通过伪代码结合理论模拟pc端接入单点登录(Oauth2浙里办)

Posted 张子行的博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了通过伪代码结合理论模拟pc端接入单点登录(Oauth2浙里办)相关的知识,希望对你有一定的参考价值。

前言

还记得那是一个惺忪的早晨,带着困意的我正准备去公司上班,坐车坐到一半,钉钉突然袭来一条红色预警信息,公司查出来有个人阳了,好消息:万幸我还在去公司的路上,没有和他有过多的接触,坏消息:那个人的工位离我不过3米远,内心os:我靠,没办法这种情况也只能打道回府了,开始了为期快一个月的居家办公生活,即使居家了也没能阻止我成为小洋人,万幸症状不严重,熬过了那段时间之后,慢慢的也恢复从前的生活了。

pc端接入单点登录

本人由于对接的是pc端的浙里办登录,先说下思路吧,先去申请一个 IRS 组件,之后去找浙里办那边的技术人员让其通过一下,然后他们会给我们一个 appid ,看到这个 appid 就知道他们单点登录是通过 Oauth2 协议实现的了,然后我们携带好 appid 去访问他们提供的单点统一登录的地址就行,https://portal.zjzwfw.gov.cn/uc/sso/login?appId=xxxxx,注意这是对接的 pc 端,这个地址只能通过浏览器地址栏输入的形式进行访问,然后浙里办收到单点登录请求之后,会返回一个 ticketId 请求重定向到我们系统,至于票据 ticketId 的接收,我们自己系统可以通过接口接收、或者通过一个页面接收,由于对接的是 pc 端,我们这里采用页面接收,页面接收到 ticketId 后,拿着 ticketId 去请求我们自己的接口,接口通过 ticketId 去请求 token 返回 token 给我们的页面,获取 token 成功后,然后通过 token 去获取用户信息,如果该浙里办用户绑定过我们系统的账号,最终才能进入系统,否则跳转到账号绑定页面。

实现流程大概就是上文描述的这样了,接下来说一下大家对单点登录理解起来比较绕的点吧

  1. 回调地址是什么东西?系统 a 发起一个请求到系统 b,系统 b 收到请求后,将请求重定向回系统 a ,这个重定向地址就是回调地址。该怎么配置回调地址呢?找一台公网可访问的服务器,将服务部署到上面,这个回调地址可以是一个接口,也可以是一个公网可访问的页面,然后把对应的访问地址告知系统 b 即可。这样当系统 a 访问 b 系统的统一登录地址时,b 系统就知道将票据 回调给哪个地址了。拿到了票据后,就可以进行接下来的一系列操作了。浙里办是分公网、政务云环境的,各位根据自己系统所在的环境来就行,总之就是要让系统 b 可以访问到系统 a 的那个回调地址。
  2. 回调地址配页面还是接口? 拿浙里办pc端的单点登录来说,由于pc端浙里办登录的口子,只能通过浏览器输入url访问,如果想要实现用户登录了浙里办,再次访问我们系统,免登就可以进入系统的效果,那么这种情况下我们系统原有的登录页是要舍弃的。原因很简单,前端如果采用发请求的方式去请求浙里办统一登录页面,当用户没有登录的时候,浙里办那边那个请求已经被重定向到浙里办登录页了,但是此时前端 api 的限制,无法进行重定向,只能干瞪眼看着一个 302 状态码,却无法进行重定向的操作哦。回调接收页面的逻辑很简单,就是在加载页面的时候重定向到浙里办的登录页即可,这样一来所有的系统登录页都统一了,也就实现了单个系统登录,其他系统无需登录的效果了。
  3. 如果pc端即想要保留自己的用户体系登录页、也想接入浙里办单点登录可以在原有的登录页上面加一个浙里办登录的口子,口子 url 填写 https://portal.zjzwfw.gov.cn/uc/sso/login?appId=xxxxx 这个地址就行,供用户选择登录方式,如果用户登录过浙里办,点击我们系统的浙里办登录口子就直接跳转进入系统了,没有登录过,会走 Auth2 认证授权那一套登录逻辑。不了解 Oauth2 的小伙伴可以移步,结合源码剖析Oauth2分布式认证与授权的实现流程

实战模拟加深理解

系统a:端口号 8082,接下来的内容意在编写伪代码,模拟上述过程加深理解,系统 a 回调页面模拟代码:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>单点登录</title>
</head>
<body>
中间页
<script>
    window.onload = function load() 
        const searchParams = new URLSearchParams(window.location.search);
        const ticketId = searchParams.get("ticketId"); // 从url参数获取ticketId
        //地址栏有票据
        if (ticketId) 
            //根据票据获取token
            fetch(`/auth/getTokenByTicketId?ticketId=` + ticketId, 
                method: 'post'
            ).then(response => 
                return response.text();
            ).then(result => 
                //根据token获取用户信息
                fetch(`/auth/getUserInfoByToken?token=`+result, 
                    method: 'post'
                ).then(response => 
                    return response.json();
                ).then(result => 
                    console.log('user info==', result);
                )
            )
        
