Phase B: Keycloak OIDC (PKCE) statt Cookie-Session-Login
App-Code: - KeycloakOidcTokenProvider: PKCE-Login via flutter_appauth, Refresh via Refresh-Token aus flutter_secure_storage, Session-Restore beim App-Start, Logout. - AuthSessionEvent als Provider→Bloc-Brücke (LoggedIn/LoggedOut/ SessionExpired) auf einem Broadcast-Stream. - AuthBloc komplett umgebaut: nimmt jetzt den KeycloakOidcTokenProvider statt UserInfoService, mappt eingehende Provider-Events auf eigene Zustände. Authenticated.fromClaims() liest personalnummer + Name aus dem ID-Token-Payload. - LoginPage: kein Browser+Deep-Link mehr — Button feuert LoginRequested, der Provider übernimmt den restlichen Flow. - network_locator: produktiver KeycloakOidcTokenProvider, doppelt registriert (KeycloakOidcTokenProvider für AuthBloc, AuthTokenProvider für Interceptor). - Auth-State trägt zusätzlich personalnummer/displayName/email; das Legacy-User-Objekt + sessionId bleiben temporär drin, damit die alten ERPframe-Services (Phase D) noch kompilieren. Plattform-Setup: - Android: appAuthRedirectScheme=holzleitner in build.gradle.kts, NetworkSecurityConfig erlaubt HTTP zu localhost/10.0.2.2/127.0.0.1. - iOS: holzleitner als URL-Scheme im Info.plist, ATS-Ausnahme für localhost (HTTP-Keycloak im Dev-Setup). Out of scope: - Keine echte App-Run-Smoke — kommt mit dem User-Test. - iOS-pod-install läuft beim ersten 'flutter run ios' automatisch. - Old ERPframe-Services bleiben aktiv und werfen ab jetzt 401 (kein Cookie-Session-Token mehr) — wird in Phase D entfernt.
This commit is contained in:
236
lib/data/network/keycloak_oidc_token_provider.dart
Normal file
236
lib/data/network/keycloak_oidc_token_provider.dart
Normal file
@ -0,0 +1,236 @@
|
||||
import 'dart:async';
|
||||
import 'dart:convert';
|
||||
|
||||
import 'package:flutter_appauth/flutter_appauth.dart';
|
||||
import 'package:flutter_secure_storage/flutter_secure_storage.dart';
|
||||
|
||||
import 'auth_session_event.dart';
|
||||
import 'auth_token_provider.dart';
|
||||
import 'backend_config.dart';
|
||||
|
||||
/// OIDC-Token-Provider gegen Keycloak (PKCE Authorization Code Flow).
|
||||
///
|
||||
/// Verantwortlich für:
|
||||
/// * **Login** über `flutter_appauth` (Browser-Tab → Keycloak →
|
||||
/// RedirectURI `holzleitner://oauth2redirect`).
|
||||
/// * **Token-Refresh** mit dem persistierten Refresh-Token.
|
||||
/// * **Session-Restore** beim App-Start (Refresh-Token aus Secure
|
||||
/// Storage einlesen + sofortigen Refresh anstoßen).
|
||||
/// * **Logout**: lokale Token droppen + Secure Storage säubern.
|
||||
///
|
||||
/// Access-Token und ID-Token-Claims liegen im Speicher (flüchtig),
|
||||
/// der Refresh-Token wird in der Plattform-Secure-Storage abgelegt
|
||||
/// (Keychain / EncryptedSharedPreferences).
|
||||
///
|
||||
/// Events werden über [events] gebroadcastet — der AuthBloc abonniert
|
||||
/// und reagiert. Diese Indirektion vermeidet eine Abhängigkeit auf die
|
||||
/// Bloc-Schicht.
|
||||
class KeycloakOidcTokenProvider implements AuthTokenProvider {
|
||||
KeycloakOidcTokenProvider({
|
||||
required BackendConfig config,
|
||||
required this.issuerUrl,
|
||||
required this.redirectUrl,
|
||||
FlutterAppAuth? appAuth,
|
||||
FlutterSecureStorage? storage,
|
||||
}) : _config = config,
|
||||
_appAuth = appAuth ?? const FlutterAppAuth(),
|
||||
_storage = storage ?? const FlutterSecureStorage();
|
||||
|
||||
final BackendConfig _config;
|
||||
final FlutterAppAuth _appAuth;
|
||||
final FlutterSecureStorage _storage;
|
||||
|
||||
/// Vollständige Issuer-URL ohne `/.well-known/...`-Suffix.
