mocode-software/meldestelle
1
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases Wiki Activity

refactoring:

Browse Source 
Gateway-Profile und Tests wurden geprüft, keine /api/auth/**-Routen gefunden. Projektweite Suche ergab keine buildkritischen Referenzen. Alle Tests und der Build liefen erfolgreich ohne notwendige Codeänderungen.

Die Lösung zentralisierte die Frontend-Konfiguration durch Hinzufügen von AppConfig mit umgebungsspezifischen URLs. Die Clients wurden so umstrukturiert, dass sie AppConfig-Werte anstelle von fest codierten URLs verwenden. Alle Gateway-Tests wurden erfolgreich abgeschlossen und das Projekt konnte ohne schwerwiegende Fehler kompiliert werden.
This commit is contained in:
Stefan Mogeritsch
2025-11-24 21:03:32 +01:00
parent 2935190fcd
commit d11ee48fde
29 changed files with 830 additions and 1924 deletions
Download Patch File Download Diff File Expand all files Collapse all files
clients/auth-feature/build.gradle.kts
+3
View File
@@ -41,6 +41,9 @@ kotlin {
// UI Kit
implementation(project(":clients:shared:common-ui"))
// Shared Konfig & Utilities (AppConfig + BuildConfig)
implementation(project(":clients:shared"))
// Compose dependencies
implementation(compose.runtime)
implementation(compose.foundation)
clients/auth-feature/src/commonMain/kotlin/at/mocode/clients/authfeature/AuthApiClient.kt
+69 -18
View File
@@ -1,8 +1,11 @@
package at.mocode.clients.authfeature
import at.mocode.clients.shared.AppConfig
import io.ktor.client.call.*
import io.ktor.client.request.*
import io.ktor.client.request.forms.*
import io.ktor.http.*
import io.ktor.http.content.*
import kotlinx.serialization.Serializable
/**
@@ -27,7 +30,14 @@ data class LoginResponse(
* HTTP client for authentication API calls
*/
class AuthApiClient(
private val baseUrl: String = "http://localhost:8081"
// Keycloak Basis-URL (z. B. http://localhost:8180)
private val keycloakBaseUrl: String = AppConfig.KEYCLOAK_URL,
// Realm-Name in Keycloak
private val realm: String = AppConfig.KEYCLOAK_REALM,
// Client-ID (Public Client empfohlen für Frontend-Flows)
private val clientId: String = AppConfig.KEYCLOAK_CLIENT_ID,
// Optional: Client-Secret (nur bei vertraulichen Clients erforderlich)
private val clientSecret: String? = null
) {
private val client = AuthenticatedHttpClient.createUnauthenticated()
@@ -35,14 +45,33 @@ class AuthApiClient(
* Authenticate user with username and password
*/
suspend fun login(username: String, password: String): LoginResponse {
val tokenEndpoint = "$keycloakBaseUrl/realms/$realm/protocol/openid-connect/token"
return try {
val response = client.post("$baseUrl/api/auth/login") {
contentType(ContentType.Application.Json)
setBody(LoginRequest(username = username, password = password))
val response = client.submitForm(
url = tokenEndpoint,
formParameters = Parameters.build {
append("grant_type", "password")
append("client_id", clientId)
if (!clientSecret.isNullOrBlank()) {
append("client_secret", clientSecret)
}
append("username", username)
append("password", password)
}
) {
// Explicit: URL-encoded Form
contentType(ContentType.Application.FormUrlEncoded)
}
if (response.status.isSuccess()) {
response.body<LoginResponse>()
val kc = response.body<KeycloakTokenResponse>()
LoginResponse(
success = true,
token = kc.access_token,
message = null,
userId = null,
username = username
)
} else {
LoginResponse(
success = false,
@@ -60,15 +89,30 @@ class AuthApiClient(
/**
* Refresh authentication token
*/
suspend fun refreshToken(token: String): LoginResponse {
suspend fun refreshToken(refreshToken: String): LoginResponse {
val tokenEndpoint = "$keycloakBaseUrl/realms/$realm/protocol/openid-connect/token"
return try {
val response = client.post("$baseUrl/api/auth/refresh") {
contentType(ContentType.Application.Json)
header(HttpHeaders.Authorization, "Bearer $token")
val response = client.submitForm(
url = tokenEndpoint,
formParameters = Parameters.build {
append("grant_type", "refresh_token")
append("client_id", clientId)
if (!clientSecret.isNullOrBlank()) {
append("client_secret", clientSecret)
}
append("refresh_token", refreshToken)
}
) {
contentType(ContentType.Application.FormUrlEncoded)
}
if (response.status.isSuccess()) {
response.body<LoginResponse>()
val kc = response.body<KeycloakTokenResponse>()
LoginResponse(
success = true,
token = kc.access_token,
message = null
)
} else {
LoginResponse(
success = false,
@@ -87,13 +131,20 @@ class AuthApiClient(
* Logout and invalidate token
*/
suspend fun logout(token: String): Boolean {
return try {
val response = client.post("$baseUrl/api/auth/logout") {
header(HttpHeaders.Authorization, "Bearer $token")
}
response.status.isSuccess()
} catch (_: Exception) {
false // Logout failed, but we'll clear local token anyway
}
// Empfehlung: Frontend-seitig Token lokal verwerfen.
// Optional könnten hier Keycloak-Endpoints für Token-Revocation aufgerufen werden.
return true
}
@Serializable
private data class KeycloakTokenResponse(
val access_token: String,
val expires_in: Long? = null,
val refresh_expires_in: Long? = null,
val refresh_token: String? = null,
val token_type: String? = null,
val not_before_policy: Long? = null,
val session_state: String? = null,
val scope: String? = null
)
}
clients/auth-feature/src/commonMain/kotlin/at/mocode/clients/authfeature/AuthenticatedHttpClient.kt
+2 -1
View File
@@ -1,5 +1,6 @@
package at.mocode.clients.authfeature
import at.mocode.clients.shared.AppConfig
import io.ktor.client.*
import io.ktor.client.plugins.contentnegotiation.*
import io.ktor.client.request.*
@@ -18,7 +19,7 @@ object AuthenticatedHttpClient {
/**
* Create a basic HTTP client with JSON support
*/
fun create(baseUrl: String = "http://localhost:8081"): HttpClient {
fun create(baseUrl: String = AppConfig.GATEWAY_URL): HttpClient {
return HttpClient {
install(ContentNegotiation) {
json(Json {
clients/ping-feature/build.gradle.kts
+3
View File
@@ -44,6 +44,9 @@ kotlin {
// UI Kit
implementation(project(":clients:shared:common-ui"))
// Shared Konfig & Utilities
implementation(project(":clients:shared"))
// Compose dependencies
implementation(compose.runtime)
implementation(compose.foundation)
clients/ping-feature/src/commonMain/kotlin/at/mocode/clients/pingfeature/PingApiClient.kt
+2 -1
View File
@@ -4,6 +4,7 @@ import at.mocode.ping.api.PingApi
import at.mocode.ping.api.PingResponse
import at.mocode.ping.api.EnhancedPingResponse
import at.mocode.ping.api.HealthResponse
import at.mocode.clients.shared.AppConfig
import io.ktor.client.*
import io.ktor.client.call.*
import io.ktor.client.plugins.contentnegotiation.*
@@ -12,7 +13,7 @@ import io.ktor.serialization.kotlinx.json.*
import kotlinx.serialization.json.Json
class PingApiClient(
private val baseUrl: String = "http://localhost:8081"
private val baseUrl: String = AppConfig.GATEWAY_URL
) : PingApi {
private val client = HttpClient {
clients/shared/build.gradle.kts
+6 -14
View File
@@ -36,7 +36,7 @@ kotlin {
// ...
}
// WASM, nur wenn explizit aktiviert
// WASM, nur wenn explizit aktiviert
if (enableWasm) {
@OptIn(ExperimentalWasmDsl::class)
wasmJs { browser() }
@@ -58,6 +58,10 @@ kotlin {
implementation(libs.ktor.client.logging)
implementation(libs.ktor.client.auth)
// Compose für shared UI components (common)
implementation(compose.runtime)
implementation(compose.foundation)
implementation(compose.material3)
}
commonTest.dependencies {
@@ -67,29 +71,17 @@ kotlin {
jvmMain.dependencies {
implementation(libs.ktor.client.cio)
// Compose für shared UI components
implementation(compose.runtime)
implementation(compose.foundation)
implementation(compose.material3)
}
jsMain.dependencies {
implementation(libs.ktor.client.js)
// Compose für shared UI components
implementation(compose.runtime)
implementation(compose.foundation)
implementation(compose.material3)
}
// WASM SourceSet, nur wenn aktiviert
if (enableWasm) {
val wasmJsMain = getByName("wasmJsMain")
wasmJsMain.dependencies {
implementation(libs.ktor.client.js) // WASM verwendet JS-Client [cite: 7]
// ✅ HINZUFÜGEN: Compose für shared UI components für WASM
implementation(libs.ktor.client.js) // WASM verwendet JS-Client
implementation(compose.runtime)
implementation(compose.foundation)
implementation(compose.material3)
clients/shared/src/commonMain/kotlin/at/mocode/clients/shared/AppConfig.kt
+17
View File
@@ -0,0 +1,17 @@
package at.mocode.clients.shared
/**
* Zentrale App-Konfiguration für alle Client-Module.
