美文网首页
cas5.3.2单点登录-Cas Server自定义Oauth2

cas5.3.2单点登录-Cas Server自定义Oauth2

作者: destiny_m | 来源:发表于2018-12-30 22:21 被阅读0次

    前言

    目前我们系统中,用户登陆,API调用是融合在一起的,API后面是调用各个dubbo服务。为了保证各个系统能够鉴权,目前的做法是,用用户登陆后,生成token,将token存在redis中,各个系统通过读取reids的token作为验证。

    几个问题:

    1. 登陆体系和业务代码混合在一起,不是特别规范。
    2. 自定义的token机制,缺点很多。
    3. 所有服务都是直接读取redis,安全性很差。
    4. 扩展性比较差。

    准备

    目前业务系统完全耦合在一起的,我们需要将登陆独立出来。
    很多大公司都有自己的CAS系统,这样公司的其他系统不必要建立自己的账号体系,直接接入CAS即可。
    之前我不是特别能够区分CAS,SSO,OAUTH2这些概念,经过了几个星期的探索重要理清楚了。

    • SSO
      SSO是Single Sign On,一次登陆,全部访问。对于我们来说,使用了SSO,多个系统可以完全独立,所有系统不用关心用户体系。
    • OAUTH2
      OAUTH2是一种授权开放协议。官网上面这么介绍.
      An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.
      
      相关文章:
      https://oauth.net/
      http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
    • CAS
      CAS是Central Authentication Service的缩写,耶鲁大学开启的一个开源项目,是企业级的SSO解决方案。
      https://apereo.github.io/cas/5.3.x/index.html

    改造

    基于上面的概念,以及我们的需求,我们的用户系统有SSO和OAUTH2.0两个功能。我们会基于CAS实现我们的功能,CAS天热支持SSO,主要是OAUTH2.0的支持,我们查他的文档发现他有插件可以支持。
    对于环境搭建,可以参考:
    https://blog.csdn.net/qq_34021712/article/details/80871015
    https://blog.csdn.net/qq_34021712/article/details/82290876

    正文

    构建SSO和OAUTH2.0

    按上面文章结合官网,我们搭建好环境。
    https://apereo.github.io/cas/5.3.x/installation/OAuth-OpenId-Authentication.html
    访问下面地址
    https://server.cas.com:8443/cas/oauth2.0/accessToken?grant_type=password&client_id=20180901&username=casuser&password=Mellon
    得到下面结果:
    access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9&expires_in=28800
    我们将access_token修改放入下面地址
    https://server.cas.com:8443/cas/oauth2.0/profile?access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9
    得到下面结果:
    { "service": "http://localhost:8080", "attributes": {}, "id": "casuser", "client_id": "20180901" }
    我们会发现没有任何用户信息,然后我参考cas5.3.2单点登录-自定义返回信息给客户端(十九) 这个文章, 发现结果没有任何变化。

    问题和解决

    既然有问题,那么怎么解决?之前我走了很多弯路,原因在于两个方面,第一,对CAS本地理解不足,第二,对于官网文档理解不足。
    首先,需要debug一下,看看问题所在,我们有两个url,第一个是获取accessToken,第二个是获取用户信息。
    跟踪获取用户信息,发现获取用户信息是从session里面获取的,里面用户信息就是空,那么我开始会认为是accessToken获取的时候,会将用户信息放入session,这里出现问题,才会导致profile没有效果。
    进一步跟踪accessToken,发现在存储session的时候,使用的是UsernamePasswordCredential生成的profile,而这个里面只用username和password两个属性。所以,你用密码方式登录的,session里面是不会存储任何用户信息。
    这个时候,查看官方文档,里面开始就有个定制模式,我一直不明白.

    package org.apereo.cas.support.oauth;
    
    @Configuration("MyOAuthConfiguration")
    @EnableConfigurationProperties(CasConfigurationProperties.class)
    public class MyOAuthConfiguration {
      @Bean
      @RefreshScope
      public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {   
      ...
      }}
    

