转载自 blog.yoodb.com/yoodb/artic…
OAuth2.0是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储用户信息,而无需将用户名和密码提供给第三方应用,CAS3.5.x(x>1)提供了OAuth2.0的支持,包括客户端和服务端,依赖cas-server-support-oauth.jar包。
\
CAS默认提供了三个服务:
/oauth2.0/authorize
需要输入GET参数:client_id和redirect_uri
/oauth2.0/accessToken
需要输入GET参数:client_id,redirect_uri,client_secret和代码
/oauth2.0/profile
需要输入GET参数:access_token
\
关于CAS3.5.x Server版本接入oauth2.0 Server配置步骤,下面为本站素文宅www.yoodb.com大家分享一下个人总结,仅供大家参考学习使用。
1、将cas-server-support-oauth工程引入cas-server-webapp项目中,通过pom.xml文件,增加内容如下:
| 12345 | <dependency>``<groupId>org.jasig.cas< /groupId >``<artifactId>cas-server-support-oauth< /artifactId >``<version>${project.version}< /version >``< /dependency > |
|---|
\
2、配置应用获得client_id和client_secret
在QQ、新浪等使用第三方登录中,通常提供页面供用户申请应用,然后提供用户client_id和client_secret,并允许用户配置回调地址,那么oauth2.0 server考虑的就是需要持久化这些配置,CAS默认在文件deployerConfigContext.xml的serviceRegistryDao中配置应用服务,注意实际使用可以将申请的应用信息存储在数据库中,具体配置如下:
| 123456789101112131415161718192021222324252627282930 | <bean``id = "serviceRegistryDao"`` class= "org.jasig.cas.services.InMemoryServiceRegistryDaoImpl" >`` <property name= "registeredServices" >`` <list>`` <bean class= "org.jasig.cas.services.RegexRegisteredService" >`` <property name= "id" value= "0" />`` <property name= "name" value= "HTTP and IMAP" />`` <property name= "description" value= "Allows HTTP(S) and IMAP(S) protocols" />`` <property name= "serviceId" value= "^(https?|imaps?)://.*" />`` <property name= "evaluationOrder" value= "10000001" />``<!-- 参数回传 -->`` <property name= "ignoreAttributes" value= "true" />`` < /bean >`` <bean class= "org.jasig.cas.services.RegisteredServiceImpl" >`` <property name= "id" value= "1" />`` <property name= "name" value= "HTTP" />`` <property name= "description" value= "oauth wrapper callback url" /><!-- oauth wrapper callback url -->`` <property name= "serviceId" value= "${server.prefix}/oauth2.0/callbackAuthorize" />`` < /bean >`` <bean class= "org.jasig.cas.services.RegisteredServiceImpl" >`` <property name= "id" value= "2" />`` <property name= "name" value= "key" />`` <property name= "description" value= "secret" />`` <property name= "serviceId" value= "http://www.yoodb.com/" />`` <property name= "theme" value= "Yoodb" />`` < /bean >`` < /list >`` < /property >`` < /bean > |
|---|
如上述代码所示,新注册了两个bean,第一个bean不需要考虑那是默认存在的bean,如果想了解参考地址:bean www.yoodb.com/article/dis…
\
3、 Oauth client构造url获得authorization_code(ST票据)
1)cas server对/oauth2.0/authorize的url进行拦截处理,需要配置映射,在web.xml中增加配置信息如下:
<servlet-mapping>
<servlet-name>cas</servlet-name>
<url-pattern>/oauth2.0/*</url-pattern>
</servlet-mapping>
2)在cas-servlet.xml配置文件,增加内容如下:
| 12345678910111213141516 | <bean`` id = "handlerMappingC"`` class= "org.springframework.web.servlet.handler.SimpleUrlHandlerMapping" >`` <property name= "mappings" >`` <props>``...``...``<prop key= "/oauth2.0/*" >oauth20WrapperController< /prop >``...``...``<props>``< /bean >``<bean id = "oauth20WrapperController"`` class= "org.jasig.cas.support.oauth.web.OAuth20WrapperController"`` p:loginUrl= "${server.prefix}/login" p:servicesManager-ref= "servicesManager"`` p:ticketRegistry-ref= "ticketRegistry" p:timeout= "7200" /> |
|---|
配置完成后,我们获取授权码的链接会转向login页面,此时的service地址就是第二步时新增的bean配置的第一个bean的serviceId,通过这个默认提供的地址间接的获取到ST票据,具体请求如下:
CAS Server在浏览器中打开地址:
| 1 | http: //localhost :8080 /cas/oauth2 .0 /authorize ?client_id=key&redirect_uri=http: //www .yoodb.com/&response_type=codea |
|---|
将会跳转到地址:
| 1 | http: //localhost :8080 /cas/login ?service=http%3A%2F%2F127.0.0.1%3A8080%2Fcas%2Foauth2.0%2FcallbackAuthorize |
|---|
,从而间接的获取到ST票据。认证成功之后,就会携带值为ST票据的参数跳转到callbackAuthorize页面,此时生成的ST即为授权码,其中回调地址、服务名称是通过session传递过来的,注意到浏览器地址变为如下:
| 1 | http: //localhost :8080 /cas/oauth2 .0 /callbackAuthorize ?ticket=ST-5-u53bEqNQz2phBhnocFsb-www.yoodb.com |
|---|
默认授权码只能使用一次且有效时间为10s,可以参考http://www.yoodb.com/article/display/1225文章,通过修改票据过期策略进行配置时间。
\
4、通过ST票据授权码获得access_token
在浏览器中输入如下地址:
| 12 | http: //localhost :8080 /cas/oauth2 .0 /accessToken ?client_id=key&client_secret=secret&``grant_type=authorization_code&redirect_uri=http: //www .yoodb.com/&code=ST-3-KIxamZyWgOYFcoXggdfs-www.yoodb.com |
|---|
返回access_token信息如下:
| 1 | access_token=TGT-6-csg7B16Pc09aZ6bx9j3Y6INMzScyZFhZcOGEqpnBUvoiLJkv93-www.yoodb.com&expires=7193 |
|---|
\
5、根据access_token获取用户信息
在浏览器中输入如下地址:
| 1 | http: //localhost :8080 /cas/oauth2 .0 /cas/oauth2 .0 /profile ?access_token=TGT-4-bxgrfir4tdCJ2O1EbR6eeguc3tcdpToZeyFBv416vdvvH1g3Nk-www.yoodb.com |
|---|
根据access_token等到的返回用户信息如下:
| 1234567891011121314 | {`` "id" : "000000000000000001" ,`` "attributes" : [`` {`` "uid" : "000000000000000001"`` },`` {`` "username" : "mrwang"`` },`` {`` "password" : "123456"`` }`` ]``} |
|---|
通过上述描述CAS3.5.x Server认证成功之后生成ST,此值即为授权码,传递给应用的回调地址即可,OAuth2的实现并不是很标准,对于CAS3.5.x Server版本需要扩展org.jasig.cas.support.oauth.web.OAuth20WrapperController类来进一步完善oauth2.0协议。