* Hinweis: Diese Werte sind zentrale Defaults für DEV. Für PROD sollten sie
* via Build-Injektion (Gradle/ENV) überschrieben werden. Ein einfaches
* BuildConfig-Setup kann später ergänzt werden.
*/
object AppConfig {
// Gateway Basis-URL (API Gateway)
const val GATEWAY_URL: String = "http://localhost:8081"
// Keycloak Konfiguration
const val KEYCLOAK_URL: String = "http://localhost:8180"
const val KEYCLOAK_REALM: String = "meldestelle"
const val KEYCLOAK_CLIENT_ID: String = "meldestelle-frontend"
}
dockerfiles/infrastructure/auth-server/Dockerfile
-192
View File
@@ -1,192 +0,0 @@
# syntax=docker/dockerfile:1.8
# ===================================================================
# Dockerfile for Meldestelle Auth Server
# Features: Security hardening, monitoring support, optimal caching, BuildKit cache mounts
# Version: 2.0.0 - Enhanced optimization and security
# ===================================================================
# === CENTRALIZED BUILD ARGUMENTS ===
# Values sourced from docker/versions.toml and docker/build-args/
# Global arguments (docker/build-args/global.env)
ARG GRADLE_VERSION
ARG JAVA_VERSION
ARG BUILD_DATE
ARG VERSION
# Infrastruktur-spezifische Build-Argumente (keine Runtime-Profile/Ports als ARG)
# ===================================================================
# Build Stage
# ===================================================================
FROM gradle:${GRADLE_VERSION}-jdk${JAVA_VERSION}-alpine AS builder
# Re-declare build arguments for this stage (nur Build-Zeit)
ARG BUILD_DATE
ARG VERSION
LABEL stage=builder \
service="auth-server" \
maintainer="Meldestelle Development Team" \
version="${VERSION}" \
build.date="${BUILD_DATE}"
WORKDIR /workspace
# Gradle optimizations for containerized builds
ENV GRADLE_OPTS="-Dorg.gradle.caching=true \
-Dorg.gradle.daemon=false \
-Dorg.gradle.parallel=true \
-Dorg.gradle.configureondemand=true \
-Dorg.gradle.workers.max=2 \
-Dorg.gradle.jvmargs=-Xmx2g \
-XX:+UseParallelGC \
-XX:MaxMetaspaceSize=512m"
# Set Gradle user home for better caching
ENV GRADLE_USER_HOME=/home/gradle/.gradle
# Copy build files in optimal order for caching
COPY gradlew gradlew.bat gradle.properties settings.gradle.kts ./
COPY gradle/ gradle/
# Make gradlew executable (required on Linux/Unix systems)
RUN chmod +x gradlew
COPY platform/ platform/
COPY core/ core/
COPY build.gradle.kts ./
# Copy infrastructure dependencies
COPY infrastructure/auth/auth-client/ infrastructure/auth/auth-client/
COPY infrastructure/cache/ infrastructure/cache/
# Copy auth-server specific files
COPY infrastructure/auth/auth-server/build.gradle.kts infrastructure/auth/auth-server/
COPY infrastructure/auth/auth-server/src/ infrastructure/auth/auth-server/src/
# Download and cache dependencies with BuildKit cache mount
RUN --mount=type=cache,target=/home/gradle/.gradle/caches \
--mount=type=cache,target=/home/gradle/.gradle/wrapper \
./gradlew :infrastructure:auth:auth-server:dependencies --no-daemon --info
# Build application with BuildKit cache mount
RUN --mount=type=cache,target=/home/gradle/.gradle/caches \
--mount=type=cache,target=/home/gradle/.gradle/wrapper \
./gradlew :infrastructure:auth:auth-server:bootJar --no-daemon --info
# ===================================================================
# Runtime Stage
# ===================================================================
FROM eclipse-temurin:${JAVA_VERSION}-jre-alpine AS runtime
# Build arguments for runtime stage
ARG BUILD_DATE
ARG VERSION
ARG JAVA_VERSION
# Convert build arguments to environment variables
ENV JAVA_VERSION=${JAVA_VERSION} \
VERSION=${VERSION} \
BUILD_DATE=${BUILD_DATE}
# Enhanced metadata
LABEL service="auth-server" \
version="${VERSION}" \
description="Authentication and Authorization Server for Meldestelle" \
maintainer="Meldestelle Development Team" \
java.version="${JAVA_VERSION}" \
build.date="${BUILD_DATE}" \
org.opencontainers.image.title="Meldestelle Auth Server" \
org.opencontainers.image.description="Spring Boot authentication service with Keycloak integration" \
org.opencontainers.image.version="${VERSION}" \
org.opencontainers.image.created="${BUILD_DATE}"
# Build arguments for user configuration
ARG APP_USER=authuser
ARG APP_GROUP=authgroup
ARG APP_UID=1002
ARG APP_GID=1002
WORKDIR /app
# Enhanced Alpine setup with security hardening
RUN apk update && \
apk upgrade && \
apk add --no-cache \
curl \
jq \
tzdata \
ca-certificates \
tini && \
rm -rf /var/cache/apk/*
# Create non-root user for auth-server
RUN addgroup -g ${APP_GID} -S ${APP_GROUP} && \
adduser -u ${APP_UID} -S ${APP_USER} -G ${APP_GROUP} -h /app -s /bin/sh
# Create required directories with proper permissions
RUN mkdir -p /app/logs /app/tmp /app/config && \
chown -R ${APP_USER}:${APP_GROUP} /app
# Copy the built JAR from builder stage
COPY --from=builder --chown=${APP_USER}:${APP_GROUP} \
/workspace/infrastructure/auth/auth-server/build/libs/*.jar app.jar
# Switch to non-root user
USER ${APP_USER}
# Expose auth-server port and debug port
EXPOSE 8081 5005
# Enhanced health check for auth service
HEALTHCHECK --interval=15s --timeout=5s --start-period=60s --retries=3 \
CMD curl -fsS --max-time 3 http://localhost:8081/actuator/health/readiness || exit 1
# Optimized JVM settings for auth workloads
ENV JAVA_OPTS="-XX:MaxRAMPercentage=80.0 \
-XX:+UseG1GC \
-XX:+UseStringDeduplication \
-XX:+UseContainerSupport \
-XX:G1HeapRegionSize=16m \
-XX:+OptimizeStringConcat \
-XX:+UseCompressedOops \
-Djava.security.egd=file:/dev/./urandom \
-Djava.awt.headless=true \
-Dfile.encoding=UTF-8 \
-Duser.timezone=Europe/Vienna \
-Dmanagement.endpoints.web.exposure.include=health,info,metrics,prometheus,configprops"
# Auth-server specific Spring Boot configuration
ENV SPRING_OUTPUT_ANSI_ENABLED=ALWAYS \
SERVER_PORT=8081 \
MANAGEMENT_SERVER_PORT=8081 \
LOGGING_LEVEL_ROOT=INFO \
LOGGING_LEVEL_AT_MOCODE=DEBUG
# Enhanced entrypoint with tini init system and conditional debug support
ENTRYPOINT ["tini", "--", "sh", "-c", "\
echo 'Starting Meldestelle Auth Server with Java ${JAVA_VERSION}...'; \
echo 'Active Spring profiles: '${SPRING_PROFILES_ACTIVE:-not-set}; \
echo 'Auth server port: 8081'; \
echo 'Container memory: '$(cat /sys/fs/cgroup/memory/memory.limit_in_bytes 2>/dev/null || echo 'unlimited'); \
if [ \"${DEBUG:-false}\" = \"true\" ]; then \
echo 'DEBUG mode enabled - remote debugging available on port 5005'; \
exec java ${JAVA_OPTS} -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:5005 -jar app.jar; \
else \
echo 'Starting auth server in production mode'; \
exec java ${JAVA_OPTS} -jar app.jar; \
fi"]
# ===================================================================
# Build and Usage Instructions
# ===================================================================
# Build:
# docker build -t meldestelle/auth-server:latest -f infrastructure/auth/auth-server/Dockerfile .
#
# Run standalone:
# docker run -p 8081:8081 --name auth-server meldestelle/auth-server:latest
#
# Run with debug:
# docker run -p 8081:8081 -p 5005:5005 -e DEBUG=true --name auth-server meldestelle/auth-server:latest
# ===================================================================
infrastructure/auth/README-INFRA-AUTH.md
-430
View File
@@ -1,430 +0,0 @@
# Infrastructure/Auth Modul Aktuelle Dokumentation (Stand: September 2025)
## Überblick
Das **Auth-Modul** ist die zentrale Komponente für die gesamte Authentifizierung und Autorisierung innerhalb der Meldestelle-Systemlandschaft. Es ist verantwortlich für die Absicherung von APIs, die Validierung von Benutzeridentitäten und die Verwaltung von Berechtigungen.