|
||||
/// Beispiel: `http://localhost:8080/realms/holzleitner`.
|
||||
final String issuerUrl;
|
||||
|
||||
/// Redirect-URI, die im Keycloak-Client erlaubt ist und auf das
|
||||
/// Custom-Scheme der App matcht. Beispiel:
|
||||
/// `holzleitner://oauth2redirect`.
|
||||
final String redirectUrl;
|
||||
|
||||
String? _accessToken;
|
||||
DateTime? _expiresAt;
|
||||
String? _refreshToken;
|
||||
Map<String, dynamic>? _idTokenClaims;
|
||||
|
||||
final StreamController<AuthSessionEvent> _events =
|
||||
StreamController<AuthSessionEvent>.broadcast();
|
||||
|
||||
/// Stream der Auth-Events. Wird vom AuthBloc abonniert.
|
||||
Stream<AuthSessionEvent> get events => _events.stream;
|
||||
|
||||
/// Discovery-URL für `flutter_appauth` — wird intern auch geprüft,
|
||||
/// bevor PKCE losläuft.
|
||||
String get _discoveryUrl => '$issuerUrl/.well-known/openid-configuration';
|
||||
|
||||
/// ID-Token-Claims der aktuellen Session, oder `null` wenn nicht
|
||||
/// angemeldet.
|
||||
Map<String, dynamic>? get idTokenClaims => _idTokenClaims;
|
||||
|
||||
bool get isAuthenticated => _accessToken != null;
|
||||
|
||||
/// Triggert den PKCE-Login-Flow. Wirft, wenn der User abbricht oder
|
||||
/// Keycloak einen Fehler liefert.
|
||||
Future<void> login() async {
|
||||
final result = await _appAuth.authorizeAndExchangeCode(
|
||||
AuthorizationTokenRequest(
|
||||
_config.keycloakClientId,
|
||||
redirectUrl,
|
||||
discoveryUrl: _discoveryUrl,
|
||||
scopes: const ['openid', 'profile'],
|
||||
// Lokales Dev-Setup hat HTTP-Keycloak — der Default-iOS-Browser
|
||||
// würde sonst abbrechen. In Produktion (HTTPS) ist das ein
|
||||
// No-Op und kann bleiben.
|
||||
allowInsecureConnections: true,
|
||||
),
|
||||
);
|
||||
|
||||
_applyTokens(
|
||||
accessToken: result.accessToken,
|
||||
refreshToken: result.refreshToken,
|
||||
idToken: result.idToken,
|
||||
expiresAt: result.accessTokenExpirationDateTime,
|
||||
);
|
||||
await _persistRefreshToken();
|
||||
|
||||
_events.add(AuthLoggedIn(_idTokenClaims ?? const <String, dynamic>{}));
|
||||
}
|
||||
|
||||
/// Versucht, eine vorhandene Session aus der Secure Storage zu
|
||||
/// reaktivieren. Liefert `true`, wenn anschließend ein gültiger
|
||||
/// Access-Token verfügbar ist.
|
||||
Future<bool> restoreSession() async {
|
||||
final stored = await _storage.read(key: _refreshTokenStorageKey);
|
||||
if (stored == null || stored.isEmpty) return false;
|
||||
_refreshToken = stored;
|
||||
|
||||
final token = await currentAccessToken();
|
||||
if (token == null) return false;
|
||||
|
||||
_events.add(AuthLoggedIn(_idTokenClaims ?? const <String, dynamic>{}));
|
||||
return true;
|
||||
}
|
||||
|
||||
/// Bricht die Session ab — droppt alle Tokens lokal. Ein
|
||||
/// serverseitiges `endSession` (Keycloak Single-Logout) machen wir
|
||||
/// bewusst nicht: der Refresh-Token läuft beim Server normal aus,
|
||||
/// und der ID-Token-Hint würde uns zwingen, den rohen ID-Token mit
|
||||
/// in der Session zu halten.
|
||||
Future<void> logout() async {
|
||||
_clearSession();
|
||||
await _storage.delete(key: _refreshTokenStorageKey);
|
||||
_events.add(const AuthLoggedOut());
|
||||
}
|
||||
|
||||
@override
|
||||
Future<String?> currentAccessToken() async {
|
||||
final cached = _accessToken;
|
||||
final expiresAt = _expiresAt;
|
||||
final now = DateTime.now().toUtc();
|
||||
|
||||
// Schwellwert 30 s: Pufferzeit gegen Clock-Drift und
|
||||
// mid-flight-Expiry.
