Fix #799 Add OpenID Connect document (#805)

seratch · web-flow · commit fbed1a4d1630 · 2021-08-13T19:24:37.000+09:00
* Fix #799 Add OpenID Connect document * Update the OpenID Connect document
diff --git a/docs/_includes/sidebar-ja.md b/docs/_includes/sidebar-ja.md
@@ -22,6 +22,7 @@
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/ja/events-api">イベント API</a></li>
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/ja/steps-from-apps">ワークフローステップ</a></li>
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/ja/app-distribution">アプリの配布 (OAuth)</a></li>
+      <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/ja/sign-in-with-slack">Slack でログインする</a></li>
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/ja/supported-web-frameworks">対応 Web フレームワーク</a></li>
     </ul>
   </li>
diff --git a/docs/_includes/sidebar.md b/docs/_includes/sidebar.md
@@ -22,6 +22,7 @@
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/events-api">Events API</a></li>
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/steps-from-apps">Workflow Steps</a></li>
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/app-distribution">App Distribution (OAuth)</a></li>
+      <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/sign-in-with-slack">Sign in with Slack</a></li>
       <li class="toctree-l2"><a href="{{ site.url | append: site.baseurl }}/guides/supported-web-frameworks">Supported Web Frameworks</a></li>
     </ul>
   </li>
diff --git a/docs/guides/app-distribution.md b/docs/guides/app-distribution.md
@@ -71,7 +71,7 @@ Technically, it's possible to use a single **App** for both Slack API requests a
 
 ### Slack Config for Distributing Your Slack App
 
-Here is the list of the necessary configurations for distributing apps built with Bolt. If you prefer using other env variable names or other solutions to load this information, implement your own way to load **SlackConfig** instead.
+Here is the list of the necessary configurations for distributing apps built with Bolt. If you prefer using other env variable names or other solutions to load this information, implement your own way to load **AppConfig** instead.
 
 |Env Variable Name|Description (Where to find the value)|
 |-|-|
@@ -147,6 +147,8 @@ SlackAppServer server = new SlackAppServer(Map.of(
 server.start(); // http://localhost:3000
 ```
 
+If you want to turn [the token rotation feature](https://api.slack.com/authentication/rotation) on, your `InstallationService` should be compatible with it. Refer to the [v1.9.0 release notes](https://github.com/slackapi/java-slack-sdk/releases/tag/v1.9.0) for more details.
+
 ### Granular Permission Apps or Classic Apps
 
 Slack has two types of OAuth flows for Slack app installations. The V2 (this is a bit confusing but it's not the version of OAuth spec, but the version of the Slack OAuth flow) OAuth flow enables Slack apps to request more granular permissions than the classic ones, especially for bot users. The differences between the two types are having `v2` in the endpoint to issue access tokens and the OAuth Authorization URL, plus some changes to the response data structure returned by the `oauth(.v2).access` endpoint.
diff --git a/docs/guides/ja/app-distribution.md b/docs/guides/ja/app-distribution.md
@@ -70,7 +70,7 @@ server.start(); // http://localhost:3000
 
 ### 配布可能な Slack アプリのための設定
 
-以下は配布可能なアプリのための設定項目の一覧です。もしこれら以外の環境変数名や、別の読み込みの仕組みを使いたい場合は、自前で **SlackConfig** を初期化する実装を行ってください。
+以下は配布可能なアプリのための設定項目の一覧です。もしこれら以外の環境変数名や、別の読み込みの仕組みを使いたい場合は、自前で **AppConfig** を初期化する実装を行ってください。
 
 |環境変数名|説明 (値を見つけられる場所)|
 |-|-|
@@ -80,7 +80,7 @@ server.start(); // http://localhost:3000
 |**SLACK_REDIRECT_URI**|**OAUth 2.0 Redirect URI** (**Features** > **OAuth & Permissions** > **Redirect URLs**)|
 |**SLACK_SCOPES**|**カンマ区切りの bot scope リスト**: `scope` パラメーターは `https://slack.com/oauth/authorize` や `https://slack.com/oauth/v2/authorize` にクエリパラメーターとして付加されます (**Settings** > **Manage Distribution** > **Sharable URL** から `scope` の値を取得)|
 |**SLACK_USER_SCOPES** (v2 のみ)|**カンマ区切りの user scope リスト**: `user_scope` パラメーターは `https://slack.com/oauth/v2/authorize` にクエリパラメーターとして付加されます (**Settings** > **Manage Distribution** > **Sharable URL**, から `user_scope` の値を取得)|
-|**SLACK_INSTALL_PATH**|**OAuth フローの開始点**: このエンドポイントはユーザーを `client_id`, `scope`, `user_scope` (v2 のみ), and `state` とともに Slack の Authorize エンドポイントにリダイレクトします。推奨するパスは `/slack/oauth/start` ですが、どのようなパスでも構いません。|
+|**SLACK_INSTALL_PATH**|**OAuth フローの開始点**: このエンドポイントはユーザーを `client_id`, `scope`, `user_scope` (v2 のみ), `state` とともに Slack の Authorize エンドポイントにリダイレクトします。推奨するパスは `/slack/oauth/start` ですが、どのようなパスでも構いません。|
 |**SLACK_REDIRECT_URI_PATH**|**OAuth Redirect URI**: このエンドポイントは Slack の OAuth 許可確認画面からの callback リクエストを処理します。このパスは **SLACK_REDIRECT_URI** の値と整合している必要があります。推奨のパスは `/slack/oauth/callback` ですが、どのようなパスでも構いません。|
 |**SLACK_OAUTH_COMPLETION_URL**|**Installation Completion URL**: インストール完了画面の URL を指定します。どんな URL でも構いません。|
 |**SLACK_OAUTH_CANCELLATION_URL**|**Installation Cancellation/Error URL**: キャンセルやエラーが発生したときの遷移先 URL を指定します。どんな URL でも構いません。|
@@ -146,6 +146,8 @@ SlackAppServer server = new SlackAppServer(Map.of(
 server.start(); // http://localhost:3000
 ```
 
