CAS集成OAuth2 Client/Server

栏目: 后端 · 前端 · 发布时间: 6年前

内容简介：CAS3.5.x提供了oauth的支持，包括客户端和服务端。新浪微博账号登录示例cas官方已经在开发cas与oauth集成的插件，使用的是scribe-up这个项目来获取授权后的用户基本信息。计划在cas3.5.0版本时推出，不过现在已经可以用了，下面将以新浪微博为例，说明如何用新浪微博的账号登录cas。到https://github.com/Jasig/cas/tree/master/cas-server-support-oauth下载源码，把cas-server-support-oauth的依赖添加到

CAS3.5.x提供了oauth的支持，包括客户端和服务端。新浪微博账号登录示例

cas官方已经在开发cas与oauth集成的插件，使用的是scribe-up这个项目来获取授权后的用户基本信息。计划在cas3.5.0版本时推出，不过现在已经可以用了，下面将以新浪微博为例，说明如何用新浪微博的账号登录cas。

到https://github.com/Jasig/cas/tree/master/cas-server-support-oauth下载源码，把cas-server-support-oauth的依赖添加到你的cas项目中。

先定义两个类，SinaWeiboApi20.java和SinaWeiboProvider.java，SinaWeiboApi20.java主要定义新浪微博的授权链接，SinaWeiboProvider.java主要是获取用户授权后的用户信息。

SinaWeiboApi20.java

public class SinaWeiboApi20 extends DefaultApi20

{

private static final String AUTHORIZE_URL = “https://api.weibo.com/oauth2/authorize?client_id=%s&redirect_uri=%s&response_type=code”;

private static final String SCOPED_AUTHORIZE_URL = AUTHORIZE_URL + “&scope=%s”;

@Override

public Verb getAccessTokenVerb()

{

return Verb.POST;

}

@Override

public AccessTokenExtractor getAccessTokenExtractor()

{

return new JsonTokenExtractor();

}

@Override

public String getAccessTokenEndpoint()

{

return “https://api.weibo.com/oauth2/access_token?grant_type=authorization_code”;

}

@Override

public String getAuthorizationUrl(OAuthConfig config)

{

// Append scope if present

if (config.hasScope())

{

return String.format(SCOPED_AUTHORIZE_URL, config.getApiKey(), OAuthEncoder.encode(config.getCallback()), OAuthEncoder.encode(config.getScope()));

}

else

{

return String.format(AUTHORIZE_URL, config.getApiKey(), OAuthEncoder.encode(config.getCallback()));

}

SinaWeiboProvider.java

public class SinaWeiboProvider extends BaseOAuth20Provider {

@Override

protected void internalInit() {

if (scope != null) {

service = new ServiceBuilder().provider(SinaWeiboApi20.class).apiKey(key)

.apiSecret(secret).callback(callbackUrl).scope(scope).build();

} else {

service = new ServiceBuilder().provider(SinaWeiboApi20.class).apiKey(key)

.apiSecret(secret).callback(callbackUrl).build();

}

String[] names = new String[] {“uid”, “username”};

for (String name : names) {

mainAttributes.put(name, null);

}

@Override

protected String getProfileUrl() {

return “https://api.weibo.com/2/statuses/user_timeline.json”;

}

@Override

protected UserProfile extractUserProfile(String body) {

UserProfile userProfile = new UserProfile();

JsonNode json = JsonHelper.getFirstNode(body);

ArrayNode statuses = (ArrayNode) json.get(“statuses”);

JsonNode userJson = statuses.get(0).get(“user”);

if (json != null) {

UserProfileHelper.addIdentifier(userProfile, userJson, “id”);

for (String attribute : mainAttributes.keySet()) {

UserProfileHelper.addAttribute(userProfile, json, attribute,

mainAttributes.get(attribute));

}

JsonNode subJson = userJson.get(“id”);

if (subJson != null) {

UserProfileHelper

.addAttribute(userProfile, “uid”, subJson.getIntValue());

}

subJson = userJson.get(“domain”);

if (subJson != null) {

UserProfileHelper.addAttribute(userProfile, “username”,

subJson.getTextValue());

}

return userProfile;

}

添加SinaWeiboProvider bean声明到applicationContext.xml

</bean>

其中callbackUrl为你cas的登录地址。

在cas-servlet.xml 中定义OAuthAction bean

<bean id=”oauthAction” class=”org.jasig.cas.support.oauth.web.flow.OAuthAction”

p:centralAuthenticationService-ref=”centralAuthenticationService” >

<list>

</list>

</property>

</bean>

添加oauthAction到cas的login-webflow.xml中，其主要功能是拦截oauth服务商返回的信息。

<action-state id=”oauthAction”>

</action-state>

添加OAuthAuthenticationHandler到deployerConfigContext.xml 中的authenticationHandlers处，使其支持oauth验证

<list>

<list>

</list>

</property>

</bean>

</list>

</property>

添加OAuthCredentialsToPrincipalResolver 到deployerConfigContext.xml中的credentialsToPrincipalResolvers处。

<list>

</bean>

</list>

</property>

如果想获取从oauth返回的用户信息，就必须添加OAuthAuthenticationMetaDataPopulator到deployerConfigContext.xml中authenticationMetaDataPopulators处。

<list>

</list>

</property>

最后一步就添加用新浪微博账号登录的链接到登录页面

<a href=”${SinaWeiboProviderUrl}”>用新浪微博登录</a>

OAuth support

CAS3.5.x提供了oauth的支持，包括客户端和服务端，cas-server-support-oauth依赖包

scribe-1.3.5.jar  scribe-up-1.2.0.jar  jackson-core-2.3.0.jar,jackson-databind-2.3.0.jar。

CAS默认提供了三个服务：

/oauth2.0/authorize

Input GET parameters required : client_id and redirect_uri.