|
||||
if (cached != null &&
|
||||
expiresAt != null &&
|
||||
expiresAt.isAfter(now.add(const Duration(seconds: 30)))) {
|
||||
return cached;
|
||||
}
|
||||
|
||||
final rt = _refreshToken;
|
||||
if (rt == null) return null;
|
||||
|
||||
try {
|
||||
final result = await _appAuth.token(
|
||||
TokenRequest(
|
||||
_config.keycloakClientId,
|
||||
redirectUrl,
|
||||
discoveryUrl: _discoveryUrl,
|
||||
refreshToken: rt,
|
||||
scopes: const ['openid', 'profile'],
|
||||
allowInsecureConnections: true,
|
||||
),
|
||||
);
|
||||
_applyTokens(
|
||||
accessToken: result.accessToken,
|
||||
refreshToken: result.refreshToken ?? rt,
|
||||
idToken: result.idToken,
|
||||
expiresAt: result.accessTokenExpirationDateTime,
|
||||
);
|
||||
await _persistRefreshToken();
|
||||
return _accessToken;
|
||||
} on Exception {
|
||||
// Refresh hat nicht funktioniert — Session ist tot, nicht
|
||||
// wiederherstellbar. Aufrufer kriegen null zurück, AuthBloc
|
||||
// bekommt SessionExpired.
|
||||
_clearSession();
|
||||
await _storage.delete(key: _refreshTokenStorageKey);
|
||||
_events.add(const AuthSessionExpired());
|
||||
return null;
|
||||
}
|
||||
}
|
||||
|
||||
void _applyTokens({
|
||||
required String? accessToken,
|
||||
required String? refreshToken,
|
||||
required String? idToken,
|
||||
required DateTime? expiresAt,
|
||||
}) {
|
||||
_accessToken = accessToken;
|
||||
_refreshToken = refreshToken;
|
||||
_expiresAt = expiresAt?.toUtc();
|
||||
if (idToken != null) {
|
||||
_idTokenClaims = _decodeJwtPayload(idToken);
|
||||
}
|
||||
}
|
||||
|
||||
Future<void> _persistRefreshToken() async {
|
||||
final rt = _refreshToken;
|
||||
if (rt == null) return;
|
||||
await _storage.write(key: _refreshTokenStorageKey, value: rt);
|
||||
}
|
||||
|
||||
void _clearSession() {
|
||||
_accessToken = null;
|
||||
_expiresAt = null;
|
||||
_refreshToken = null;
|
||||
_idTokenClaims = null;
|
||||
}
|
||||
|
||||
/// Dispose-Hook für Tests / Hot-Restarts.
|
||||
Future<void> dispose() async {
|
||||
await _events.close();
|
||||
}
|
||||
|
||||
static const String _refreshTokenStorageKey =
|
||||
'holzleitner_keycloak_refresh_token';
|
||||
|
||||
/// Dekodiert das Payload-Segment eines JWT. Wirft bei strukturellen
|
||||
/// Auffälligkeiten — Signatur wird **nicht** geprüft (das macht der
|
||||
/// Server bei jedem Request neu).
|
||||
static Map<String, dynamic> _decodeJwtPayload(String token) {
|
||||
final parts = token.split('.');
|
||||
if (parts.length != 3) {
|
||||
throw FormatException('Token-Format unerwartet: ${parts.length} Teile');
|
||||
}
|
||||
String payload = parts[1];
|
||||
// base64url ohne Padding → wieder padden, sonst wirft base64Url.decode.
|
||||
switch (payload.length % 4) {
|
||||
case 0:
|
||||
break;
|
||||
case 2:
|
||||
payload += '==';
|
||||
case 3:
|
||||
payload += '=';
|
||||
default:
|
||||
throw const FormatException('Token-Payload hat ungültige Länge');
|
||||
}
|
||||
final bytes = base64Url.decode(payload);
|
||||
final json = utf8.decode(bytes);
|
||||
final decoded = jsonDecode(json);
|
||||
if (decoded is! Map<String, dynamic>) {
|
||||
throw const FormatException('Token-Payload ist kein JSON-Objekt');
|
||||
}
|
||||
return decoded;
|
||||
}
|
||||
}
|
||||
Reference in New Issue
Block a user