+もし[トークンローテーション](https://api.slack.com/authentication/rotation)を有効にしたいという場合は、あなたの `InstallationService` がトークンローテーション互換である必要があります。詳細は [v1.9.0 のリリースノート（英語）](https://github.com/slackapi/java-slack-sdk/releases/tag/v1.9.0)を参考にしてください。
+
 ### Granular Permission Apps と Classic Apps
 
 Slack アプリインストールには、二つの OAuth フローがあります。V2（ちょっと紛らわしいですが OAuth のバージョンではなく Slack OAuth フローのバージョンです）の OAuth フローでの Slack アプリは（特にボットユーザーの権限に関して）旧来に比べてより詳細な必要最小限の権限だけをリクエストできるようになりました。二つのやり方の違いは `v2` を Authorization URL やトークンを発行する API メソッドの URL に含んでいることと、API レスポンスのデータ構造に若干の変更が加わっていることです。
diff --git a/docs/guides/ja/sign-in-with-slack.md b/docs/guides/ja/sign-in-with-slack.md
@@ -0,0 +1,146 @@
+---
+layout: ja
+title: "Slack でログインする (OpenID Connect)"
+lang: ja
+---
+
+# Slack でログインする (OpenID Connect)
+
+[Slack でログインする (Sign in with Slack)](https://api.slack.com/authentication/sign-in-with-slack)という機能は、ユーザーが Slack アカウントを使って他のサービスにログインすることに役立ちます。このプラットフォーム機能は、標準の [OpenID Connect](https://openid.net/connect/) の仕様と互換性を持つように最近アップグレードされました。Bolt for Java の 1.10 以上のバージョンであれば、この認証フローを非常に簡単に実装することができます。
+
+### Slack アプリの設定
+
+新しい Slack アプリをつくるときに、以下のユーザースコープを設定してください：
+
+```yaml
+oauth_config:
+  redirect_urls:
+    - https://example.com/replace-this-with-your-own-redirect-uri
+  scopes:
+    user:
+      - openid   # 必須
+      - email    # オプショナル
+      - profile  # オプショナル
+```
+
+
+### OpenID Connect アプリのための設定
+
+以下は OpenID Connect 互換のアプリのための設定項目の一覧です。もしこれら以外の環境変数名や、別の読み込みの仕組みを使いたい場合は、自前で **AppConfig** を初期化する実装を行ってください。
+
+|環境変数名|説明 (値を見つけられる場所)|
+|-|-|
+|**SLACK_CLIENT_ID**|**Client ID** (Find at **Settings** > **Basic Information** > **App Credentials**)|
+|**SLACK_CLIENT_SECRET**|**Client Secret** (Find at **Settings** > **Basic Information** > **App Credentials**)|
+|**SLACK_REDIRECT_URI**|**Redirect URI** (Configure at **Features** > **OAuth & Permissions** > **Redirect URLs**)|
+|**SLACK_USER_SCOPES**|**カンマ区切りの user scope リスト**: `scope` パラメーターは `https://slack.com/openid/connect/authorize` にクエリパラメーターとして付加されます。可能な値は `openid`, `email`, `profile` です。|
+|**SLACK_INSTALL_PATH**|**OpenID Connect フローの開始点**: このエンドポイントはユーザーを `client_id`, `scope`, `state`, `nonce` (オプショナル) のクエリパラメーターとともに Slack の OpenID Connect エンドポイントにリダイレクトします。|
+|**SLACK_REDIRECT_URI_PATH**|**OpenID Connect Redirect URI**: このエンドポイントは Slack の OAuth 許可確認画面からの callback リクエストを処理します。このパスは **SLACK_REDIRECT_URI** の値と整合している必要があります。|
+
+### コード例
+
+どのようにエンドユーザーの OpenID Connect のフローをハンドリングするかを知るには、[Servlet アプリの例](https://github.com/slackapi/java-slack-sdk/blob/main/bolt-servlet/src/test/java/samples/OpenIDConnectSample.java)を参考にしてみてください。
+
+```java
+import java.util.*;
+
+// implementation 'com.slack.api:bolt-jetty:{the latest version}'
+import com.slack.api.Slack;
+import com.slack.api.bolt.App;
+import com.slack.api.bolt.jetty.SlackAppServer;
+
+// id_token の JWT の値をでコードしたい場合は、以下の外部ライブラリを使う：
+// implementation 'com.auth0:java-jwt:{the latest version}'
+import com.auth0.jwt.JWT;
+import com.auth0.jwt.interfaces.Claim;
+import com.auth0.jwt.interfaces.DecodedJWT;
+
+// 以下の環境変数が設定されていることが前提：
+// SLACK_CLIENT_ID, SLACK_CLIENT_SECRET, SLACK_REDIRECT_URI, SLACK_USER_SCOPES