Als Identity Provider wird **Keycloak** verwendet. Dieses Modul kapselt die gesamte Interaktion mit Keycloak und stellt dem Rest des Systems eine einheitliche und vereinfachte Sicherheitsschicht zur Verfügung.
## Aufgabe des Moduls
- Zentrale Bereitstellung von Authentifizierungs- und Autorisierungsfunktionen für alle Services
- Minimierung der Kopplung an Keycloak durch eine API/Client-Abstraktion (`auth-client`)
- Einheitliche, typsichere Repräsentation von Rollen und Berechtigungen als Enums
- Sichere Erzeugung, Validierung und Auswertung von JWTs (Issuer, Audience, Ablauf, Signatur)
- Bereitstellung eines dedizierten Auth-Servers für Benutzer-Workflows (Login, optional Passwortänderung, Token-Ausstellung)
## Umsetzung (High-Level)
- Authentifizierung findet gegen Keycloak statt; der `auth-server` kapselt dessen Aufrufe.
- Nach erfolgreicher Authentifizierung wird ein signiertes JWT erzeugt, das Rollen/Berechtigungen enthält.
- Downstream-Services validieren das JWT über den `auth-client` und führen autorisierte Domänenaktionen aus.
- Das API-Gateway kann JWTs vorvalidieren und Metadaten-Header weitergeben; vollständige Validierung sollte via `auth-client` erfolgen.
## Architektur
Das Auth-Modul ist in zwei spezialisierte Komponenten aufgeteilt, um eine klare Trennung der Verantwortlichkeiten zu gewährleisten:
```
infrastructure/auth/
├── auth-client/ # Wiederverwendbare Bibliothek für die JWT-Validierung
└── auth-server/ # Eigenständiger Service für Benutzerverwaltung & Token-Austausch
```
### `auth-client`
Dieses Modul ist eine **wiederverwendbare Bibliothek** und kein eigenständiger Service. Es enthält die gesamte Logik, die andere Microservices (wie `masterdata-service`, `members-service` etc.) benötigen, um ihre Endpunkte abzusichern.
Aktueller Stand (09/2025):
- Enthält ein typensicheres Rollen- und Berechtigungsmodell: `RolleE`, `BerechtigungE` (kotlinx.serialization-annotiert für konsistente JSON-Serialisierung).
- Definiert die Schnittstelle `AuthenticationService` mit suspend-Funktionen und Result-Typen zur Authentifizierung und Passwortänderung. Rückgabewerte sind versiegelt (sealed) und decken Success/Failure/Locked ab. Dadurch klare, explizite Fehlerfälle ohne Exceptions in Kontrollflüssen.
- Stellt den `JwtService` bereit, der via Spring konfiguriert werden kann und in Services zur Token-Erzeugung/-Validierung genutzt wird.
**Hauptaufgaben:**
- **JWT-Management:** Stellt einen `JwtService` zur Erstellung und Validierung von JSON Web Tokens bereit (Signatur, Claims, Ablaufzeiten). Neue, result-basierte APIs erleichtern das Fehler-Handling.
- **Modell-Definition:** Definiert die **Quelle der Wahrheit** für sicherheitsrelevante Konzepte wie `RolleE` und `BerechtigungE` als typsichere Kotlin-Enums. Dies stellt sicher, dass alle Services dieselbe "Sprache" für Berechtigungen sprechen.
- **Schnittstellen:** Bietet saubere Schnittstellen wie `AuthenticationService` an, die von der konkreten Implementierung (z.B. Keycloak) abstrahieren. Dadurch können Implementierungen im `auth-server` oder in Tests (Mocks/Fakes) ausgetauscht werden.
Einbindung: Jeder Microservice, der geschützte Endpunkte anbietet, bindet dieses Modul als Abhängigkeit ein.
### `auth-server`
Dies ist ein **eigenständiger Spring Boot Microservice**, der als Brücke zwischen dem Meldestelle-System und Keycloak agiert.
**Hauptaufgaben:**
- **Benutzer-API:** Stellt eine REST-API zur Verfügung, um Benutzer zu verwalten (z.B. Registrierung). Diese API kommuniziert im Hintergrund über den `keycloak-admin-client` mit Keycloak.
- **Token-Endpunkte:** Ist verantwortlich für das Ausstellen von Tokens nach einer erfolgreichen Authentifizierung.
- **Implementierung der `AuthenticationService`-Schnittstelle:** Enthält die konkrete Logik, die gegen Keycloak prüft, ob ein Benutzername und ein Passwort korrekt sind.
**Konfiguration (AuthServerConfiguration):**
Der Service stellt einen konfigurierbaren `JwtService` per Spring-Bean bereit. Die dazugehörigen Properties werden über `auth.jwt.*` gesetzt:
```yaml
auth:
jwt:
secret: <32+ Zeichen starkes Secret>
issuer: meldestelle-auth-server
audience: meldestelle-services
expiration: 60 # Minuten
```
Kotlin-Konfiguration (vereinfacht):
```kotlin
@Configuration
@EnableConfigurationProperties(JwtProperties::class)
class AuthServerConfiguration {
@Bean
fun jwtService(props: JwtProperties) = JwtService(
secret = props.secret,
issuer = props.issuer,
audience = props.audience,
expiration = props.expiration.minutes
)
@ConfigurationProperties(prefix = "auth.jwt")
data class JwtProperties(
val secret: String,
val issuer: String,
val audience: String,
val expiration: Long
)
}
```
Hinweis: Standardwerte sind nur für lokale Entwicklung gedacht und müssen in Produktion überschrieben werden. Zusätzlich validiert der Auth-Server die JWT-Properties: Secret min. 32 Zeichen, issuer/audience nicht leer; bei Verwendung des Default-Secrets wird eine Laufzeit-Warnung ausgegeben.
## Zusammenspiel im System
1. Ein **Benutzer** meldet sich über eine Client-Anwendung am **`auth-server`** an.
2. Der **`auth-server`** validiert die Anmeldedaten gegen **Keycloak**.
3. Bei Erfolg erstellt der `auth-server` mit dem `JwtService` aus dem `auth-client` ein JWT, das die Berechtigungen des Benutzers enthält, und sendet es an den Client zurück.
4. Der **Client** sendet eine Anfrage an einen anderen Microservice (z.B. `members-service`) und fügt das JWT als Bearer-Token in den Header ein.
5. Der **`members-service`**, der ebenfalls den `auth-client` als Abhängigkeit hat, nutzt den `JwtService`, um das Token zu validieren und die Berechtigungen typsicher auszulesen.
6. Das **Gateway** kann vorgelagert JWT-basierte Authentifizierung durchführen. Aktuell existiert ein `JwtAuthenticationFilter`, der über `gateway.security.jwt.enabled=true` aktiviert wird. In der vorliegenden Codebasis nutzt dieser noch eine vereinfachte Validierung; die geplante Integration ist die Nutzung des `auth-client` zur vollständigen Validierung und Claim-Extraktion.
Diese Architektur entkoppelt die Fach-Services von der Komplexität der Identitätsverwaltung und schafft eine robuste, zentrale Sicherheitsinfrastruktur.
## Modernisierungen (September 2025)
### Technische Verbesserungen
**Dependencies Updates:**
- Spring Boot: 3.2.5 → 3.3.2 (Security-Updates und Performance-Verbesserungen)
- Spring Cloud: 2023.0.1 → 2023.0.3 (Bug-Fixes)
- Spring Dependency Management: 1.1.5 → 1.1.6 (Kompatibilität)
- Springdoc: 2.5.0 → 2.6.0 (OpenAPI-Verbesserungen)
- Keycloak: 23.0.0 → 25.0.2 (Wichtige Sicherheitsupdates)
**Code Modernisierung:**
- **JWT Service**: Implementierung von Result-basierten APIs für besseres Error-Handling
- **Structured Logging**: Integration von KotlinLogging für strukturierte Log-Ausgabe
- **Exception Handling**: Spezifische JWT-Exception-Behandlung statt Catch-All-Blöcke
- **Kotlin Features**: Verwendung von `data object` für Singleton-Klassen (Kotlin 1.9+)
- **Backward Compatibility**: Deprecated Legacy-Methoden für sanfte Migration
**Test-Verbesserungen:**
- Entfernung von `Thread.sleep()` für zuverlässigere Tests
- Bessere Expired-Token-Tests mit eindeutigen Zeitstempel-Differenzen
### Token Claims und Struktur
Empfohlene Claims im JWT (Beispiel):
- sub: Benutzer-ID (UUID)
- pid: Personen-ID (UUID)
- preferred_username: Loginname (derzeit intern als Claim "username" umgesetzt)
- email: E-Mail-Adresse
- roles: Liste von Rollen (`RolleE`)
- perms: Liste von Berechtigungen (`BerechtigungE`)
- iss: Issuer (z.B. meldestelle-auth-server)
- aud: Audience (z.B. meldestelle-services)
- iat/exp: Ausstellungs- und Ablaufzeitpunkt
Diese Claims werden vom `auth-client` gelesen und in typsichere Modelle abgebildet.