        //地址栏无票据,跳转至统一登录页
        else 
        	//直接重定向至统一登录页
            //window.location.href = "http://localhost:8080/auth/zw/appid=111";
            //模拟通过发起请求,去访问统一登录页
            fetch(`http://localhost:8080/auth/zw/appid=111`, 
                method: 'get'
            ).then(response => 
                return response.text();
            ).then(result => 
                console.log(result);
            )
        
    
</script>
</body>
</html>

系统 a 获取 token、用户信息接口:

@Slf4j
@RestController
@RequestMapping("/auth")
public class AuthController 
    @PostMapping("/getTokenByTicketId")
    public String dologin(@RequestParam("ticketId") String ticketId) 
        if (!"zzh".equals(ticketId)) return "通过此ticketId获取token失败,无效ticketId";
        log.info("-------发起请求调用浙里办获取token接口 api 获取到的 token为:token-----");
        return "token";
    
    /**
     * 获取用户信息
     */
    @PostMapping("/getUserInfoByToken")
    public String userInfo(@RequestParam("token") String token) 
        log.info("-----调用浙里办获取用户信息接口,获取用户信息-----");
        if (token != null && "token".equals(token)) 
            return "通过该token成功获取到用户信息。";
         else 
            return "无效token";
        
    

浙里办后端模拟代码

很简单的一个模拟,主要分二种情况

  1. 用户登录过浙里办,携带票据重定向到系统 a 的回调页(系统 a 的回调接口)上面
  2. 用户没有登录浙里办,跳转到浙里办登录页。
@Slf4j
@RestController
@RequestMapping("/auth")
public class AuthController 
    /**
     * 浙里办模拟重定向到回调地址,并且附ticketId
     */
    @CrossOrigin
    @GetMapping("/zw/appid")
    public void zw(@PathVariable("appid") String appid, HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException 
        System.err.println("-------appid-------" + appid);
        response.setHeader("Access-Control-Allow-Origin", "*");
        //重定向到系统 a 配置的回调页面
        //response.sendRedirect("http://localhost:8082/mid.html?ticketId=zzh");
        //重定向到系统 a 配置的回调接口上
        //response.sendRedirect("http://localhost:8082/auth/test/569a1529886e47f8a5f807ab3133b541");
        //重定向到浙里办登录页
        response.sendRedirect("http://localhost:8080/auth/index");
    
    @CrossOrigin
    @GetMapping("/index")
    public String d(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException 
        return "浙里办登录页";
    

模拟-前端通过发起请求的方式去访问统一登录页

可以看到我们的请求得到的反馈是 302(请求重定向),此时的前端只能得到重定向页面的整个页面源码,无法手动重定向!!!!!!,因此 pc 端去通过发起请求的方式去访问浙里办统一登录页,无法手动跟随重定向,这也是为什么 pc 端只能用浏览器输入url去访问统一登录页面的原因!!!!!

模拟-前端通过浏览器输入url方式访问统一登录页

修改回调页面代码再次进行测试

可以看到重定向成功

模拟-带票据访问回调页

可以看到成功获取到用户信息,之后的接入大家的业务逻辑就可以了。

总结

pc 端统一登录的口子,切记使用浏览器输入 url 的方式去访问,不然对于返回的 302 状态码,前端无法手动跟随重定向,如果你此时对接的单点登录,他们提供了工具类并有方法去检测用户是否登录,登录了则返回票据,未登录返回一个状态码啥的,此时前端就无需考虑这么多了,后端就写本文的那俩个接口就行,前端的逻辑无非就是通过提供的工具类,当用户访问系统 a 的时候,去检测用户是否已经登录,未登录跳转到统一登录页,登录过拿到票据去请求本系统中的接口走如下流程即可。

以上是关于通过伪代码结合理论模拟pc端接入单点登录(Oauth2浙里办)的主要内容,如果未能解决你的问题,请参考以下文章

CAS搭建单点登录rest认证-APP端接入方案

单点登录系统SSO——理论

Keycloak快速上手指南,只需10分钟即可接入Spring Boot/Vue前后端分离应用实现SSO单点登录

Keycloak快速上手指南,只需10分钟即可接入Spring Boot/Vue前后端分离应用实现SSO单点登录

单点登录——让自由账号体系与畅言轻松结合

如何通过php实现SSO单点登录系统接入功能