+App app = new App().asOpenIDConnectApp(true);
+
+// このコールバック関数で OpenID Connect の code authorization フローをハンドリングできる
+app.openIDConnectSuccess((req, resp, token) -> {
+  var logger = req.getContext().getLogger();
+  
+  // TODO: 渡された "token" レスポンス (openid.connect.token API 応答) を保存
+
+  // openid.connect.token レスポンスの id_token をデコード
+  DecodedJWT decoded = JWT.decode(token.getIdToken());
+  Map<String, Claim> claims = decoded.getClaims();
+  logger.info("claims: {}", claims);
+
+  var teamId = claims.get("https://slack.com/team_id").asString();
+
+  // 取得したアクセストークンで openid.connect.userInfo API を呼び出す実装例
+  var client = Slack.getInstance().methods();
+  try {
+    var userInfo = client.openIDConnectUserInfo(r -> r.token(token.getAccessToken()));
+    logger.info("userInfo: {}", userInfo);
+
+  } catch (Exception e) {
+    throw new RuntimeException(e);
+  }
+
+  // エンドユーザーにWebページを表示（または、他のサービスとの OAuth フローに続けるなどどこかにリダイレクトしてもよい）
+  var html = app.config().getOAuthRedirectUriPageRenderer().renderSuccessPage(
+    null, req.getContext().getOauthCompletionUrl());
+  resp.setBody(html);
+  resp.setContentType("text/html; charset=utf-8");
+  return resp;
+});
+
+Map<String, App> apps = new HashMap<>();
+apps.put("/slack/", app);
+SlackAppServer server = new SlackAppServer(apps);
+server.start();
+```
+
+もし、[トークンローテーション（英語）](https://api.slack.com/authentication/rotation)の機能も同時に有効にする場合、コードは以下のようになるでしょう：
+
+```java
+// このコールバック関数で OpenID Connect の code authorization フローをハンドリングできる
+app.openIDConnectSuccess((req, resp, token) -> {
+  var logger = req.getContext().getLogger();
+
+  // TODO: 渡された "token" レスポンス (openid.connect.token API 応答) を保存
+
+  // openid.connect.token レスポンスの id_token をデコード  
+  DecodedJWT decoded = JWT.decode(token.getIdToken());
+  Map<String, Claim> claims = decoded.getClaims();
+  logger.info("claims: {}", claims);
+
+  var teamId = claims.get("https://slack.com/team_id").asString();
+
+  // 取得したアクセストークンで openid.connect.userInfo API を呼び出す実装例
+  var client = Slack.getInstance().methods();
+  try {
+    if (token.getRefreshToken() != null) {
+      // はじめてのトークンローテーションをするコード例
+      var refreshedToken = client.openIDConnectToken(r -> r
+          .clientId(config.getClientId())
+          .clientSecret(config.getClientSecret())
+          .grantType("refresh_token")
+          .refreshToken(token.getRefreshToken())
+      );
+
+      var teamIdWiredClient = Slack.getInstance().methods(refreshedToken.getAccessToken(), teamId);
+      var userInfo = teamIdWiredClient.openIDConnectUserInfo(r -> r.token(refreshedToken.getAccessToken()));
+      logger.info("userInfo: {}", userInfo);
+
+    } else {
+      throw new RuntimeException("Unexpectedly refresh token is absent");
+    }
+
+  } catch (Exception e) {
+    throw new RuntimeException(e);
+  }
+
+  // エンドユーザーにWebページを表示（または、他のサービスとの OAuth フローに続けるなどどこかにリダイレクトしてもよい）
+  var html = app.config().getOAuthRedirectUriPageRenderer().renderSuccessPage(
+    null, req.getContext().getOauthCompletionUrl());
+  resp.setBody(html);
+  resp.setContentType("text/html; charset=utf-8");
+  return resp;
+});
+```
diff --git a/docs/guides/sign-in-with-slack.md b/docs/guides/sign-in-with-slack.md