### API-Änderungen
**Neue Result-basierte APIs:**
```kotlin
// Neu: Result-basierte APIs mit strukturiertem Error-Handling
fun validateToken(token: String): Result<Boolean>
fun getUserIdFromToken(token: String): Result<String>
fun getPermissionsFromToken(token: String): Result<List<BerechtigungE>>
// Legacy: Weiterhin verfügbar für Backward Compatibility (deprecated)
fun isValidToken(token: String): Boolean
fun getUserId(token: String): String?
fun getPermissions(token: String): List<BerechtigungE>
```
## Build-Optimierungen
### Auth-Client Modernisierung
**Plugin-Erweiterungen:**
```kotlin
plugins {
alias(libs.plugins.kotlin.jvm)
alias(libs.plugins.kotlin.spring)
alias(libs.plugins.kotlin.serialization) // NEU
alias(libs.plugins.spring.boot)
alias(libs.plugins.spring.dependencyManagement)
}
```
**Neue Dependencies:**
- **Kotlin Serialization**: Konsistente JSON-Verarbeitung mit anderen Modulen
- **Type Safety**: Kompiletime-Validierung von JSON-Strukturen
### Auth-Server Production-Readiness
**Production-Ready Dependencies:**
```kotlin
// API-Dokumentation mit OpenAPI/Swagger
implementation(libs.springdoc.openapi.starter.webmvc.ui)
// Monitoring und Metriken für Production-Readiness
implementation(libs.bundles.monitoring.client)
// JSON-Serialization für API-Responses
implementation(libs.kotlinx.serialization.json)
```
**Neue Endpoints:**
- `/actuator/health` - Health Check
- `/actuator/metrics` - Prometheus Metrics
- `/actuator/info` - Application Info
- `/swagger-ui/index.html` - API Documentation
- `/v3/api-docs` - OpenAPI JSON Schema
**Monitoring Stack:**
- **Prometheus Metrics**: Via `micrometer-prometheus`
- **Distributed Tracing**: Via `micrometer-tracing-bridge-brave`
- **Zipkin Integration**: Für Request-Tracing
- **Health Endpoints**: Via `spring-boot-starter-actuator`
## Comprehensive Testing Implementation
Das Auth-Modul wurde von **kritisch untergetestet** auf **umfassend getestet** transformiert mit einer vollständigen Test-Suite.
### Test-Statistiken
**Vor der Implementierung:**
- JwtService: 5 Tests (Basis-Funktionalität)
- Andere Module: 0 Tests ❌
**Nach der Implementierung:**
- **Gesamt: 80+ Tests** implementiert
- **Erfolgsquote: 95%+** (nur umgebungsabhängige Performance-Tests variieren)
### Implementierte Test-Suiten
#### 1. JwtServiceExtendedTest ✅
**19 Tests** - Erweiterte JWT-Tests mit Result-APIs
- Result API Tests mit strukturiertem Error-Handling
- Security Edge Cases und Token-Tampering
- Legacy Compatibility für deprecated Methoden
#### 2. AuthenticationServiceTest ✅
**15 Tests** - Mock-Tests für Authentication Interface
- Authentication Scenarios (Success, Failure, Locked)
- Password Management und Validation
- Sealed Class Pattern Testing
#### 3. SecurityTest ✅
**15 Tests** - Sicherheitstests für JWT-Vulnerabilities
- Signature Tampering Protection
- Timing Attack Resistance
- Algorithm Confusion Prevention
- Input Validation Security
- Memory Safety Tests
#### 4. AuthPerformanceTest ✅
**13 Tests** - Performance-Tests (11+ bestanden)
- JWT Validation: < 20ms für komplexe Szenarien
- Token Generation: < 5ms pro Token
- Concurrent Throughput: > 10,000 validations/sec
- Memory Stability: < 50MB bei 10,000 Operationen
#### 5. ResultApiTest ✅
**13 Tests** - Result-basierte API-Tests
- Result Success/Failure Cases
- Functional Programming Patterns
- Kotlin Standard Library Integration
- Error Handling Consistency
#### 6. Integration Tests ✅
**29+ Tests** - Minimal Integration Tests
- AuthServerIntegrationTest: 15 Tests (minimale Spring-Konfiguration)
- KeycloakIntegrationTest: 14 Tests (Container-only Testing, Docker-abhängig)
**Integration Test Details:**
- KeycloakIntegrationTest nutzt Testcontainers mit Keycloak 25.0.2
- Tests sind mit @EnabledIf Docker-conditional ausgestattet
- Automatische Keycloak-Container-Erkennung und -Konfiguration
- Minimaler Ansatz ohne vollständige Spring Boot Komplexität
### Performance-Validierung
**Erfüllte Benchmarks:**
- ✅ JWT Validation: Durchschnitt < 1ms
- ✅ Token Generation: Durchschnitt < 2ms
- ✅ Concurrent Throughput: > 10,000 ops/sec
- ✅ Memory Stability: Stabil unter Last
- ✅ Consistent Performance: < 20% Degradation über Zeit
**Debug-Ausgaben:**
```
[DEBUG_LOG] Token generation: ~1.5ms average
[DEBUG_LOG] Token validation: ~0.8ms average
[DEBUG_LOG] Data extraction: ~0.5ms average
```
### Sicherheitsvalidierung
**CVE-Schutz implementiert:**
- JWT Algorithm Confusion (CVE-2018-0114)
- JWT Signature Bypass Versuche
- DoS via Long Tokens Prevention
- Information Disclosure Prevention
**Security Features getestet:**
- ✅ Token Tampering Protection (validiert in isolierten Tests 15.08.2025)
- ✅ Timing Attack Resistance
- ✅ Concurrent Access Safety
- ✅ Unicode/International Character Handling
- ✅ Injection Attack Prevention
**Aktuelle Sicherheitsvalidierung (15. August 2025):**
- Alle 15 SecurityTest-Tests erfolgreich bestanden
- JWT Signature Tampering Protection funktioniert korrekt
- Keine Sicherheitslücken in der Token-Validierung festgestellt
- Tests laufen stabil sowohl einzeln als auch in der Testsuite
## Dependencies-Übersicht
### Auth-Client Dependencies
```kotlin;
├── platform-bom (Version Management)
├── platform-dependencies (Common Dependencies)
├── core-utils (Domain Objects)
├── spring-boot-starter-oauth2-client (OAuth2)
├── spring-boot-starter-security (Security)
├── spring-security-oauth2-jose (JWT)
├── auth0-java-jwt (JWT Processing)
└── kotlinx-serialization-json (JSON Serialization)
```
### Auth-Server Dependencies
```kotlin;
├── platform-bom (Version Management)
├── platform-dependencies (Common Dependencies)
├── auth-client (Client Logic)
├── spring-boot-essentials Bundle (Web, Validation, Actuator)
├── spring-boot-starter-security (Security)
├── spring-boot-starter-oauth2-resource-server (Resource Server)
├── keycloak-admin-client (Keycloak Integration)
├── springdoc-openapi-starter-webmvc-ui (API Documentation)
├── monitoring-client Bundle (Prometheus, Tracing, Zipkin)
└── kotlinx-serialization-json (JSON Serialization)
```
## Aktualitäts-Check (Repo-Stand September 2025)
- `auth-client` enthält `AuthenticationService` mit suspend-Funktionen und versiegelten Result-Typen (Success/Failure/Locked; PasswordChangeResult inkl. WeakPassword). Diese Schnittstelle ist in dieser README beschrieben und aktuell.
- `auth-server` stellt `JwtService` via `AuthServerConfiguration` bereit und liest Properties unter `auth.jwt.*`. Beispielkonfiguration ist oben dokumentiert und entspricht dem Code.
- Das API-Gateway besitzt einen `JwtAuthenticationFilter`, der derzeit eine vereinfachte Tokenprüfung implementiert. Geplante nächste Stufe: Verwendung des `auth-client` zur echten JWT-Validierung und Claim-Extraktion. Property-Schalter: `gateway.security.jwt.enabled`.
Diese README wurde am 03.09.2025 aktualisiert und spiegelt den aktuellen Stand der Implementierung wider.
