前言

本文主要用于介绍如何开发对接OAuth2协议的IDP与SP的方法，在本文中以赛赋IDaaS作为IDP的示例。

关于OAuth2

OAuth是Open Authorization的简写。OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAuth认证服务，因而OAuth是开放的。业界提供了OAuth的多种实现如PHP、JavaScript，Java，Ruby等各种语言开发包，大大节约了程序员的时间，因而OAuth是简易的。

OAuth2是OAuth协议的2.0版本，不向后兼容OAuth1.0。

OAuth 2.0定义了四种授权方式，赛赋IDaaS使了其中的授权码模式（authorization code）

更新关于OAuth的信息可查看OAuth官网，地址： https://oauth.net/2/

实现OAuth的Client

实现Client的主要思路：

1.需要新建一个处理redirectUri的controller或者filter进行处理

2.根据authentication code去请求token

3.获取token之后将token与用户绑定

4.之后就可以使用token去获取授权的资源

新建一个登录的拦截器检验用户是否登录，未登录走应用auth2的登录流程

新建一个处理auth2的登录流程controller类

判断authentication  code是否为空，当coed为空时则说明当前请求不是认证服务器的回调请求，则重定向URL到认证服务器登录（使用赛赋IDaaS登录）

判断authentication  code不为空时，验证Token，并返回用户基本信息、所属角色、访问权限等

从session中获取回调URL，并返回

   demo:

  登录校验过滤器：

/**

* 定义一些页面需要做登录检查 *

* @since 1.0.0

*/

public class LoginInterceptor extends HandlerInterceptorAdapter{   

/**   

* 检查是否已经登录   

*/   

@Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception

{

        HttpSession session = request.getSession();        //获取session中存储的用户信息

        UserBo user = (UserBo) session.getAttribute(Constants.SESSION_USER);        if(user != null){

            return true;       

}

else{

            //如果token不存在，则跳转等登录页面            response.sendRedirect(request.getContextPath() + "/login?redirectUrl=" + SpringContextUtils.getRequestUrl(request));

            return false;

        }

    }

}

登录相关的代码逻辑：

/**

* 登录

*@since 1.0.0

*/

@Controllerpublic class LoginController {

@Autowired private RestTemplate restTemplate;

@Value("${own.sso.access-token-uri}") private String accessTokenUri;

@Value("${own.sso.verify-uri}") private String verifyUri;

/**

* 登录验证（实际登录调用认证服务器）

* @date 2020/1/16 18:02

* @since 1.0.0

* @param request HttpServletRequest

* @return org.springframework.web.servlet.ModelAndView */ @RequestMapping("/login") public ModelAndView login(HttpServletRequest request, HttpServletResponse response)

{ //当前系统登录成功之后的回调URL String redirectUrl = request.getParameter("redirectUrl");

//当前系统请求认证服务器成功之后返回的Token String code = request.getParameter("code");

//最后重定向的URL String resultUrl = "redirect:"; HttpSession session = request.getSession();

//1. code为空，则说明当前请求不是认证服务器的回调请求，则重定向URL到认证服务器登录

if(StringUtils.isBlank(code)){

//如果存在回调URL，则将这个URL添加到session

if(StringUtils.isNoneBlank(redirectUrl)){ session.setAttribute(Constants.SESSION_LOGIN_REDIRECT_URL,redirectUrl);

}

//拼装请求Token的地址 resultUrl += accessTokenUri; }else{ //2. 验证Token，并返回用户基本信息、所属角色、访问权限等

SsoResponse verifyResponse = restTemplate.getForObject(verifyUri, SsoResponse.class ,code);

//如果正常返回

if(StringUtils.isNoneBlank(verifyResponse.getAccess_token())){

//2.1 将用户信息存到session session.setAttribute(Constants.SESSION_USER,verifyResponse.getUser_info());

//2.2 将Access Token和Refresh Token写到cookie

CookieUtils.addCookie(response,Constants.COOKIE_ACCESS_TOKEN, verifyResponse.getAccess_token(),request.getServerName());

CookieUtils.addCookie(response,Constants.COOKIE_REFRESH_TOKEN, verifyResponse.getRefresh_token(),request.getServerName());

}

//3. 从session中获取回调URL，并返回 redirectUrl = (String)session.getAttribute(Constants.SESSION_LOGIN_REDIRECT_URL);

session.removeAttribute("redirectUrl");

if(StringUtils.isNoneBlank(redirectUrl)){ resultUrl += redirectUrl;

}

else{

resultUrl += "/user/userIndex";

}

}

return new ModelAndView(resultUrl);

}

}

faq

其它必要解释说明的信息：

应用使用Access Token从IDaaS取得的用户信息。

   1. IDaaS根据管理后台中配置的子账号规则返回用户信息。

    2.IDaaS返回的用户信息是在应用侧不存在的账号时，是否提供signup功能

OAuth2登录跳转到IDaaS的方式建议用户2种方案可选：

    1.不提供普通的登录页面，用户输入地址后直接重定向到IDaaS；

    2.在原有的登录页面提供OAuth2的入口按钮【使用赛赋IDaaS登录】