flipp Feb 14 2020 at 14:57

Как подружить Telegram-бот с OpenId Connect

7 min

19K

Java * Information Security *

Tutorial

Comments 7

gsaw Feb 14 2020 at 16:48

Спасибо, как раз раздумывал, как сделать тоже самое.

диаграмма вроде понятна, но код я так и не понял. Особенно непонятно как реализуется «сервер авторизации перенаправляет пользователя на callback URL бота с указанием кода авторизации.». То есть страница с авторизацией открывается в самом клиенте телеграма, а потом после успешной авторизации бот получит какое то callback сообщение? Просто не увидел этого в коде. Руки если дойдут, то постараюсь попробовать. Еще раз спасибо

osmanpasha Feb 14 2020 at 17:50

Я так понимаю, бот должен быть ещё и веб-сервером. Сервер авторизации открывает страницу логина в броузере (встроенном в телеграм, наверное), оттуда перенаправляет на страницу веб-сервера бота, и из этого запроса бот получает необходимые данные.

flipp Feb 14 2020 at 18:20

Все верно. Бот имеет HTTP endpoint, который обрабатывает callback-запрос (AuthEndpoint в нашем случае).

flipp Feb 14 2020 at 18:15

Рад, что статья вам оказалась полезна! :)

То есть страница с авторизацией открывается в самом клиенте телеграма, а потом после успешной авторизации бот получит какое то callback сообщение?

Последовательность будет следующая:

Пользователь жмет на ссылку в сообщении.
Эта ссылка открывается в браузере и пользователь попадает на страницу логина сервера авторизации.
Пользователь заполняет форму логина и нажимает submit, браузер шлет запрос серверу авторизации.
Если пользователь ввел корректный логин-пароль, сервер авторизации отвечает браузеру статусом 302 с указанием адреса, куда нужно сделать редирект. Этот адрес — это как раз callback URL бота.
Браузер идет на callback URL.
В этот момент вызывается метод AuthEndpoint.auth бота, который, собственно, отвечает за обработку запросов, приходящих на на callback URL. В этом методе бот по коду, который есть в параметрах callback URL, запрашивает у сервера авторизации токены.

aol-nnov Feb 14 2020 at 16:56

Только auth flow тут не поток, а процедура...

А так — годное начинание )

flipp Feb 15 2020 at 10:02

Только auth flow тут не поток, а процедура...

Вы имеете в виду перевод? Я как раз на русском в основном встречал вариант "поток". А по смыслу да, "процедура" тоже вполне бы подошла.

S4sh4W4lk3r Oct 22 at 21:21

Отличная статья, идея гениальная. Использовать state поле для передачи telegramId пользователя очень ловко). Реализовывал данное решение на ASP.NET (C#).

Самостоятельно написал два метода, которые обращаются к Keycloak для получения токенов и сделал простое хранение refresh токенов в бд в с привязкой к telegramId и KeycloakGuid, а токен доступа и состояние пользователя храним в кэше.