## Production-Readiness Status
### ✅ Production-Ready Bereiche
- **JWT Service**: Vollständig getestet (40+ Tests)
- **Result APIs**: Comprehensive Abdeckung (13 Tests)
- **Security**: Alle kritischen Vulnerabilities getestet (15 Tests)
- **Performance**: Validiert für Production Load (13 Tests)
- **Build Configuration**: Modern und optimiert
- **Monitoring**: Vollständiges Observability-Stack
- **API Documentation**: Automatische OpenAPI/Swagger-Docs
### ⚠️ Bereiche mit Notizen
- **Integration Tests**: Minimaler Ansatz implementiert (funktional)
- **Performance Tests**: 2 Tests umgebungsabhängig (nicht kritisch)
## Qualitätsmerkmale
### Code Quality
- **Comprehensive Test Coverage**: Alle kritischen Pfade getestet
- **Security-First Approach**: Sicherheit als Hauptfokus
- **Modern Kotlin Features**: data object, Result APIs, strukturiertes Logging
- **Backward Compatibility**: Sanfte Migration mit deprecated Methoden
### Maintainability
- **Strukturierte Test-Organisation**: Klare Kategorisierung
- **Self-Documenting Code**: Aussagekräftige Namen und Kommentare
- **Performance Baselines**: Monitoring-freundliche Metriken
- **Zentrale Versionsverwaltung**: Via libs.versions.toml
### Development Experience
- **API Documentation**: Automatische Swagger/OpenAPI-Docs
- **Type-Safe Configuration**: Plugin-Aliases und strukturierte Properties
- **Debugging Support**: Strukturierte Logs mit Debug-Ausgaben
- **Testing Tools**: Umfassende Test-Utilities und Mocks
## Fazit
Das infrastructure/auth Modul ist **production-ready** und umfassend modernisiert:
-**80+ Tests** mit 95%+ Erfolgsquote
-**Vollständige Sicherheitstests** für JWT-Vulnerabilities
-**Performance-validierte** Operationen für Production-Load
-**Modern Stack** mit neuesten Dependencies und Kotlin-Features
-**Comprehensive Monitoring** mit Prometheus, Tracing, Health-Checks
-**Developer-Friendly** mit API-Docs und strukturierten Logs
-**Backward Compatible** für sanfte Migration bestehender Services
Die Transformation von "kritisch untergetestet" zu "production-ready" ist vollständig abgeschlossen und erfüllt alle Anforderungen für ein sicherheitskritisches Authentifizierungs-System in einer Microservice-Landschaft.
---
**Letzte Aktualisierung**: 3. September 2025
**Status**: Production-Ready mit umfassender Test-Abdeckung
**Dokumentation**: Vollständig konsolidiert aus allen Teilbereichen
**Validierung**: Sicherheitstests erfolgreich bestanden (15.08.2025)
infrastructure/auth/auth-server/build.gradle.kts
-55
View File
@@ -1,55 +0,0 @@
// Dieses Modul ist ein eigenständiger Spring Boot Service, der als
// zentraler Authentifizierung- und Autorisierungs-Server agiert.
// Er kommuniziert mit Keycloak und stellt Endpunkte für die Benutzerverwaltung bereit.
plugins {
alias(libs.plugins.kotlinJvm)
alias(libs.plugins.kotlinSpring)
alias(libs.plugins.kotlinSerialization)
alias(libs.plugins.spring.boot)
alias(libs.plugins.spring.dependencyManagement)
}
java {
toolchain {
languageVersion.set(JavaLanguageVersion.of(21))
}
}
// Konfiguriert die Hauptklasse für das ausführbare JAR.
springBoot {
mainClass.set("at.mocode.infrastructure.auth.AuthServerApplicationKt")
}
dependencies {
// Stellt sicher, dass alle Versionen aus der zentralen BOM kommen.
implementation(platform(projects.platform.platformBom))
// Stellt gemeinsame Abhängigkeiten bereit.
implementation(projects.platform.platformDependencies)
// Spring Boot Starter für einen Web-Service.
// OPTIMIERUNG: Verwendung des `spring-boot-essentials`-Bundles.
implementation(libs.bundles.spring.boot.essentials)
// Spring Security für die Absicherung des Servers.
implementation(libs.spring.boot.starter.security)
implementation(libs.spring.boot.starter.oauth2.resource.server)
// Keycloak Admin Client zur Verwaltung von Benutzern und Realms.
implementation(libs.keycloak.admin.client)
// API-Dokumentation mit OpenAPI/Swagger.
implementation(libs.springdoc.openapi.starter.webmvc.ui)
// Monitoring und Metriken für Production-Readiness.
implementation(libs.bundles.monitoring.client)
// JSON-Serialization für API-Responses.
implementation(libs.kotlinx.serialization.json)
// Stellt alle Test-Abhängigkeiten gebündelt bereit.
testImplementation(projects.platform.platformTesting)
// Testcontainers für Integration Tests
testImplementation(libs.bundles.testcontainers)
// SLF4J provider for tests
testImplementation(libs.logback.classic)
testImplementation(libs.logback.core)
}
tasks.test {
useJUnitPlatform()
}
infrastructure/auth/auth-server/src/main/kotlin/at/mocode/infrastructure/auth/AuthServerApplication.kt
-26
View File
@@ -1,26 +0,0 @@
package at.mocode.infrastructure.auth
import org.springframework.boot.autoconfigure.SpringBootApplication
import org.springframework.boot.runApplication
/**
* Hauptklasse für den Auth-Server.
*
* Dieser Service fungiert als zentraler Authentifizierungs- und Autorisierungsserver,
* der mit Keycloak kommuniziert und JWT-Token-Management bereitstellt.
*
* Funktionalitäten:
* - JWT Token Generation und Validierung
* - Integration mit Keycloak
* - Benutzer- und Berechtigungsverwaltung
* - REST API für Authentifizierung
*/
@SpringBootApplication
class AuthServerApplication
/**
* Haupteinstiegspunkt für den Auth-Server Service
*/
fun main(args: Array<String>) {
runApplication<AuthServerApplication>(*args)
}
infrastructure/auth/auth-server/src/main/kotlin/at/mocode/infrastructure/auth/config/AuthServerConfiguration.kt
-12
View File
@@ -1,12 +0,0 @@
package at.mocode.infrastructure.auth.config
import org.springframework.context.annotation.Configuration
/**
* Spring-Konfiguration für das Auth-Server-Modul.
*
* Note: JWT handling is now fully delegated to Keycloak via OAuth2 Resource Server.
* This auth-server focuses on user management through Keycloak Admin Client.
*/
@Configuration
class AuthServerConfiguration
infrastructure/auth/auth-server/src/main/kotlin/at/mocode/infrastructure/auth/config/SecurityConfiguration.kt
-33
View File
@@ -1,33 +0,0 @@
package at.mocode.infrastructure.auth.config
import org.springframework.context.annotation.Bean
import org.springframework.context.annotation.Configuration
import org.springframework.security.config.annotation.web.builders.HttpSecurity
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity
import org.springframework.security.web.SecurityFilterChain
/**
* Spring Security Konfiguration für den Auth-Server.
* Ermöglicht öffentlichen Zugriff auf Actuator Health-Endpoints für Consul Health Checks.
*/
@Configuration
@EnableWebSecurity
class SecurityConfiguration {
@Bean
fun filterChain(http: HttpSecurity): SecurityFilterChain {
return http
.authorizeHttpRequests { authz ->
authz
// Erlaubt öffentlichen Zugriff auf Health-Endpoints für Consul
.requestMatchers("/actuator/health", "/actuator/health/**").permitAll()
.requestMatchers("/actuator/info").permitAll()
// Alle anderen Endpoints benötigen Authentifizierung
.anyRequest().authenticated()
}
.oauth2ResourceServer { oauth2 ->
oauth2.jwt { }
}
.build()
}
}
infrastructure/auth/auth-server/src/main/resources/application.yml
-76
View File
@@ -1,76 +0,0 @@
spring:
application:
name: auth-service
profiles:
active: ${SPRING_PROFILES_ACTIVE:dev}
cloud:
consul:
host: ${CONSUL_HOST:localhost}
port: ${CONSUL_PORT:8500}
enabled: ${CONSUL_ENABLED:true}
discovery:
enabled: ${CONSUL_ENABLED:true}
register: ${CONSUL_ENABLED:true}
health-check-path: /actuator/health
health-check-interval: 10s
instance-id: ${spring.application.name}-${server.port}-${random.uuid}
security:
oauth2:
resourceserver:
jwt:
# This will be configured via environment variables in production
jwk-set-uri: ${KEYCLOAK_JWK_SET_URI:http://localhost:8180/realms/meldestelle/protocol/openid-connect/certs}
server:
port: ${AUTH_SERVICE_PORT:8087}
management:
endpoints:
web:
exposure:
include: health,info,metrics,prometheus
base-path: /actuator
cors:
allowed-origins:
- "https://*.meldestelle.at"
- "http://localhost:*"
allowed-methods: GET,POST
allowed-headers: "*"
allow-credentials: true
endpoint:
health:
show-details: always
show-components: always
probes:
enabled: true
metrics:
enabled: true
prometheus:
enabled: true
metrics:
tags:
application: ${spring.application.name}
environment: ${spring.profiles.active}
service: auth
component: infrastructure
# Tracing-Konfiguration
tracing:
enabled: ${TRACING_ENABLED:false}
sampling:
probability: ${TRACING_SAMPLING_PROBABILITY:1.0}
zipkin:
tracing:
endpoint: ${ZIPKIN_TRACING_ENDPOINT:http://localhost:9411/api/v2/spans}
connect-timeout: 1s
read-timeout: 10s
logging:
level:
at.mocode.infrastructure.auth: DEBUG
org.springframework.security: DEBUG
org.springframework.cloud.consul: INFO
# Custom properties can be added here when proper @ConfigurationProperties classes are created
# For now, these properties are moved to environment variables or removed to avoid warnings
infrastructure/auth/auth-server/src/test/kotlin/at/mocode/infrastructure/auth/AuthServerApplicationTest.kt
-46
View File
@@ -1,46 +0,0 @@
package at.mocode.infrastructure.auth
import at.mocode.infrastructure.auth.config.AuthServerConfiguration
import org.junit.jupiter.api.Assertions.assertNotNull
import org.junit.jupiter.api.Assertions.assertTrue
import org.junit.jupiter.api.Test
/**
* Basic tests for the Auth Server application and configuration.
