first commit

Author: thomasdesplaces

.gitignore

@@ -1,3 +1,4 @@
+target/
 # Logs
 logs
 *.log

README.md

@@ -1,2 +1,41 @@
-# apigee_get_oauth_gcp_token
-This repository demonstrate how to get a GCP OAuth Token without APIgee extension
+# APIGEE - SECURE GCP BACKEND WITH OAUTH OR IAP
+
+[![Apigee](https://upload.wikimedia.org/wikipedia/commons/a/aa/Apigee_logo.svg)](https://cloud.google.com/apigee)
+
+This is a code to deploy sharedflows which are used when your backend is secured by GCP OAuth (via Service Account) or IAP (via Service Account).
+
+## Prerequisite
+
+- A GCP Project with, for example, an App Engine.
+- A service Account with good rights to call your App Engine and it's JSON Key.
+- An Apigee account with an organization (free or paid).
+- [Maven](https://github.com/apigee/apigee-deploy-maven-plugin) or [apigeetools](https://github.com/apigee/apigeetool-node) install on your computer to deploy the sharedflow.
+- Maven install on local computer.
+
+### Installation
+
+- Create a new encrypted Key Value Map on your Apigee Organisation which name is _gcp-service-account-credentials_.
+- In this KVM, add a new key/value pair with a key name _credentials_ and for value the JSON Key value.
+- Update cache files with good timeout in seconds for each environment :
+    - [Dev](sharedflows/gcp-token-oauth/env/dev/caches.json)
+    - [Test](sharedflows/gcp-token-oauth/env/test/caches.json)
+    - [Prd](sharedflows/gcp-token-oauth/env/prd/caches.json)
+
+## Deploy
+
+This repository contain the maven configuration to deploy this sharedflow on 3 environments : dev, test or prd.
+
+How to use it :
+```
+cd gcp-token-oauth
+mvn install -P=dev -Dusername=XXXX -Dpassword=YYYY -Dorganization=ZZZZ
+```
+
+## Versions
+
+**Last version :** 1.0
+
+## Auteurs
+
+* **Thomas** _alias_ [@tonyglandyl](https://github.com/tonyglandyl28)
+

sharedflows/gcp-token-oauth/README.md

@@ -0,0 +1,38 @@
+# Sharedflow gcp-token
+
+## Description
+
+Ce sharedflow va permettre de demander un jeton OAuth à Google en fonction du service account qui lui ai passé en paramètre.
+[Documentation Google](https://developers.google.com/identity/protocols/oauth2/service-account)
+
+## Pré-requis
+Lors de l'utilisation de ce sharedflow dans un proxy il faut d'abord prévoir :
+
+- Un sevice account qui a les droit d'appeler une API sur GCP
+- Le JSON de ce service account
+- Créer une entrée dans le KVM chiffré *gcp-service-account-credentials* avec en clé le nom du projet et en valeur le contenu du JSON du service account
+- Créer dans le proxy une variable nommée *private.credentialsjson* dont la valeur est le contenu du JSON du service account
+
+## Fonctionnement
+
+Ce sharedflow exécute 4 policies d'affilées :
+- js.extract-credentials
+- gjwt.generate-JWT
+- sc.gcp-oauth
+- ev.extract-json
+
+### js.extract-credentials
+
+Cette policy permet d'extraire chaque paire clé/valeur de la variable *private.credentialsjson* (qui contient le contenu du JSON du service account).
+
+### gjwt.generate-JWT
+
+Cette policy utilise les informations récupérées pour générer un jeton JWT. Ce jeton est inscrit dans la variable *output_jwt*.
+
+### sc.gcp-oauth
+
+Cette policy demande à GCP la création d'un jeton OAuth à partir du jeton JWT généré précédemment. Ce jeton est inscrit dans la variable *callout-token*.
+
+### ev.extract-json
+
+Cette policy extrait le jeton OAuth renvoyé précédemment et crée une variable *google-credentials.access-token*.

