OpenAM OAuth2
OpenAM是很強大的,OAuth2的配置也相對簡單,分3步走
- 配置OAuth2 Application(=OAuth2 connect client / ≈OAuth2 agent)
- 配置OAuth2 Service Provider(Configure OAuth2 authorization server)
- 驗證OAuth2的code/access_token/tokeninfo是否正確
配置OAuth2 Application
1.進入頂層Top Level Realm,找到Applications
->OAuth2
2.New一個Agent
,這裏看到的Name
,就是client_id
3.這裏的Client password
要記住,也就是後面要用的client_sercret
4.把要授權跳轉的網站,配置進去Redirection_URIs
,這裏我們用http://java.bejson.com/generator/
5.Scope可以設置幾個,例如mail
/employeenumber
等
*。至於Scope怎麼獲取,可以參考以下方法,從Subjects
裏面打開找到你的用戶,然後修改,然後使用Chrome的F12查看元素,EntityEdit.XXX
就是想要的Scope
了,這個值後面tokeninfo
的時候會獲取到。
配置OAuth2 Service Provider
1.DashBoard
有個Common Tasks
,找到一個Configure OAuth Provider
的菜單,配置Configure OAuth2
2.基本沒什麼可以選,默認即可。
3.正常保存後,可以再Services
裏面找到一個OAuth2 Provider
4.裏面有些配置可以定製,不過作爲demo一般默認就夠了
驗證OAuth2的code/access_token/tokeninfo是否正確
1.首先是code,開始構建url,關鍵是幾個字段
- client_id=tomcatadmin,前面agent/client裏面的Name
- response_type=code,這裏是code,當然你可以粗暴一點設置爲token直接獲取access_token
- scope=employeenumber,相當於你要tokeninfo可以獲取的信息
- redirect_uri=http://java.bejson.com/generator 必須是配置再重定向uris裏面的地址
2.跳轉並獲取Code
3.從地址提取code
爲de7f03c5-a72c-4d74-acae-b7671fbbeb19
4.使用Postman構造POST
請求,獲取ACCESS_TOKEN
- url :
http://localhost:8099/openampro/oauth2/realms/root/access_token
- 參數:
client_id:tomcatadmin
client_secret:tomcat123
code:de7f03c5-a72c-4d74-acae-b7671fbbeb19
grant_type:authorization_code
redirect_uri:http://java.bejson.com/generator
5.使用Postman構造GET
請求,獲取TOKEN INFO
http://localhost:8099/openampro/oauth2/realms/root/tokeninfo?access_token=
5afab977-64b0-4480-83cb-40b140aae1ed
Summary
到此,一個簡單的OpenAM-OAuth2的構建(redirectUrl->code->accessToken->tokenInfo
)已經完成,但是這只是一個開始,還有更復雜的配置,更復雜的授權機制,還有LDAP/Subjects同步,Scope設置等等內容需要探索。