* These tests verify the application structure without requiring full Spring context.
*
* Note: Custom JWT handling has been removed. Authentication is now fully handled
* by Keycloak via OAuth2 Resource Server.
*/
class AuthServerApplicationTest {
@Test
fun `application context should load successfully`() {
// Test that we can instantiate the main application class
val application = AuthServerApplication()
assertNotNull(application)
}
@Test
fun `main application class should be properly configured`() {
// Arrange & Act
val applicationClass = AuthServerApplication::class.java
// Assert
assertTrue(applicationClass.isAnnotationPresent(org.springframework.boot.autoconfigure.SpringBootApplication::class.java)) {
"AuthServerApplication should be annotated with @SpringBootApplication"
}
}
@Test
fun `auth server configuration should be present`() {
// Arrange & Act
val config = AuthServerConfiguration()
// Assert
assertNotNull(config)
assertTrue(config::class.java.isAnnotationPresent(org.springframework.context.annotation.Configuration::class.java)) {
"AuthServerConfiguration should be annotated with @Configuration"
}
}
}
infrastructure/auth/auth-server/src/test/kotlin/at/mocode/infrastructure/auth/AuthServerIntegrationTest.kt
-76
View File
@@ -1,76 +0,0 @@
package at.mocode.infrastructure.auth
import at.mocode.infrastructure.auth.config.AuthServerConfiguration
import org.junit.jupiter.api.Assertions.assertNotNull
import org.junit.jupiter.api.Assertions.assertTrue
import org.junit.jupiter.api.Test
import org.springframework.beans.factory.annotation.Autowired
import org.springframework.boot.test.context.SpringBootTest
import org.springframework.context.ApplicationContext
import org.springframework.test.context.TestPropertySource
/**
* Minimal integration tests for the Auth Server.
*
* Note: Custom JWT handling has been removed. Authentication is now fully handled
* by Keycloak via OAuth2 Resource Server. This test verifies the basic Spring
* context loads correctly.
*/
@SpringBootTest(
webEnvironment = SpringBootTest.WebEnvironment.NONE,
classes = [AuthServerConfiguration::class]
)
@TestPropertySource(properties = [
"spring.main.web-application-type=none",
"logging.level.org.springframework.security=WARN"
])
class AuthServerIntegrationTest {
@Autowired
private lateinit var applicationContext: ApplicationContext
@Test
fun `application context should load with minimal configuration`() {
// Verify that the Spring context loads successfully
assertNotNull(applicationContext)
assertTrue(applicationContext.beanDefinitionCount > 0)
println("[DEBUG_LOG] Application context loaded successfully")
println("[DEBUG_LOG] Bean count: ${applicationContext.beanDefinitionCount}")
}
@Test
fun `configuration bean should be present`() {
// Verify that essential beans are available
val beanNames = applicationContext.beanDefinitionNames.toList()
// Check for configuration bean
assertTrue(beanNames.any { it.contains("authServerConfiguration") }) {
"AuthServerConfiguration bean should be configured"
}
println("[DEBUG_LOG] Essential beans configured successfully")
println("[DEBUG_LOG] Auth-related beans: ${beanNames.filter { it.contains("auth") }}")
}
@Test
fun `application context should have minimal footprint`() {
// Verify that we're running with minimal configuration
val beanCount = applicationContext.beanDefinitionCount
assertTrue(beanCount < 100) {
"Bean count should be minimal (was $beanCount)"
}
// Verify no web-related beans are loaded
val webBeans = applicationContext.beanDefinitionNames.filter {
it.contains("mvc") || it.contains("servlet") || it.contains("tomcat")
}
assertTrue(webBeans.isEmpty()) {
"No web-related beans should be loaded: $webBeans"
}
println("[DEBUG_LOG] Minimal application context verified")
println("[DEBUG_LOG] Total bean count: $beanCount")
println("[DEBUG_LOG] Web-related beans: $webBeans")
}
}
infrastructure/auth/auth-server/src/test/kotlin/at/mocode/infrastructure/auth/KeycloakIntegrationTest.kt
-348
View File
@@ -1,348 +0,0 @@
package at.mocode.infrastructure.auth
import org.junit.jupiter.api.BeforeAll
import org.junit.jupiter.api.Test
import org.junit.jupiter.api.TestInstance
import org.junit.jupiter.api.condition.EnabledIf
import org.testcontainers.containers.GenericContainer
import org.testcontainers.containers.wait.strategy.Wait
import org.testcontainers.junit.jupiter.Container
import org.testcontainers.junit.jupiter.Testcontainers
import java.io.IOException
import java.net.HttpURLConnection
import java.net.URI
import java.time.Duration
/**
* Minimal integration tests for Keycloak using Testcontainers.
* These tests verify basic Keycloak container functionality and API connectivity
* without requiring Spring Boot context complexity.
*
* This implements "Option 1: Minimale Integration Tests" for Keycloak integration
* focusing on container-only testing without vollständige Spring Boot Konfiguration.
*
* Note: These tests require Docker to be available and are conditionally enabled.
*/
@Testcontainers
@TestInstance(TestInstance.Lifecycle.PER_CLASS)
@EnabledIf("at.mocode.infrastructure.auth.KeycloakIntegrationTest#isDockerAvailable")
class KeycloakIntegrationTest {
companion object {
private const val KEYCLOAK_VERSION = "26.4.2"
private const val KEYCLOAK_PORT = 8080
private const val KEYCLOAK_ADMIN_USER = "admin"
private const val KEYCLOAK_ADMIN_PASSWORD = "admin"
private const val HTTP_CONNECT_TIMEOUT = 5000
private const val HTTP_READ_TIMEOUT = 5000
private const val CONTAINER_STARTUP_TIMEOUT_MINUTES = 3L
@Container
@JvmStatic
val keycloakContainer: GenericContainer<*> = GenericContainer("quay.io/keycloak/keycloak:$KEYCLOAK_VERSION")
.withExposedPorts(KEYCLOAK_PORT)
.withEnv("KC_BOOTSTRAP_ADMIN_USERNAME", KEYCLOAK_ADMIN_USER)
.withEnv("KC_BOOTSTRAP_ADMIN_PASSWORD", KEYCLOAK_ADMIN_PASSWORD)
.withCommand("start-dev")
.waitingFor(
Wait.forHttp("/admin/master/console/")
.forPort(KEYCLOAK_PORT)
.withStartupTimeout(Duration.ofMinutes(CONTAINER_STARTUP_TIMEOUT_MINUTES))
)
/**
* Checks if Docker is available for running Testcontainers.
* This method is used with @EnabledIf to conditionally run tests.
*/
@JvmStatic
fun isDockerAvailable(): Boolean {
return try {
val process = ProcessBuilder("docker", "version").start()
process.waitFor() == 0
} catch (e: Exception) {
println("[DEBUG_LOG] Docker not available: ${e.message}")
false
}
}
/**
* Makes an HTTP GET request to the specified URL and returns the response code.
* Includes proper resource management and enhanced error handling.
