cas5.3.2单点登录-Cas Server自定义Oauth2.0的用户信息

前言

目前我们系统中,用户登陆,API调用是融合在一起的,API后面是调用各个dubbo服务。为了保证各个系统能够鉴权,目前的做法是,用用户登陆后,生成token,将token存在redis中,各个系统通过读取reids的token作为验证。

几个问题:

  1. 登陆体系和业务代码混合在一起,不是特别规范。
  2. 自定义的token机制,缺点很多。
  3. 所有服务都是直接读取redis,安全性很差。
  4. 扩展性比较差。

准备

目前业务系统完全耦合在一起的,我们需要将登陆独立出来。
很多大公司都有自己的CAS系统,这样公司的其他系统不必要建立自己的账号体系,直接接入CAS即可。
之前我不是特别能够区分CAS,SSO,OAUTH2这些概念,经过了几个星期的探索重要理清楚了。

  • SSO
    SSO是Single Sign On,一次登陆,全部访问。对于我们来说,使用了SSO,多个系统可以完全独立,所有系统不用关心用户体系。
  • OAUTH2
    OAUTH2是一种授权开放协议。官网上面这么介绍. 
    An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.
    相关文章:
    https://oauth.net/
    http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
  • CAS
    CAS是Central Authentication Service的缩写,耶鲁大学开启的一个开源项目,是企业级的SSO解决方案。
    https://apereo.github.io/cas/5.3.x/index.html

改造

基于上面的概念,以及我们的需求,我们的用户系统有SSO和OAUTH2.0两个功能。我们会基于CAS实现我们的功能,CAS天热支持SSO,主要是OAUTH2.0的支持,我们查他的文档发现他有插件可以支持。
对于环境搭建,可以参考:
https://blog.csdn.net/qq_34021712/article/details/80871015
https://blog.csdn.net/qq_34021712/article/details/82290876

正文

构建SSO和OAUTH2.0

按上面文章结合官网,我们搭建好环境。
https://apereo.github.io/cas/5.3.x/installation/OAuth-OpenId-Authentication.html
访问下面地址
https://server.cas.com:8443/cas/oauth2.0/accessToken?grant_type=password&client_id=20180901&username=casuser&password=Mellon
得到下面结果:
access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9&expires_in=28800
我们将access_token修改放入下面地址
https://server.cas.com:8443/cas/oauth2.0/profile?access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9
得到下面结果:
{ "service": "http://localhost:8080", "attributes": {}, "id": "casuser", "client_id": "20180901" }
我们会发现没有任何用户信息,然后我参考cas5.3.2单点登录-自定义返回信息给客户端(十九) 这个文章, 发现结果没有任何变化。

问题和解决

既然有问题,那么怎么解决?之前我走了很多弯路,原因在于两个方面,第一,对CAS本地理解不足,第二,对于官网文档理解不足。
首先,需要debug一下,看看问题所在,我们有两个url,第一个是获取accessToken,第二个是获取用户信息。
跟踪获取用户信息,发现获取用户信息是从session里面获取的,里面用户信息就是空,那么我开始会认为是accessToken获取的时候,会将用户信息放入session,这里出现问题,才会导致profile没有效果。
进一步跟踪accessToken,发现在存储session的时候,使用的是UsernamePasswordCredential生成的profile,而这个里面只用username和password两个属性。所以,你用密码方式登录的,session里面是不会存储任何用户信息。
这个时候,查看官方文档,里面开始就有个定制模式,我一直不明白.

package org.apereo.cas.support.oauth;

@Configuration("MyOAuthConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class MyOAuthConfiguration {
  @Bean
  @RefreshScope
  public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {   
  ...
  }}

在跟踪profile代码的时候,发现OAuth20UserProfileViewRenderer是这里面的方法,才恍然大悟,官方的意思是,accessToken的时候,你不需要做任何修改,但是在获取用户信息的时候,你可以自定义,例如从数据库或者 Redis里面读取用户信息。

代码如下:
配置类

package com.destinym.cas.config;

import com.destinym.cas.custom.CustomOAuth20UserProfileViewRenderer;
import com.destinym.cas.mock.MockUserService;
import com.destinym.cas.service.UserService;
import org.apereo.cas.configuration.CasConfigurationProperties;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.cloud.context.config.annotation.RefreshScope;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration("customAuthenticationConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class CustomOAuthConfiguration {
    @Bean
    @RefreshScope
    public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {
        CustomOAuth20UserProfileViewRenderer customOAuth20UserProfileViewRenderer = new CustomOAuth20UserProfileViewRenderer();
        return customOAuth20UserProfileViewRenderer;
    }

    @Bean
    public UserService userService() {
        return new MockUserService();
    }
}

重新render类

package com.destinym.cas.custom;

import com.destinym.cas.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.apereo.cas.support.oauth.util.OAuth20Utils;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.apereo.cas.ticket.accesstoken.AccessToken;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Map;

/**
 * Created by mengliang on 2018/12/30.
 */

@Slf4j
public class CustomOAuth20UserProfileViewRenderer implements OAuth20UserProfileViewRenderer {
    @Autowired
    private UserService userService;
    private final String ID ="id";

    @Override
    public String render(Map<String, Object> model, AccessToken accessToken) {
        try {
            String userId = (String) model.get(ID);
            if (userId != null) {
                return OAuth20Utils.jsonify(userService.findByUserName(userId));
            }
        }catch (Exception e){

        }
        return null;
    }
}

自定义用户接口

package com.destinym.cas.service;

import java.util.Map;

/**
 * Created by mengliang on 2018/12/27.
 */

public interface UserService {
    Map<String, Object> findByUserName(String username);
}

MOCK用户信息

package com.destinym.cas.mock;

import com.destinym.cas.service.UserService;

import java.util.HashMap;
import java.util.Map;

/**
 * Created by mengliang on 2018/12/30.
 */
public class MockUserService implements UserService {
    @Override
    public Map<String, Object> findByUserName(String username) {
        {
            HashMap hashMap = new HashMap();
            hashMap.put("username", "casuser");
            hashMap.put("tel","18600000000");
            hashMap.put("region","china");
            return hashMap;
        }
    }
}

修改spring.factories
增加

  org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
  org.apereo.cas.config.CasEmbeddedContainerTomcatConfiguration,\
  org.apereo.cas.config.CasEmbeddedContainerTomcatFiltersConfiguration,\
  com.destinym.cas.config.CustomOAuthConfiguration

重新部署后,运行结果为

{
    "tel": "18600000000",
    "region": "china",
    "username": "casuser"
}

大功告成。具体可以参考git地址:
https://github.com/destinym/cas-oauth2-custom

©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,530评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,403评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,120评论 0 337
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,770评论 1 277
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,758评论 5 367
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,649评论 1 281
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,021评论 3 398
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,675评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,931评论 1 299
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,751评论 1 330
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,410评论 4 321
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,004评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,969评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,042评论 2 350
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,493评论 2 343

推荐阅读更多精彩内容