sharedflows/gcp-token-oauth/env/dev/caches.json

@@ -0,0 +1,12 @@
+[
+    {
+      "name": "gcp-token-oauth-cache",
+      "description": "Cache For GCP OAuth SharedFlow",
+      "expirySettings": {
+          "timeoutInSec": {
+              "value": "10"
+          },
+          "valuesNull": false
+      }
+    }
+  ]

sharedflows/gcp-token-oauth/env/prd/caches.json

@@ -0,0 +1,12 @@
+[
+    {
+      "name": "gcp-token-oauth-cache",
+      "description": "Cache For GCP OAuth SharedFlow",
+      "expirySettings": {
+          "timeoutInSec": {
+              "value": "3500"
+          },
+          "valuesNull": false
+      }
+    }
+  ]

sharedflows/gcp-token-oauth/env/test/caches.json

@@ -0,0 +1,12 @@
+[
+    {
+      "name": "gcp-token-oauth-cache",
+      "description": "Cache For GCP OAuth SharedFlow",
+      "expirySettings": {
+          "timeoutInSec": {
+              "value": "60"
+          },
+          "valuesNull": false
+      }
+    }
+  ]

sharedflows/gcp-token-oauth/pom.xml

@@ -0,0 +1,16 @@
+<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
+         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
+    <parent>
+        <groupId>com.apigee.sharedflows</groupId>
+        <artifactId>apigee-sharedflow-parent</artifactId>
+        <version>1.0</version>
+        <relativePath>../sharedflow-shared-pom.xml</relativePath>
+    </parent>
+
+    <modelVersion>4.0.0</modelVersion>
+    <groupId>com.apigee.sharedflows</groupId>
+    <artifactId>apigee-sharedflow-gcp-token-oauth</artifactId>
+    <name>gcp-token-oauth</name>
+    <version>1.0</version>
+    <packaging>pom</packaging>
+</project>

sharedflows/gcp-token-oauth/sharedflowbundle/gcp-token-oauth.xml

@@ -0,0 +1,22 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<SharedFlowBundle revision="1" name="gcp-token-oauth">
+    <ConfigurationVersion majorVersion="4" minorVersion="0"/>
+    <Description>Shared flow permettant de récupérer un token OAuth2 pour appeler un backend GCP</Description>
+    <DisplayName>gcp-token-oauth</DisplayName>
+    <Policies>
+        <Policy>am.create-oauth-header</Policy>
+        <Policy>ev.extract-json</Policy>
+        <Policy>gjwt.generate-JWT</Policy>
+        <Policy>js.extract-credentials</Policy>
+        <Policy>kvm.gcp-service-account</Policy>
+        <Policy>lc.gcp-token</Policy>
+        <Policy>pc.gcp-token</Policy>
+        <Policy>sc.gcp-oauth</Policy>
+    </Policies>
+    <Resources/>
+    <Spec></Spec>
+    <subType>SharedFlow</subType>
+    <SharedFlows>
+        <SharedFlow>default</SharedFlow>
+    </SharedFlows>
+</SharedFlowBundle>

sharedflows/gcp-token-oauth/sharedflowbundle/policies/am.add-authorization.xml

@@ -0,0 +1,10 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<AssignMessage async="false" continueOnError="false" enabled="true" name="am.add-authorization">
+    <DisplayName>am.add-authorization</DisplayName>
+    <Add>
+        <Headers>
+            <Header name="Authorization">Bearer {google-credentials.access-token}</Header>
+        </Headers>
+    </Add>
+    <IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables>
+</AssignMessage>

sharedflows/gcp-token-oauth/sharedflowbundle/policies/ev.extract-json.xml

@@ -0,0 +1,11 @@
+<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
+<ExtractVariables async="false" continueOnError="false" enabled="true" name="ev.extract-json">
+    <DisplayName>ev.extract-json</DisplayName>
+    <JSONPayload>
+        <Variable name="access-token">
+            <JSONPath>$.access_token</JSONPath>
+        </Variable>
+    </JSONPayload>
+    <Source clearPayload="false">callout-token</Source>
+    <VariablePrefix>google-credentials</VariablePrefix>
+</ExtractVariables>