*/
private fun makeHttpRequest(url: String): Int {
var connection: HttpURLConnection? = null
return try {
connection = URI.create(url).toURL().openConnection() as HttpURLConnection
connection.requestMethod = "GET"
connection.connectTimeout = HTTP_CONNECT_TIMEOUT
connection.readTimeout = HTTP_READ_TIMEOUT
val responseCode = connection.responseCode
println("[DEBUG_LOG] HTTP request to $url returned: $responseCode")
responseCode
} catch (e: IOException) {
println("[DEBUG_LOG] HTTP request failed for URL: $url - ${e.message}")
-1
} catch (e: Exception) {
println("[DEBUG_LOG] Unexpected error during HTTP request to $url: ${e.javaClass.simpleName} - ${e.message}")
-1
} finally {
connection?.disconnect()
}
}
}
private lateinit var keycloakUrl: String
private lateinit var adminConsoleUrl: String
@BeforeAll
fun setUp() {
// Configure URLs for Keycloak integration
keycloakUrl = "http://localhost:${keycloakContainer.getMappedPort(KEYCLOAK_PORT)}"
adminConsoleUrl = "$keycloakUrl/admin/master/console/"
println("[DEBUG_LOG] Keycloak container started successfully")
println("[DEBUG_LOG] Keycloak URL: $keycloakUrl")
println("[DEBUG_LOG] Admin console URL: $adminConsoleUrl")
println("[DEBUG_LOG] Admin credentials: $KEYCLOAK_ADMIN_USER / $KEYCLOAK_ADMIN_PASSWORD")
}
// ========== Container Health Tests ==========
@Test
fun `Keycloak container should be running and accessible`() {
// Verify the container is running
assert(keycloakContainer.isRunning) { "Keycloak container should be running" }
// Verify the port is accessible
val mappedPort = keycloakContainer.getMappedPort(KEYCLOAK_PORT)
assert(mappedPort > 0) { "Keycloak port should be mapped to a valid port, got: $mappedPort" }
assert(mappedPort != KEYCLOAK_PORT) { "Mapped port ($mappedPort) should be different from container port ($KEYCLOAK_PORT)" }
println("[DEBUG_LOG] Container health check passed")
println("[DEBUG_LOG] Container ID: ${keycloakContainer.containerId}")
println("[DEBUG_LOG] Mapped port: $mappedPort")
}
@Test
fun `Keycloak admin console should be accessible via HTTP`() {
// Make an actual HTTP request to verify Keycloak is responding
val responseCode = makeHttpRequest(adminConsoleUrl)
// Keycloak admin console should return 200 or redirect (3xx)
assert(responseCode in 200..399) {
"Admin console should be accessible (got HTTP $responseCode)"
}
println("[DEBUG_LOG] Admin console HTTP test passed")
println("[DEBUG_LOG] Response code: $responseCode")
}
@Test
fun `Keycloak health endpoint should be accessible`() {
// Test Keycloak's health endpoint
val healthUrl = "$keycloakUrl/health"
val responseCode = makeHttpRequest(healthUrl)
// Health endpoint might not be available in dev mode, so we accept 404
assert(responseCode in listOf(200, 404)) {
"Health endpoint should return 200 or 404 (got HTTP $responseCode)"
}
println("[DEBUG_LOG] Health endpoint test completed")
println("[DEBUG_LOG] Health URL: $healthUrl")
println("[DEBUG_LOG] Response code: $responseCode")
}
// ========== Basic API Connectivity Tests ==========
@Test
fun `should be able to access Keycloak realm endpoint`() {
// Test access to master realm endpoint
val realmUrl = "$keycloakUrl/realms/master"
val responseCode = makeHttpRequest(realmUrl)
// Realm endpoint should be accessible
assert(responseCode == 200) {
"Realm endpoint should return 200 (got HTTP $responseCode)"
}
println("[DEBUG_LOG] Realm endpoint test passed")
println("[DEBUG_LOG] Realm URL: $realmUrl")
println("[DEBUG_LOG] Response code: $responseCode")
}
@Test
fun `should be able to access Keycloak OpenID configuration`() {
// Test OpenID Connect configuration endpoint
val openIdConfigUrl = "$keycloakUrl/realms/master/.well-known/openid_configuration"
val responseCode = makeHttpRequest(openIdConfigUrl)
// OpenID configuration should be accessible (200) or not available in dev mode (404)
assert(responseCode in listOf(200, 404)) {
"OpenID configuration should return 200 or 404 (got HTTP $responseCode)"
}
println("[DEBUG_LOG] OpenID configuration test completed")
println("[DEBUG_LOG] Config URL: $openIdConfigUrl")
println("[DEBUG_LOG] Response code: $responseCode")
if (responseCode == 404) {
println("[DEBUG_LOG] OpenID configuration not available in dev mode - this is expected")
}
}
// ========== Configuration Validation Tests ==========
@Test
fun `Keycloak container should have correct environment variables`() {
// Verify container environment
val envVars = keycloakContainer.envMap
// Support new KC_BOOTSTRAP_* variables (Keycloak 26+) with fallback to legacy KEYCLOAK_* names
val adminUser = envVars["KC_BOOTSTRAP_ADMIN_USERNAME"] ?: envVars["KEYCLOAK_ADMIN"]
val adminPass = envVars["KC_BOOTSTRAP_ADMIN_PASSWORD"] ?: envVars["KEYCLOAK_ADMIN_PASSWORD"]
assert(adminUser == KEYCLOAK_ADMIN_USER) {
"Admin user should be configured correctly"
}
assert(adminPass == KEYCLOAK_ADMIN_PASSWORD) {
"Admin password should be configured correctly"
}
println("[DEBUG_LOG] Environment variables validated")
println("[DEBUG_LOG] Admin user: $adminUser")
println("[DEBUG_LOG] Environment count: ${envVars.size}")
}
@Test
fun `container should be using correct Keycloak version`() {
// Verify we're using the expected Keycloak version
val dockerImage = keycloakContainer.dockerImageName
assert(dockerImage.contains(KEYCLOAK_VERSION)) {
"Container should use Keycloak version $KEYCLOAK_VERSION (using: $dockerImage)"
}
println("[DEBUG_LOG] Keycloak version validated")
println("[DEBUG_LOG] Docker image: $dockerImage")
println("[DEBUG_LOG] Expected version: $KEYCLOAK_VERSION")
}
// ========== Network Connectivity Tests ==========
@Test
fun `should handle network connectivity issues gracefully`() {
// Test with intentionally wrong URLs to verify error handling
val invalidUrls = listOf(
"http://localhost:65534/invalid", // Use valid port range
"$keycloakUrl/non-existent-endpoint",
"http://invalid-hostname-that-does-not-exist/test"
)
invalidUrls.forEach { url ->
val responseCode = makeHttpRequest(url)
// Should get either connection error (-1) or HTTP error codes
assert(responseCode == -1 || responseCode >= 400) {
"Invalid URL should return error (got $responseCode for $url)"
}
println("[DEBUG_LOG] Tested invalid URL: $url -> $responseCode")
}
println("[DEBUG_LOG] Network error handling test passed")
}
@Test
fun `multiple concurrent requests should work correctly`() {
// Test concurrent access to Keycloak
val threads = (1..5).map { threadIndex ->
Thread {
try {
repeat(3) { requestIndex ->
val responseCode = makeHttpRequest("$keycloakUrl/realms/master")
assert(responseCode == 200) {
"Concurrent request Thread-$threadIndex Request-$requestIndex should succeed (got HTTP $responseCode)"
}
println("[DEBUG_LOG] Concurrent request Thread-$threadIndex Request-$requestIndex: HTTP $responseCode")
}
} catch (e: Exception) {
println("[DEBUG_LOG] Concurrent request Thread-$threadIndex failed: ${e.message}")
throw e
}
}
}
threads.forEach { it.start() }
threads.forEach { it.join() }
println("[DEBUG_LOG] Concurrent access test passed")
}
// ========== Container Lifecycle Tests ==========
@Test
fun `container should maintain state across multiple requests`() {
// Make multiple requests to verify container stability
repeat(5) { iteration ->
val responseCode = makeHttpRequest(adminConsoleUrl)
assert(responseCode in 200..399) {
"Request $iteration should succeed (got HTTP $responseCode)"
}
// Small delay between requests
Thread.sleep(100)
}
println("[DEBUG_LOG] Container stability test passed")
}
@Test
fun `container logs should indicate successful startup`() {
// Check that the container has started successfully
val logs = keycloakContainer.logs
// Keycloak should log successful startup messages
assert(logs.isNotEmpty()) { "Container should have logs" }
// Look for startup indicators (Keycloak logs vary by version)
val hasStartupMessages = logs.contains("Keycloak") ||
logs.contains("started") ||
logs.contains("Running")
assert(hasStartupMessages) { "Logs should contain startup messages" }
println("[DEBUG_LOG] Container logs validated")
println("[DEBUG_LOG] Log length: ${logs.length} characters")
println("[DEBUG_LOG] Contains startup messages: $hasStartupMessages")
}
// ========== Performance and Resource Tests ==========
@Test
fun `container startup time should be reasonable`() {
// Verify container started within a reasonable time
// This is implicit since we got here, but we can document timing
val containerInfo = keycloakContainer.containerInfo
val createdTime = containerInfo.created
println("[DEBUG_LOG] Container performance metrics")
println("[DEBUG_LOG] Created: $createdTime")
println("[DEBUG_LOG] Container started successfully within timeout period")
}
@Test
fun `basic integration test suite completion`() {
// Final validation that all essential Keycloak container functionality works
assert(keycloakContainer.isRunning) { "Container should still be running" }
assert(keycloakContainer.getMappedPort(KEYCLOAK_PORT) > 0) { "Port should be mapped" }
val finalHealthCheck = makeHttpRequest("$keycloakUrl/realms/master")
assert(finalHealthCheck == 200) { "Final health check should pass" }
println("[DEBUG_LOG] ===============================================")
println("[DEBUG_LOG] Minimal Keycloak Integration Tests COMPLETED")
println("[DEBUG_LOG] ===============================================")
println("[DEBUG_LOG] Container Status: RUNNING")
println("[DEBUG_LOG] API Connectivity: VERIFIED")
println("[DEBUG_LOG] Health Checks: PASSED")
println("[DEBUG_LOG] Configuration: VALIDATED")
println("[DEBUG_LOG] ===============================================")
}
}
infrastructure/auth/auth-server/src/test/kotlin/at/mocode/infrastructure/auth/config/TestConfiguration.kt
-13
View File
@@ -1,13 +0,0 @@
package at.mocode.infrastructure.auth.config
import org.springframework.boot.test.context.TestConfiguration
/**
* Test configuration for Auth Server integration tests.
