OpenAM之OAuth2配置

OpenAM OAuth2

OpenAM是很强大的，OAuth2的配置也相对简单，分3步走

• 配置OAuth2 Application（=OAuth2 connect client / ≈OAuth2 agent）
• 配置OAuth2 Service Provider（Configure OAuth2 authorization server）
• 验证OAuth2的code/access_token/tokeninfo是否正确

配置OAuth2 Application

1.进入顶层Top Level Realm，找到Applications->OAuth2

2.New一个Agent，这里看到的Name，就是client_id

3.这里的Client password要记住，也就是后面要用的client_sercret

4.把要授权跳转的网站，配置进去Redirection_URIs，这里我们用http://java.bejson.com/generator/
5.Scope可以设置几个，例如mail/employeenumber等

*。至于Scope怎么获取，可以参考以下方法，从Subjects里面打开找到你的用户，然后修改，然后使用Chrome的F12查看元素，EntityEdit.XXX就是想要的Scope了，这个值后面tokeninfo的时候会获取到。

配置OAuth2 Service Provider

1.DashBoard有个Common Tasks，找到一个Configure OAuth Provider的菜单，配置Configure OAuth2

2.基本没什么可以选，默认即可。
3.正常保存后，可以再Services里面找到一个OAuth2 Provider

4.里面有些配置可以定制，不过作为demo一般默认就够了

验证OAuth2的code/access_token/tokeninfo是否正确

1.首先是code，开始构建url，关键是几个字段

http://localhost:8099/openampro/oauth2/realms/root/authorize?client_id=tomcatadmin&response_type=code&scope=employeenumber&redirect_uri=http://java.bejson.com/generator

• client_id=tomcatadmin，前面agent/client里面的Name
• response_type=code，这里是code，当然你可以粗暴一点设置为token直接获取access_token
• scope=employeenumber，相当于你要tokeninfo可以获取的信息
• redirect_uri=http://java.bejson.com/generator 必须是配置再重定向uris里面的地址

2.跳转并获取Code

3.从地址提取code为de7f03c5-a72c-4d74-acae-b7671fbbeb19

4.使用Postman构造POST请求，获取ACCESS_TOKEN

• url :

http://localhost:8099/openampro/oauth2/realms/root/access_token

• 参数：

client_id:tomcatadmin
client_secret:tomcat123
code:de7f03c5-a72c-4d74-acae-b7671fbbeb19
grant_type:authorization_code
redirect_uri:http://java.bejson.com/generator

5.使用Postman构造GET请求，获取TOKEN INFO

http://localhost:8099/openampro/oauth2/realms/root/tokeninfo?access_token=5afab977-64b0-4480-83cb-40b140aae1ed

Summary

到此，一个简单的OpenAM-OAuth2的构建（redirectUrl->code->accessToken->tokenInfo）已经完成，但是这只是一个开始，还有更复杂的配置，更复杂的授权机制，还有LDAP/Subjects同步，Scope设置等等内容需要探索。