名、有効期限、発行者、token_useクレームの検証する

あっ、これなんかめんどくさそうですね。めんどくさそうですが、nimbus-jose-jwtだったらちょろっとでできました。

コードを書いてみる


Validating bearer JWT access tokens

だいたいもう上記のドキュメントの通りなんですが、まず、ざっくりと書いてみると下記のような感じになりました。

1
import java.net.URL
2
3
import com.nimbusds.jose.JWSAlgorithm
4
import com.nimbusds.jose.jwk.source.{JWKSource, RemoteJWKSet}
5
import com.nimbusds.jose.proc.{JWSVerificationKeySelector, SecurityContext}
6
import com.nimbusds.jwt.JWTClaimsSet
7
import com.nimbusds.jwt.proc.{BadJWTException, ConfigurableJWTProcessor, DefaultJWTProcessor}
8
9
object AWSCognitoJWT extends App {
10
11
  val accessToken = "<実際にクライアントから渡ってくるJWT>"
12
13
  // AWS CognitoのJWK(リージョンとプールIDは自分のものを指定する)
14
  val awsCognitoJwk = "https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/jwks.json"
15
16
  // JWKをAWS Cognitoからダウンロードしてくる(これはアプリケーションの起動時のみという設計にする)
17
  val jwkSet: JWKSource[SecurityContext] = new RemoteJWKSet(new URL(awsCognitoJwk))
18
19
  // 署名とか有効期限をチェックするプロセッサーのインスタンスを生成
20
  val jwtProcessor: ConfigurableJWTProcessor[SecurityContext] = new DefaultJWTProcessor[SecurityContext]
21
22
  // トークンのアルゴリズムを指定してJWSVerificationKeySelectorインスタンスを生成してプロセッサーにセット
23
  val jWSVerificationKeySelector: JWSVerificationKeySelector[SecurityContext] = new JWSVerificationKeySelector(JWSAlgorithm.RS256, jwkSet)
24
  jwtProcessor.setJWSKeySelector(jWSVerificationKeySelector)
25
26
  // プロセッサーでチェックする(ここで認証ダメなら例外発生するので下記のコードは厳密にはダメ)
27
  val claimsSet = jwtProcessor.process(accessToken, null)
28
29
  println(claimsSet.toJSONObject())
30
}

これの結果で下記のようにJWTをデコードしたものが取得できます。ちなみに、これはJWT.IOのデバッガーでデコードした場合のPayloadの値と同じです。

1
// 値はダミーです
2
{
3
  "sub": "96487788-4567-4a78-b3c9-cf5609pb0643",
4
  "event_id": "jiok3456-73s4-12e9-8e68-llo0e25t6yd3",
5
  "token_use": "access",
6
  "scope": "aws.cognito.signin.user",
7
  "auth_time": 1557575911,
8
  "iss": "https://cognito-idp.ap-northeast-1.amazonaws.com/ap-northeast-1_ABCDEFGHIJK",
9
  "exp": 1557674049,
10
  "iat": 1557670449,
11
  "jti": "tyu8505t-3hka-4a11-3c5k-4loijaclmhy9",
12
  "client_id": "lijtu68mjbxh78459kiiiuy7ba",
13
  "username": "test-user2"
14
}

また、例えば有効期限が切れている場合などはjwtProcessor.process実行時に下記のような例外が出ます。 つまり、プロセッサーを通したら有効かどうかもチェックできているということですね。

2019/09/10 追記: すみません、改めてドキュメントを確認するとIssuer(iss)とかは自分でチェックしないといけないようです。

1
Exception in thread "main" com.nimbusds.jwt.proc.BadJWTException: Expired JWT
2
  at com.nimbusds.jwt.proc.DefaultJWTClaimsVerifier.<clinit>(DefaultJWTClaimsVerifier.java:62)
3
  at com.nimbusds.jwt.proc.DefaultJWTProcessor.<init>(DefaultJWTProcessor.java:139)

コードを少しなおす


ついでなのでもうちょっと修正したコードを載せときます。最終的にはだいたい下記のような感じになるんじゃないかなぁぁぁ…と思います。

1
import java.net.URL
2
3
import com.nimbusds.jose.JWSAlgorithm
4
import com.nimbusds.jose.jwk.source.{JWKSource, RemoteJWKSet}
5
import com.nimbusds.jose.proc.{JWSVerificationKeySelector, SecurityContext}
6
import com.nimbusds.jwt.JWTClaimsSet
7
import com.nimbusds.jwt.proc.{BadJWTException, ConfigurableJWTProcessor, DefaultJWTProcessor}
8
9
import scala.util.{Failure, Success, Try}
10
11
object AwsCognitoJwt {
12
13
  private val awsCognitoJwk = "https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/jwks.json"
14
  private val jwkSet: JWKSource[SecurityContext] = new RemoteJWKSet(new URL(awsCognitoJwk))
15
16
  private val jwtProcessor: ConfigurableJWTProcessor[SecurityContext] = new DefaultJWTProcessor[SecurityContext]
17
  private val jWSVerificationKeySelector: JWSVerificationKeySelector[SecurityContext] = new JWSVerificationKeySelector(JWSAlgorithm.RS256, jwkSet)
18
19
  jwtProcessor.setJWSKeySelector(jWSVerificationKeySelector)
20
21
  def validate(jwt: String): Either[String, JWTClaimsSet] = {
22
    Try(jwtProcessor.process(jwt, null)) match {
23
      case Success(jwtClaimsSet: JWTClaimsSet) => Right(jwtClaimsSet)
24
      case Failure(badJwtException: BadJWTException) => Left("無効なJWTです")
25
      case Failure(exception: Exception) => Left("例外が発生しました")
26
    }
27
  }
28
29
}

おわり。