*
* Note: Custom JWT handling has been removed. Authentication is now fully handled
* by Keycloak via OAuth2 Resource Server. This configuration class is kept as a
* placeholder for future test-specific beans if needed.
*/
@TestConfiguration
class AuthServerTestConfiguration
infrastructure/auth/auth-server/src/test/resources/application-test.properties
-25
View File
@@ -1,25 +0,0 @@
## Test configuration for Auth Server
## JWT Configuration
#auth.jwt.secret=test-secret-for-testing-only-at-least-512-bits-long-for-hmac512-algorithm
#auth.jwt.issuer=test-issuer
#auth.jwt.audience=test-audience
#auth.jwt.expiration=60
#
## Database Configuration
#spring.datasource.url=jdbc:h2:mem:testdb
#spring.datasource.driver-class-name=org.h2.Driver
#spring.jpa.hibernate.ddl-auto=create-drop
#spring.jpa.show-sql=false
#
## Security Configuration
#spring.security.oauth2.resourceserver.jwt.issuer-uri=http://localhost:8080/realms/test
#logging.level.org.springframework.security=DEBUG
#
## Actuator Configuration
#management.endpoints.web.exposure.include=health,info,metrics,prometheus
#management.endpoint.health.show-details=always
#management.health.defaults.enabled=true
#
## Disable banner for cleaner test output
#spring.main.banner-mode=off
#logging.level.org.springframework.boot.autoconfigure=WARN
infrastructure/auth/auth-server/src/test/resources/application-test.yml
-50
View File
@@ -1,50 +0,0 @@
# Test configuration for Auth Server
auth:
jwt:
secret: test-secret-for-testing-only-at-least-512-bits-long-for-hmac512-algorithm
issuer: test-issuer
audience: test-audience
expiration: 60
# Database Configuration
spring:
datasource:
url: jdbc:h2:mem:testdb
driver-class-name: org.h2.Driver
jpa:
hibernate:
ddl-auto: create-drop
show-sql: false
# Security Configuration - simplified for tests
security:
oauth2:
resourceserver:
jwt:
issuer-uri: http://localhost:8080/realms/test
# Disable banner for cleaner test output
main:
banner-mode: off
# Autoconfiguration exclusions for integration tests
autoconfigure:
exclude:
- org.springframework.boot.autoconfigure.security.oauth2.resource.servlet.OAuth2ResourceServerAutoConfiguration
- org.springframework.boot.autoconfigure.security.oauth2.client.servlet.OAuth2ClientAutoConfiguration
# Actuator Configuration
management:
endpoints:
web:
exposure:
include: health,info,metrics,prometheus
endpoint:
health:
show-details: always
health:
defaults:
enabled: true
# Logging Configuration
logging:
level:
org.springframework.security: DEBUG
org.springframework.boot.autoconfigure: WARN
infrastructure/auth/auth-server/src/test/resources/logback-test.xml
-10
View File
@@ -1,10 +0,0 @@
<configuration>
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>%d{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n</pattern>
</encoder>
</appender>
<root level="INFO">
<appender-ref ref="CONSOLE" />
</root>
</configuration>
infrastructure/gateway/src/main/kotlin/at/mocode/infrastructure/gateway/security/SecurityConfig.kt
+1 -2
View File
@@ -125,8 +125,7 @@ data class GatewaySecurityProperties(
"/actuator/**",
"/webjars/**",
"/v3/api-docs/**",
"/api/auth/**", // Alle Auth-Endpunkte
"/api/ping/**"
"/api/auth/**" // Alle Auth-Endpunkte
)
)
infrastructure/gateway/src/test/kotlin/at/mocode/infrastructure/gateway/GatewayRoutingTests.kt
+4 -14
View File
@@ -95,13 +95,11 @@ class GatewayRoutingTests {
}
@Test
fun `should route auth service requests`() {
fun `auth route is not configured anymore`() {
webTestClient.post()
.uri("/api/auth/login")
.exchange()
.expectStatus().isOk
.expectBody(String::class.java)
.isEqualTo("auth-service-mock")
.expectStatus().isNotFound
}
@Test
@@ -150,10 +148,7 @@ class GatewayRoutingTests {
.filters { f -> f.setPath("/mock/masterdata") }
.uri("forward:/")
}
.route("test-auth-login") { r ->
r.path("/api/auth/login")
.uri("forward:/mock/auth/login")
}
// no dedicated auth route anymore clients should talk to Keycloak directly
.route("test-ping") { r ->
r.path("/api/ping/**")
.filters { f -> f.setPath("/mock/ping") }
@@ -192,12 +187,7 @@ class GatewayRoutingTests {
@PostMapping(value = ["/masterdata", "/masterdata/**"])
fun masterdataServiceMock(): String = "masterdata-service-mock"
@GetMapping(value = ["/auth", "/auth/**"])
@PostMapping(value = ["/auth", "/auth/**"])
fun authServiceMock(): String = "auth-service-mock"
@PostMapping("/auth/login")
fun authLoginPost(): String = "auth-service-mock"
// removed auth mock endpoints not needed anymore
@GetMapping(value = ["/ping", "/ping/**"])
@PostMapping(value = ["/ping", "/ping/**"])
logs/gateway.log
+722 -477
View File
File diff suppressed because it is too large Load Diff
services/events/events-service/build.gradle.kts
-1
View File
@@ -25,7 +25,6 @@ dependencies {
implementation(projects.events.eventsApi)
// Infrastruktur-Clients
implementation(projects.infrastructure.auth.authClient)
implementation(projects.infrastructure.cache.redisCache)
implementation(projects.infrastructure.messaging.messagingClient)
implementation(projects.infrastructure.monitoring.monitoringClient)
services/horses/horses-service/build.gradle.kts
-1
View File
@@ -22,7 +22,6 @@ dependencies {
implementation(projects.horses.horsesApi)
// Infrastruktur-Clients
implementation(projects.infrastructure.auth.authClient)
implementation(projects.infrastructure.cache.redisCache)
implementation(projects.infrastructure.messaging.messagingClient)
implementation(projects.infrastructure.monitoring.monitoringClient)
services/masterdata/masterdata-service/build.gradle.kts
-1
View File
@@ -25,7 +25,6 @@ dependencies {
implementation(projects.masterdata.masterdataApi)
// Infrastruktur-Clients
implementation(projects.infrastructure.auth.authClient)
implementation(projects.infrastructure.cache.redisCache)
implementation(projects.infrastructure.messaging.messagingClient)
implementation(projects.infrastructure.monitoring.monitoringClient)
services/members/members-service/build.gradle.kts
-1
View File
@@ -28,7 +28,6 @@ dependencies {
implementation(projects.members.membersInfrastructure)
implementation(projects.members.membersApi)
implementation(projects.infrastructure.auth.authClient)
implementation(projects.infrastructure.cache.redisCache)
implementation(projects.infrastructure.messaging.messagingClient)
implementation(projects.infrastructure.monitoring.monitoringClient)
settings.gradle.kts
+1 -1
View File
@@ -43,7 +43,6 @@ include(":platform:platform-testing")
// Infrastructure modules
include(":infrastructure:gateway")
include(":infrastructure:auth:auth-server")
include(":infrastructure:messaging:messaging-client")
include(":infrastructure:messaging:messaging-config")
include(":infrastructure:cache:cache-api")
@@ -58,6 +57,7 @@ include(":services:ping:ping-api")
include(":services:ping:ping-service")
// Client modules
include(":clients:shared")
include(":clients:app")
include(":clients:ping-feature")
include(":clients:auth-feature")