Als wir auf die Oracle APEX 23.1 Version upgegraded haben, gingen plötzlich unsere REST Authentifizierungen mittels Basic Authent nicht mehr.
Also die richtige Zeit auf etwas neueres zu wechseln, und damit auf OAUTH2.
Vorbereitungen auf der Server Seite:
Wir erstellen einen Client, der sich dann am REST Webservice anmelden soll/darf.
BEGIN
OAUTH.create_client(
p_name => 'ora_rest_client',
p_grant_type => 'client_credentials',
p_owner => 'MUSO_REST',
p_support_email => 'info@muniqsoft-training.de',
p_privilege_names=> 'muso_rest_priv' );
COMMIT;
END;
/
Wir verbinden den Client mit der Rolle, die unser Modul schützt. (z.B. i
Hinweis: Wenn Sie es noch nicht erledigt haben, dann erstellen Sie sich bitte eine REST Rolle (z.B. in APEX unter SQL Workshop / Restful Services) und erzeugen zusätzlich ein Privileg, dass die Rolle mit den gewünschten Modulen Verbindet
BEGIN
OAUTH.grant_client_role(
p_client_name => 'ora_rest_client',
p_role_name => 'muso_role'
);
COMMIT;
END;
/
Nun können Sie ermitteln, welche Client ID und welches Secret zur Verfügung gestellt werden.
SELECT id, name, client_id, client_secret
FROM user_ords_clients;
=> 1,ora_rest_client,YYY..,ZZZ..
oder etwas ausführlicher:
SELECT oc.id, oc.name, oc.client_id, oc.client_secret,ocr.role_name,ocp.name,oc.created_by
FROM user_ords_clients oc,user_ords_client_roles ocr,user_ords_client_privileges ocp
where oc.id=ocr.client_id(+)
and oc.id=ocp.client_priv_client_id;
Zwischenschritt: Wir testen, ob OAUTH2 uns ein Ticket zurückbringt (sonst sind vermutlich client_id oder client_secret nicht korrekt:
WITH FUNCTION oauth2 RETURN VARCHAR2 IS
BEGIN
apex_web_service.oauth_authenticate(
p_token_url => 'https://www.muniqsoft-training.de/ords/muso/oauth/token',
p_client_id => 'xx..',
p_client_secret => 'yy..',
p_wallet_path => 'file:///opt/oracle/admin/FREE/https_wallet');
RETURN apex_web_service.oauth_get_last_token;
END;
SELECT oauth2 from dual;
=>J5C4eT6W8k0rkj5yeVwxg2
Wir hatten aber noch ein anderes Problem zu lösen: Unser Tomcat ist hinter einem httpd (Apache) Server als Reverse Proxy geschaltet.
Nur leider gibt per Default httpd an den TomCat die daten per http weiter, das mag aber oauth2 nicht. Obwohl wir in der pool.xml (ords config Ordner/database) den Wert
<entry key="security.verifySSL">false</entry>
eingetragen hatten, bekamen wir trotzdem immer die Fehlermeldungen:
TomCat Logfile: java.lang.IllegalArgumentException: Invalid character found in method name [0x050x010x00...]. HTTP method names must be tokens.
Die Lösung bei uns war folgende Zeilen in die httpd.conf Datei einzutragen:
SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off
RequestHeader set Front-End-Https "On"
ProxyPreserveHost on
ProxyPass /ords https://127.0.0.1:8443/ords timeout=500
ProxyPassReverse /ords https://127.0.0.1.8443/ords
RequestHeader set X-Forwarded-Proto "https"
RequestHeader set X-Forwarded-Port "443"
Zusätzlich muss für den TomCat noch ein SSL Self Certificate erstellt werden!
Zurück zum Thema:
Die beiden Informationen (client_id + client_secret) setzen Sie bitte im nächsten Select ein.
Wenn der REST Service via SSL angesprochen wird (sehr zu empfehlen!!!!), dann brauchen Sie auch noch das Zertifikat vom Server,
dass Sie dann in Ihr lokales Wallet einspielen müssen.
Das Wallet wird mit einem Passwort gesichert, dass hier im Parameter l_wallet_pwd angegeben werden kann. Auch der Pfad zum Wallet wird benötigt.
Er sollte existieren und Oracle sollte wenigstens Leserechte auf dem Ordner besitzen
WITH FUNCTION get_rest (rest_path IN VARCHAR2) RETURN CLOB
IS
l_wallet_path VARCHAR2(255):='file:/opt/oracle/admin/XE/https_wallet';
l_wallet_pwd VARCHAR2(255):='XXX';
l_client_id VARCHAR2(255):='YYY..';
l_client_secret VARCHAR2(255):='ZZZ..';
l_base_url VARCHAR2(255):='https://www.muniqsoft-training.de/ords/oracle/muso_training/';
l_clob clob;
WITH FUNCTION get_rest (rest_path IN VARCHAR2) RETURN CLOB
IS
l_wallet_path VARCHAR2(255):='file:/opt/oracle/admin/XE/https_wallet';
l_wallet_pwd VARCHAR2(255):='XXX';
l_client_id VARCHAR2(255):='YYY..';
l_client_secret VARCHAR2(255):='ZZZ..';
l_base_url VARCHAR2(255):='https://www.muniqsoft-training.de/ords/oracle/muso_training/';
l_clob clob;
BEGIN
-- Token holen
apex_web_service.oauth_authenticate(
p_token_url => l_base_url||'oauth/token',
p_client_id => l_client_id,
p_client_secret => l_client_secret,
p_wallet_path => l_wallet_path,
p_wallet_pwd => l_wallet_pwd );
-- Request Authorization header setzen
apex_web_service.g_request_headers.delete();
apex_web_service.g_request_headers(1).name := 'Authorization';
apex_web_service.g_request_headers(1).value := 'Bearer ' || apex_web_service.oauth_get_last_token;
-- REst Request absetzen:
l_clob := apex_web_service.make_rest_request (
p_url => l_base_url||rest_path,
p_http_method => 'GET',
p_wallet_path => l_wallet_path,
p_wallet_pwd => l_wallet_pwd);
RETURN l_clob;
END;
SELECT get_rest('/muso/getTabCount') FROM dual;