Merge commit '3b735dd9330e0989f51a76771c3303031154154e' into 21158-wf-page-list
[arvados.git] / sdk / ruby-google-api-client / lib / google / api_client / auth / jwt_asserter.rb
1 # Copyright 2010 Google Inc.
2 #
3 # Licensed under the Apache License, Version 2.0 (the "License");
4 # you may not use this file except in compliance with the License.
5 # You may obtain a copy of the License at
6 #
7 #      http://www.apache.org/licenses/LICENSE-2.0
8 #
9 # Unless required by applicable law or agreed to in writing, software
10 # distributed under the License is distributed on an "AS IS" BASIS,
11 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
12 # See the License for the specific language governing permissions and
13 # limitations under the License.
14
15 require 'jwt'
16 require 'signet/oauth_2/client'
17 require 'delegate'
18
19 module Google
20   class APIClient
21     ##
22     # Generates access tokens using the JWT assertion profile. Requires a
23     # service account & access to the private key.
24     #
25     # @example Using Signet
26     #
27     #   key = Google::APIClient::KeyUtils.load_from_pkcs12('client.p12', 'notasecret')
28     #   client.authorization = Signet::OAuth2::Client.new(
29     #     :token_credential_uri => 'https://accounts.google.com/o/oauth2/token',
30     #     :audience => 'https://accounts.google.com/o/oauth2/token',
31     #     :scope => 'https://www.googleapis.com/auth/prediction',
32     #     :issuer => '123456-abcdef@developer.gserviceaccount.com',
33     #     :signing_key => key)
34     #   client.authorization.fetch_access_token!
35     #   client.execute(...)
36     #
37     # @deprecated
38     #  Service accounts are now supported directly in Signet
39     # @see https://developers.google.com/accounts/docs/OAuth2ServiceAccount
40     class JWTAsserter
41       # @return [String] ID/email of the issuing party
42       attr_accessor :issuer
43       # @return [Fixnum] How long, in seconds, the assertion is valid for
44       attr_accessor :expiry
45       # @return [Fixnum] Seconds to expand the issued at/expiry window to account for clock skew
46       attr_accessor :skew
47       # @return [String] Scopes to authorize
48       attr_reader :scope
49       # @return [String,OpenSSL::PKey] key for signing assertions
50       attr_writer :key
51       # @return [String] Algorithm used for signing
52       attr_accessor :algorithm
53       
54       ##
55       # Initializes the asserter for a service account.
56       #
57       # @param [String] issuer
58       #    Name/ID of the client issuing the assertion
59       # @param [String, Array] scope
60       #   Scopes to authorize. May be a space delimited string or array of strings
61       # @param [String,OpenSSL::PKey] key
62       #   Key for signing assertions
63       # @param [String] algorithm
64       #   Algorithm to use, either 'RS256' for RSA with SHA-256 
65       #   or 'HS256' for HMAC with SHA-256
66       def initialize(issuer, scope, key, algorithm = "RS256")
67         self.issuer = issuer
68         self.scope = scope
69         self.expiry = 60 # 1 min default 
70         self.skew = 60      
71         self.key = key
72         self.algorithm = algorithm
73       end
74
75       ##
76       # Set the scopes to authorize
77       #
78       # @param [String, Array] new_scope
79       #   Scopes to authorize. May be a space delimited string or array of strings
80       def scope=(new_scope)
81         case new_scope
82         when Array
83           @scope = new_scope.join(' ')
84         when String
85           @scope = new_scope
86         when nil
87           @scope = ''
88         else
89           raise TypeError, "Expected Array or String, got #{new_scope.class}"
90         end
91       end
92       
93       ##
94       # Request a new access token.
95       # 
96       # @param [String] person
97       #   Email address of a user, if requesting a token to act on their behalf
98       # @param [Hash] options
99       #   Pass through to Signet::OAuth2::Client.fetch_access_token
100       # @return [Signet::OAuth2::Client] Access token 
101       #
102       # @see Signet::OAuth2::Client.fetch_access_token!
103       def authorize(person = nil, options={})
104         authorization = self.to_authorization(person)
105         authorization.fetch_access_token!(options)
106         return authorization
107       end
108       
109       ##
110       # Builds a Signet OAuth2 client
111       #
112       # @return [Signet::OAuth2::Client] Access token 
113       def to_authorization(person = nil)
114         return Signet::OAuth2::Client.new(
115           :token_credential_uri => 'https://accounts.google.com/o/oauth2/token',
116           :audience => 'https://accounts.google.com/o/oauth2/token',
117           :scope => self.scope,
118           :issuer => @issuer,
119           :signing_key => @key,
120           :signing_algorithm => @algorithm,
121           :person => person
122         )
123       end      
124     end
125   end
126 end