    在跟踪profile代码的时候,发现OAuth20UserProfileViewRenderer是这里面的方法,才恍然大悟,官方的意思是,accessToken的时候,你不需要做任何修改,但是在获取用户信息的时候,你可以自定义,例如从数据库或者 Redis里面读取用户信息。

    代码如下:
    配置类

    package com.destinym.cas.config;
    
    import com.destinym.cas.custom.CustomOAuth20UserProfileViewRenderer;
    import com.destinym.cas.mock.MockUserService;
    import com.destinym.cas.service.UserService;
    import org.apereo.cas.configuration.CasConfigurationProperties;
    import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
    import org.springframework.boot.context.properties.EnableConfigurationProperties;
    import org.springframework.cloud.context.config.annotation.RefreshScope;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    
    @Configuration("customAuthenticationConfiguration")
    @EnableConfigurationProperties(CasConfigurationProperties.class)
    public class CustomOAuthConfiguration {
        @Bean
        @RefreshScope
        public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {
            CustomOAuth20UserProfileViewRenderer customOAuth20UserProfileViewRenderer = new CustomOAuth20UserProfileViewRenderer();
            return customOAuth20UserProfileViewRenderer;
        }
    
        @Bean
        public UserService userService() {
            return new MockUserService();
        }
    }
    
    

    重新render类

    package com.destinym.cas.custom;
    
    import com.destinym.cas.service.UserService;
    import lombok.extern.slf4j.Slf4j;
    import org.apereo.cas.support.oauth.util.OAuth20Utils;
    import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
    import org.apereo.cas.ticket.accesstoken.AccessToken;
    import org.springframework.beans.factory.annotation.Autowired;
    
    import java.util.Map;
    
    /**
     * Created by mengliang on 2018/12/30.
     */
    
    @Slf4j
    public class CustomOAuth20UserProfileViewRenderer implements OAuth20UserProfileViewRenderer {
        @Autowired
        private UserService userService;
        private final String ID ="id";
    
        @Override
        public String render(Map<String, Object> model, AccessToken accessToken) {
            try {
                String userId = (String) model.get(ID);
                if (userId != null) {
                    return OAuth20Utils.jsonify(userService.findByUserName(userId));
                }
            }catch (Exception e){
    
            }
            return null;
        }
    }
    

    自定义用户接口

    package com.destinym.cas.service;
    
    import java.util.Map;
    
    /**
     * Created by mengliang on 2018/12/27.
     */
    
    public interface UserService {
        Map<String, Object> findByUserName(String username);
    }
    

    MOCK用户信息

    package com.destinym.cas.mock;
    
    import com.destinym.cas.service.UserService;
    
    import java.util.HashMap;
    import java.util.Map;
    
    /**
     * Created by mengliang on 2018/12/30.
     */
    public class MockUserService implements UserService {
        @Override
        public Map<String, Object> findByUserName(String username) {
            {
                HashMap hashMap = new HashMap();
                hashMap.put("username", "casuser");
                hashMap.put("tel","18600000000");
                hashMap.put("region","china");
                return hashMap;
            }
        }
    }
    
    

    修改spring.factories
    增加

      org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
      org.apereo.cas.config.CasEmbeddedContainerTomcatConfiguration,\
      org.apereo.cas.config.CasEmbeddedContainerTomcatFiltersConfiguration,\
      com.destinym.cas.config.CustomOAuthConfiguration
    

    重新部署后,运行结果为

    {
        "tel": "18600000000",
        "region": "china",
        "username": "casuser"
    }
    

    大功告成。具体可以参考git地址:
    https://github.com/destinym/cas-oauth2-custom

    相关文章

      网友评论

          本文标题:cas5.3.2单点登录-Cas Server自定义Oauth2

          本文链接:https://www.haomeiwen.com/subject/koqblqtx.html