cas5.3.2单点登录-Cas Server自定义Oauth2

2018-12-30  本文已影响0人  destiny_m

前言

目前我们系统中,用户登陆,API调用是融合在一起的,API后面是调用各个dubbo服务。为了保证各个系统能够鉴权,目前的做法是,用用户登陆后,生成token,将token存在redis中,各个系统通过读取reids的token作为验证。

几个问题:

  1. 登陆体系和业务代码混合在一起,不是特别规范。
  2. 自定义的token机制,缺点很多。
  3. 所有服务都是直接读取redis,安全性很差。
  4. 扩展性比较差。

准备

目前业务系统完全耦合在一起的,我们需要将登陆独立出来。
很多大公司都有自己的CAS系统,这样公司的其他系统不必要建立自己的账号体系,直接接入CAS即可。
之前我不是特别能够区分CAS,SSO,OAUTH2这些概念,经过了几个星期的探索重要理清楚了。

改造

基于上面的概念,以及我们的需求,我们的用户系统有SSO和OAUTH2.0两个功能。我们会基于CAS实现我们的功能,CAS天热支持SSO,主要是OAUTH2.0的支持,我们查他的文档发现他有插件可以支持。
对于环境搭建,可以参考:
https://blog.csdn.net/qq_34021712/article/details/80871015
https://blog.csdn.net/qq_34021712/article/details/82290876

正文

构建SSO和OAUTH2.0

按上面文章结合官网,我们搭建好环境。
https://apereo.github.io/cas/5.3.x/installation/OAuth-OpenId-Authentication.html
访问下面地址
https://server.cas.com:8443/cas/oauth2.0/accessToken?grant_type=password&client_id=20180901&username=casuser&password=Mellon
得到下面结果:
access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9&expires_in=28800
我们将access_token修改放入下面地址
https://server.cas.com:8443/cas/oauth2.0/profile?access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9
得到下面结果:
{ "service": "http://localhost:8080", "attributes": {}, "id": "casuser", "client_id": "20180901" }
我们会发现没有任何用户信息,然后我参考cas5.3.2单点登录-自定义返回信息给客户端(十九) 这个文章, 发现结果没有任何变化。

问题和解决

既然有问题,那么怎么解决?之前我走了很多弯路,原因在于两个方面,第一,对CAS本地理解不足,第二,对于官网文档理解不足。
首先,需要debug一下,看看问题所在,我们有两个url,第一个是获取accessToken,第二个是获取用户信息。
跟踪获取用户信息,发现获取用户信息是从session里面获取的,里面用户信息就是空,那么我开始会认为是accessToken获取的时候,会将用户信息放入session,这里出现问题,才会导致profile没有效果。
进一步跟踪accessToken,发现在存储session的时候,使用的是UsernamePasswordCredential生成的profile,而这个里面只用username和password两个属性。所以,你用密码方式登录的,session里面是不会存储任何用户信息。
这个时候,查看官方文档,里面开始就有个定制模式,我一直不明白.

package org.apereo.cas.support.oauth;

@Configuration("MyOAuthConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class MyOAuthConfiguration {
  @Bean
  @RefreshScope
  public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {   
  ...
  }}

在跟踪profile代码的时候,发现OAuth20UserProfileViewRenderer是这里面的方法,才恍然大悟,官方的意思是,accessToken的时候,你不需要做任何修改,但是在获取用户信息的时候,你可以自定义,例如从数据库或者 Redis里面读取用户信息。

代码如下:
配置类

package com.destinym.cas.config;

import com.destinym.cas.custom.CustomOAuth20UserProfileViewRenderer;
import com.destinym.cas.mock.MockUserService;
import com.destinym.cas.service.UserService;
import org.apereo.cas.configuration.CasConfigurationProperties;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.cloud.context.config.annotation.RefreshScope;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration("customAuthenticationConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class CustomOAuthConfiguration {
    @Bean
    @RefreshScope
    public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {
        CustomOAuth20UserProfileViewRenderer customOAuth20UserProfileViewRenderer = new CustomOAuth20UserProfileViewRenderer();
        return customOAuth20UserProfileViewRenderer;
    }

    @Bean
    public UserService userService() {
        return new MockUserService();
    }
}

重新render类

package com.destinym.cas.custom;

import com.destinym.cas.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.apereo.cas.support.oauth.util.OAuth20Utils;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.apereo.cas.ticket.accesstoken.AccessToken;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Map;

/**
 * Created by mengliang on 2018/12/30.
 */

@Slf4j
public class CustomOAuth20UserProfileViewRenderer implements OAuth20UserProfileViewRenderer {
    @Autowired
    private UserService userService;
    private final String ID ="id";

    @Override
    public String render(Map<String, Object> model, AccessToken accessToken) {
        try {
            String userId = (String) model.get(ID);
            if (userId != null) {
                return OAuth20Utils.jsonify(userService.findByUserName(userId));
            }
        }catch (Exception e){

        }
        return null;
    }
}

自定义用户接口

package com.destinym.cas.service;

import java.util.Map;

/**
 * Created by mengliang on 2018/12/27.
 */

public interface UserService {
    Map<String, Object> findByUserName(String username);
}

MOCK用户信息

package com.destinym.cas.mock;

import com.destinym.cas.service.UserService;

import java.util.HashMap;
import java.util.Map;

/**
 * Created by mengliang on 2018/12/30.
 */
public class MockUserService implements UserService {
    @Override
    public Map<String, Object> findByUserName(String username) {
        {
            HashMap hashMap = new HashMap();
            hashMap.put("username", "casuser");
            hashMap.put("tel","18600000000");
            hashMap.put("region","china");
            return hashMap;
        }
    }
}

修改spring.factories
增加

  org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
  org.apereo.cas.config.CasEmbeddedContainerTomcatConfiguration,\
  org.apereo.cas.config.CasEmbeddedContainerTomcatFiltersConfiguration,\
  com.destinym.cas.config.CustomOAuthConfiguration

重新部署后,运行结果为

{
    "tel": "18600000000",
    "region": "china",
    "username": "casuser"
}

大功告成。具体可以参考git地址:
https://github.com/destinym/cas-oauth2-custom

上一篇下一篇

猜你喜欢

热点阅读