前言
目前我们系统中,用户登陆,API调用是融合在一起的,API后面是调用各个dubbo服务。为了保证各个系统能够鉴权,目前的做法是,用用户登陆后,生成token,将token存在redis中,各个系统通过读取reids的token作为验证。
几个问题:
- 登陆体系和业务代码混合在一起,不是特别规范。
- 自定义的token机制,缺点很多。
- 所有服务都是直接读取redis,安全性很差。
- 扩展性比较差。
准备
目前业务系统完全耦合在一起的,我们需要将登陆独立出来。
很多大公司都有自己的CAS系统,这样公司的其他系统不必要建立自己的账号体系,直接接入CAS即可。
之前我不是特别能够区分CAS,SSO,OAUTH2这些概念,经过了几个星期的探索重要理清楚了。
- SSO
SSO是Single Sign On,一次登陆,全部访问。对于我们来说,使用了SSO,多个系统可以完全独立,所有系统不用关心用户体系。 - OAUTH2
OAUTH2是一种授权开放协议。官网上面这么介绍.
相关文章:An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.
https://oauth.net/
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html - CAS
CAS是Central Authentication Service的缩写,耶鲁大学开启的一个开源项目,是企业级的SSO解决方案。
https://apereo.github.io/cas/5.3.x/index.html
改造
基于上面的概念,以及我们的需求,我们的用户系统有SSO和OAUTH2.0两个功能。我们会基于CAS实现我们的功能,CAS天热支持SSO,主要是OAUTH2.0的支持,我们查他的文档发现他有插件可以支持。
对于环境搭建,可以参考:
https://blog.csdn.net/qq_34021712/article/details/80871015
https://blog.csdn.net/qq_34021712/article/details/82290876
正文
构建SSO和OAUTH2.0
按上面文章结合官网,我们搭建好环境。
https://apereo.github.io/cas/5.3.x/installation/OAuth-OpenId-Authentication.html
访问下面地址
https://server.cas.com:8443/cas/oauth2.0/accessToken?grant_type=password&client_id=20180901&username=casuser&password=Mellon
得到下面结果:
access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9&expires_in=28800
我们将access_token修改放入下面地址
https://server.cas.com:8443/cas/oauth2.0/profile?access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9
得到下面结果:
{ "service": "http://localhost:8080", "attributes": {}, "id": "casuser", "client_id": "20180901" }
我们会发现没有任何用户信息,然后我参考cas5.3.2单点登录-自定义返回信息给客户端(十九) 这个文章, 发现结果没有任何变化。
问题和解决
既然有问题,那么怎么解决?之前我走了很多弯路,原因在于两个方面,第一,对CAS本地理解不足,第二,对于官网文档理解不足。
首先,需要debug一下,看看问题所在,我们有两个url,第一个是获取accessToken,第二个是获取用户信息。
跟踪获取用户信息,发现获取用户信息是从session里面获取的,里面用户信息就是空,那么我开始会认为是accessToken获取的时候,会将用户信息放入session,这里出现问题,才会导致profile没有效果。
进一步跟踪accessToken,发现在存储session的时候,使用的是UsernamePasswordCredential生成的profile,而这个里面只用username和password两个属性。所以,你用密码方式登录的,session里面是不会存储任何用户信息。
这个时候,查看官方文档,里面开始就有个定制模式,我一直不明白.
package org.apereo.cas.support.oauth;
@Configuration("MyOAuthConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class MyOAuthConfiguration {
@Bean
@RefreshScope
public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {
...
}}
在跟踪profile代码的时候,发现OAuth20UserProfileViewRenderer是这里面的方法,才恍然大悟,官方的意思是,accessToken的时候,你不需要做任何修改,但是在获取用户信息的时候,你可以自定义,例如从数据库或者 Redis里面读取用户信息。
代码如下:
配置类
package com.destinym.cas.config;
import com.destinym.cas.custom.CustomOAuth20UserProfileViewRenderer;
import com.destinym.cas.mock.MockUserService;
import com.destinym.cas.service.UserService;
import org.apereo.cas.configuration.CasConfigurationProperties;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.cloud.context.config.annotation.RefreshScope;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
@Configuration("customAuthenticationConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class CustomOAuthConfiguration {
@Bean
@RefreshScope
public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {
CustomOAuth20UserProfileViewRenderer customOAuth20UserProfileViewRenderer = new CustomOAuth20UserProfileViewRenderer();
return customOAuth20UserProfileViewRenderer;
}
@Bean
public UserService userService() {
return new MockUserService();
}
}
重新render类
package com.destinym.cas.custom;
import com.destinym.cas.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.apereo.cas.support.oauth.util.OAuth20Utils;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.apereo.cas.ticket.accesstoken.AccessToken;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.Map;
/**
* Created by mengliang on 2018/12/30.
*/
@Slf4j
public class CustomOAuth20UserProfileViewRenderer implements OAuth20UserProfileViewRenderer {
@Autowired
private UserService userService;
private final String ID ="id";
@Override
public String render(Map model, AccessToken accessToken) {
try {
String userId = (String) model.get(ID);
if (userId != null) {
return OAuth20Utils.jsonify(userService.findByUserName(userId));
}
}catch (Exception e){
}
return null;
}
}
自定义用户接口
package com.destinym.cas.service;
import java.util.Map;
/**
* Created by mengliang on 2018/12/27.
*/
public interface UserService {
Map findByUserName(String username);
}
MOCK用户信息
package com.destinym.cas.mock;
import com.destinym.cas.service.UserService;
import java.util.HashMap;
import java.util.Map;
/**
* Created by mengliang on 2018/12/30.
*/
public class MockUserService implements UserService {
@Override
public Map findByUserName(String username) {
{
HashMap hashMap = new HashMap();
hashMap.put("username", "casuser");
hashMap.put("tel","18600000000");
hashMap.put("region","china");
return hashMap;
}
}
}
修改spring.factories
增加
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
org.apereo.cas.config.CasEmbeddedContainerTomcatConfiguration,\
org.apereo.cas.config.CasEmbeddedContainerTomcatFiltersConfiguration,\
com.destinym.cas.config.CustomOAuthConfiguration
重新部署后,运行结果为
{
"tel": "18600000000",
"region": "china",
"username": "casuser"
}
大功告成。具体可以参考git地址:
https://github.com/destinym/cas-oauth2-custom