Skip to Main Content

 

Auswahl  

Komplett Übersicht aller Oracle Tipps

OAUTH2 Authentifizierung mit ORDS 23.1.4 in APEX 23.1 

Oracle
APEX:REST
APEX 23.1
05.07.23 (MP)
14.08.24(MP)
OAUTH2, APEX, REST

Passende Schulungen zum Thema

Als wir auf die Oracle APEX 23.1 Version upgegraded haben, gingen plötzlich unsere REST Authentifizierungen mittels Basic Authent nicht mehr.

Also die richtige Zeit auf etwas neueres zu wechseln, und damit auf OAUTH2.

Vorbereitungen auf der Server Seite:

Wir erstellen einen Client, der sich dann am REST Webservice anmelden soll/darf.

BEGIN 
 OAUTH.create_client( 
    p_name           => 'ora_rest_client', 
    p_grant_type     => 'client_credentials', 
    p_owner          => 'MUSO_REST', 
    p_support_email  => 'info@muniqsoft-training.de', 
    p_privilege_names=> 'muso_rest_priv' ); 
COMMIT; 
END; 
/

Wir verbinden den Client mit der Rolle, die unser Modul schützt. (z.B. i
Hinweis: Wenn Sie es noch nicht erledigt haben, dann erstellen Sie sich bitte eine REST Rolle (z.B. in APEX unter SQL Workshop / Restful Services) und erzeugen zusätzlich ein Privileg, dass die Rolle mit den gewünschten Modulen Verbindet


BEGIN
 OAUTH.grant_client_role(
   p_client_name => 'ora_rest_client',
   p_role_name   => 'muso_role'
 );
COMMIT;
END;
/

Nun können Sie ermitteln, welche Client ID und welches Secret zur Verfügung gestellt werden. 

SELECT id, name, client_id, client_secret 
FROM user_ords_clients;
=> 1,ora_rest_client,YYY..,ZZZ..

oder etwas ausführlicher:

SELECT oc.id, oc.name, oc.client_id, oc.client_secret,ocr.role_name,ocp.name,oc.created_by
FROM user_ords_clients oc,user_ords_client_roles ocr,user_ords_client_privileges ocp
where oc.id=ocr.client_id(+)
and oc.id=ocp.client_priv_client_id;

Zwischenschritt: Wir testen, ob OAUTH2 uns ein Ticket zurückbringt (sonst sind vermutlich client_id oder client_secret nicht korrekt:

WITH FUNCTION oauth2 RETURN VARCHAR2 IS
BEGIN
apex_web_service.oauth_authenticate(
       p_token_url     => 'https://www.muniqsoft-training.de/ords/muso/oauth/token',
       p_client_id     => 'xx..',
       p_client_secret => 'yy..',
       p_wallet_path   => 'file:///opt/oracle/admin/FREE/https_wallet');
 RETURN apex_web_service.oauth_get_last_token;
END; 
SELECT oauth2 from dual;
=>J5C4eT6W8k0rkj5yeVwxg2

Wir hatten aber noch ein anderes Problem zu lösen: Unser Tomcat ist hinter einem httpd (Apache) Server als Reverse Proxy geschaltet.

Nur leider gibt per Default httpd an den TomCat die daten per http weiter, das mag aber oauth2 nicht. Obwohl wir in der pool.xml (ords config Ordner/database) den Wert 

<entry key="security.verifySSL">false</entry>


eingetragen hatten, bekamen wir trotzdem immer die Fehlermeldungen:

TomCat Logfile: java.lang.IllegalArgumentException: Invalid character found in method name [0x050x010x00...]. HTTP method names must be tokens.

Die Lösung bei uns war folgende Zeilen in die httpd.conf Datei einzutragen:

SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off
RequestHeader set Front-End-Https "On"
ProxyPreserveHost on
ProxyPass /ords https://127.0.0.1:8443/ords timeout=500
ProxyPassReverse /ords https://127.0.0.1.8443/ords

RequestHeader set X-Forwarded-Proto "https"
RequestHeader set X-Forwarded-Port "443"

Zusätzlich muss für den TomCat noch ein SSL Self Certificate erstellt werden!

Zurück zum Thema:
Die beiden Informationen (client_id + client_secret) setzen Sie bitte im nächsten Select ein.
Wenn der REST Service via SSL angesprochen wird (sehr zu empfehlen!!!!), dann brauchen Sie auch noch das Zertifikat vom Server, 
dass Sie dann in Ihr lokales Wallet einspielen müssen.
Das Wallet wird mit einem Passwort gesichert, dass hier im Parameter l_wallet_pwd angegeben werden kann. Auch der Pfad zum Wallet wird benötigt. 
Er sollte existieren und Oracle sollte wenigstens Leserechte auf dem Ordner besitzen

WITH FUNCTION get_rest (rest_path IN VARCHAR2) RETURN CLOB
IS
  l_wallet_path     VARCHAR2(255):='file:/opt/oracle/admin/XE/https_wallet';
  l_wallet_pwd      VARCHAR2(255):='XXX';
  l_client_id       VARCHAR2(255):='YYY..';
  l_client_secret   VARCHAR2(255):='ZZZ..';
  l_base_url        VARCHAR2(255):='https://www.muniqsoft-training.de/ords/oracle/muso_training/';
  l_clob    clob; 
WITH FUNCTION get_rest (rest_path IN VARCHAR2) RETURN CLOB
IS
  l_wallet_path     VARCHAR2(255):='file:/opt/oracle/admin/XE/https_wallet';
  l_wallet_pwd      VARCHAR2(255):='XXX';
  l_client_id       VARCHAR2(255):='YYY..';
  l_client_secret   VARCHAR2(255):='ZZZ..';
  l_base_url        VARCHAR2(255):='https://www.muniqsoft-training.de/ords/oracle/muso_training/';
  l_clob    clob; 
  
BEGIN
  -- Token holen
  apex_web_service.oauth_authenticate(
        p_token_url     => l_base_url||'oauth/token',
        p_client_id     => l_client_id,
        p_client_secret => l_client_secret,
        p_wallet_path   => l_wallet_path,
		p_wallet_pwd    => l_wallet_pwd );  
 
  -- Request Authorization header setzen
  apex_web_service.g_request_headers.delete();
  apex_web_service.g_request_headers(1).name  := 'Authorization';
  apex_web_service.g_request_headers(1).value := 'Bearer ' || apex_web_service.oauth_get_last_token;
  -- REst Request absetzen:
  l_clob := apex_web_service.make_rest_request (
                p_url         => l_base_url||rest_path, 
                p_http_method => 'GET',
				p_wallet_path => l_wallet_path,
				p_wallet_pwd  => l_wallet_pwd);
 
RETURN l_clob;
END; 
SELECT get_rest('/muso/getTabCount') FROM dual;