/oauth2.0/accessToken

Input GET parameters required : client_id, redirect_uri, client_secret and code.

/oauth2.0/profile

Input GET parameter required : access_token.

关于接入的一些背景：

1.cas的web登录访问路径为https://cas.sayi.com:8443/cas/login

2.回调地址为http://www.doubannote.org/(虚拟地址，实际不存在)

3.client_Id为key

4.client_secret为secret

5.应用名称为DoubanNote

6.核心类为org.jasig.cas.support.oauth.web.OAuth20WrapperController

下面配置cas server支持oauth2 server，我们从oauth2 client向cas接入为步骤来分析每一步的配置：

step1. 应用配置，获得client_id和client_secret

在成熟的系统中，通常提供页面供用户申请应用，然后提供用户client_id和client_secret，并允许用户配置回调地址，那么oauthserver端(即CAS Server)首先考虑的就是需要持久化这些配置。默认在文件deployerConfigContext.xml的serviceRegistryDao中配置应用服务，实际使用中，我们可以将申请的应用信息存储在数据库中：

<bean

id=”serviceRegistryDao”

class=”org.jasig.cas.services.InMemoryServiceRegistryDaoImpl”>

<list>

</bean>

</bean>

……

如代码所示，我们新注册了两个bean，关于应用的配置在第二个bean中，name为client_id，description为client_secret，serviceId为回调地址，theme为应用名称。

关于第一个bean的用途将在下面介绍。

step2. Oauth client 构造url，获取authorization_code

通常客户端构造的url可能如下(参数可以参照标准的oauth2 protocol，但是不同的oauth server通常提供了自己的标准)：

https://cas.sayi.com:8443/cas/oauth2.0/authorize?client_id=key&redirect_uri=http://www.doubannote.org/&response_type=code

在这里就要求cas server能对/oauth2.0/authorize的url进行处理,那么就需要配置映射，在web.xml中配置如下：

<servlet-mapping>

<servlet-name>cas</servlet-name>

<url-pattern>/oauth2.0/*</url-pattern>

</servlet-mapping>

在cas-servlet.xml中配置映射：

<prop key=”/oauth2.0/*”>oauth20WrapperController</prop>

…

<bean id=”oauth20WrapperController”

class=”org.jasig.cas.support.oauth.web.OAuth20WrapperController”

p:loginUrl=”${server.prefix}/login” p:servicesManager-ref=”servicesManager”

p:ticketRegistry-ref=”ticketRegistry” p:timeout=”7200″ />

如上配置了之后，我们获取授权码的链接会转向login页面，此时的service地址就是step1中配置的第一个bean的serviceId，通过这个默认提供的地址间接的获取到ST。

https://cas.sayi.com:8443/cas/login?service=https%3A%2F%2Fcas.sayi.com%3A8443%2Fcas%2Foauth2.0%2FcallbackAuthorize

认证成功之后，就会携带值为ST的参数跳转到callbackAuthorize页面，此时生成的ST即为授权码，回调地址、服务名称通过session传递过来。

https://cas.sayi.com:8443/cas/oauth2.0/callbackAuthorize?ticket=ST-5-ywMLFaXQFnDeFI7erFy7-cas.sayi.com

默认授权码只能使用一次，且有效时间为10s，可以通过票根过期策略进行配置时间。

step3. 授权码交换access_token

构造的URL如下：

https://cas.sayi.com:8443/cas/oauth2.0/accessToken?client_id=key&client_secret=secret&grant_type=authorization_code&redirect_uri=http://www.doubannote.org/&code=ST-1-3jLuZnhcAvLiLdy7R6ft-cas.sayi.com

access_token=TGT-2-qWkLyEbeoby043q05p5GHXfBg7qtdPZjEUhfemgg3UKbxAyB5s-cas.sayi.com&expires=7143

通过返回的值可以获得access_token.

step4. 根据access_token获取用户信息

构造URL如下：

https://cas.sayi.com:8443/cas/oauth2.0/profile?access_token=TGT-1-gn3p9EMfFEajKOJ9DdNqd2PefJdIbIeXuESyzU4EctMtBqITRG-cas.sayi.com

{

“id”:”sayi”,

“attributes”:[

{

“uid”:”uid”

{

“eduPersonAffiliation”:”eduPersonAffiliation”

{

“groupMembership”:”groupMembership”

}

]

}

总结

cas server支持oauth2 server，无非就是考虑对/authorize、/accessToken、/profile的请求的处理，在服务端进行应用配置后，对接入的应用进行校验，比如回调地址、client_secret等。在与cas server的融合中，主要就是cas认证与/authorize的融合。在这里使用的是callbackAuthorize的方式，cas默认提供了/oauth2.0/callbackAuthorize的service地址，通过此地址cas认证成功之后生成ST，此值即为授权码，传递给应用的回调地址即可。

总体来说oauth2的支持在cas3.5.x中并不完善，而且OAuth2的实现也不是标准的，对于3.5.x版本我们需要扩展OAuth20WrapperController来进一步融合oauth2 protocol。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

创业小败局

创业家、i黑马 / 时代华文书局 / 2014-8-1 / 42.00元

让别人的失败，成为你的成功之母！《创业小败局》由徐小平、何伯权等六位经验丰富的业界大佬，从《创业家》五年来跟踪的数千个创业案例中，精心挑选而来。21个最具代表性的失败案例，每个案例都代表了一种最常见的失败规律，也基本上覆盖了当下中国创业浪潮中，最容易遭遇的创业陷阱。失败是有规律的。有时候创业者的选择和行为，必然会导致失败，但当事人却因为缺乏经验而没有察觉。比如在错误心态下引入错误的合伙......一起来看看《创业小败局》这本书的介绍吧!

码农工具