通过OAuth应用配置OAuth回调地址,为用户提供一个使用阿里云账号就能免密登录服务软件的地址。本文介绍了OAuth免密登录的配置流程。
配置OAuth免密登录功能包含以下操作:
步骤一:创建RAM应用
配置OAuth免密登录前,您需要在RAM控制台创建一个应用,从而获取用户信息和访问阿里云的API。
登录RAM控制台。
在左侧导航栏,单击OAuth应用管理。
在企业应用页签,单击创建应用。
在弹出的创建应用页签,完成创建应用参数配置。
参数
说明
应用名称
应用名称长度为1-64个字符,允许输入英文字母、数字、顿号、下划线(_)或短划线(-)。
显示名称
显示名称最长为24个汉字或字符。
应用类型
可选类型如下:
WebApp:指基于浏览器交互的网络应用。
NativeApp:指操作系统中允许的本地应用,主要为运行在桌面操作系统或移动操作系统中的应用。
ServerApp:指直接访问阿里云服务,无需依赖用户登录的应用。目前仅支持基于SCIM协议的用户同步应用。
访问令牌有效期
有效期可设置15分钟至3小时之间。
刷新令牌有效期
刷新令牌有效期可设置2小时至1年。
回调地址
填写您事先规划好的回调地址。
说明基于安全考虑,建议填写HTTPS开头的地址。
创建完成后,在企业应用页签,单击创建的应用名称。
在基本信息页面,完成应用OAuth范围的添加。
添加OAuth范围即指定服务商需要从用户处获取哪些权限的授权。
在应用OAuth范围页签,单击添加OAuth范围。
在添加OAuth范围面板,选择需要添加的OAuth范围。
单击确定。
在基本信息页面,完成应用密钥的添加。
服务商的SaaS端需要接入该应用管理服务,需要使用应用密钥来作为配置,进行鉴权调用的配置参数。
在应用密钥页签,单击创建密钥。
在创建应用密钥的对话框中,查看、复制或下载创建成功的应用密钥。
单击关闭。
说明每个应用最多允许创建2个应用密钥。
步骤二:修改SaaS服务端配置
应用创建完成后,您需要在SaaS服务工程中引入OAuth的SDK,将OAuth的配置数据接入SaaS服务的配置文件中,完成OAuth应用和SaaS服务端的数据对接。
在SaaS服务工程中引入OAuth SDK,在SDK中新增回调拦截和获取用户授权。
服务商对SaaS服务的OAuth接入详细操作,请参见OAuth常用的SDK示例。
修改SaaS服务项目文件配置,加入OAuth应用需要的
AK
、accessTokenUri
、userAuthorizationUri
等配置项。修改示例
示例中是引入OAuth SDK后,将application.yml文件中的OAuth配置中需要响应的内容替换成创建应用时设置的数据。
aliyun: client: clientId: 4086517946102XXXXXX #(Oauth 应用ID) clientSecret: 4ljFyOsIOp2**** #(Oauth 应用Secret) accessTokenUri: https://oauth.aliyun.com/v1/token userAuthorizationUri: https://signin.aliyun.com/oauth2/v1/auth tokenName: access_token authenticationScheme: query clientAuthenticationScheme: form resource: userInfoUri: https://oauth.aliyun.com/v1/userinfo logging: level: org.springframework.security: DEBUG
后续步骤
完成应用的创建和接入后,即可到计算巢控制台部署含免密登录功能的服务。
- 本页导读 (0)