通过OAuth应用配置OAuth回调地址,为用户提供一个使用阿里云账号就能免密登录服务软件的地址。本文介绍了OAuth免密登录的配置流程。

配置OAuth免密登录功能包含以下操作:
  1. 步骤一:创建RAM应用
  2. 步骤二:修改SaaS服务端配置

步骤一:创建RAM应用

配置OAuth免密登录前,您需要在RAM控制台创建一个应用,从而获取用户信息和访问阿里云的API。

  1. 登录RAM控制台
  2. 在左侧导航栏,单击OAuth应用管理
  3. 企业应用页签,单击创建应用
  4. 在弹出的创建应用页签,完成创建应用参数配置。
    参数 说明
    应用名称 应用名称长度为1-64个字符,允许输入英文字母、数字、顿号、下划线(_)或短划线(-)。
    显示名称 显示名称最长为24个汉字或字符。
    应用类型 可选类型如下:
    • WebApp:指基于浏览器交互的网络应用。
    • NativeApp:指操作系统中允许的本地应用,主要为运行在桌面操作系统或移动操作系统中的应用。
    • ServerApp:指直接访问阿里云服务,无需依赖用户登录的应用。目前仅支持基于SCIM协议的用户同步应用。
    访问令牌有效期 有效期可设置15分钟至3小时之间。
    刷新令牌有效期 刷新令牌有效期可设置3小时至1年。
    回调地址 填写您事先规划好的回调地址。
    说明 基于安全考虑,建议填写HTTPS开头的地址。
    创建应用
  5. 创建完成后,在企业应用页签,单击创建的应用名称。
  6. 在基本信息页面,完成应用OAuth范围的添加。
    添加OAuth范围即指定服务商需要从用户处获取哪些权限的授权。
    1. 应用OAuth范围页签,单击添加OAuth范围
      添加OAuth范围按钮
    2. 添加OAuth范围面板,选择需要添加的OAuth范围。
    3. 单击确定
    添加范围
  7. 在基本信息页面,完成应用密钥的添加。
    服务商的SaaS端需要接入该应用管理服务,需要使用应用密钥来作为配置,进行鉴权调用的配置参数。
    1. 应用密钥页签,单击创建密钥
    2. 创建应用密钥的对话框中,查看、复制或下载创建成功的应用密钥。
    3. 单击关闭
    创建秘钥
    说明 每个应用最多允许创建2个应用密钥。

步骤二:修改SaaS服务端配置

应用创建完成后,您需要在SaaS服务工程中引入OAuth的SDK,将OAuth的配置数据接入SaaS服务的配置文件中,完成OAuth应用和SaaS服务端的数据对接。

  1. 在SaaS服务工程中引入OAuth SDK,在SDK中新增回调拦截和获取用户授权。
    服务商对SaaS服务的OAuth接入详细操作,请参见OAuth常用的SDK示例
  2. 修改SaaS服务项目文件配置,加入OAuth应用需要的AKaccessTokenUriuserAuthorizationUri等配置项。

    修改示例

    示例中是引入OAuth SDK后,将application.yml文件中的OAuth配置中需要响应的内容替换成创建应用时设置的数据。

    aliyun:
    client:
      clientId: 4086517946102420665 (Oauth 应用ID)
      clientSecret: 4ljFyOsIOp2vjTO...(Oauth 应用Secret)
      accessTokenUri: https://oauth.aliyun.com/v1/token
      userAuthorizationUri: https://signin.aliyun.com/oauth2/v1/auth
      tokenName: access_token
      authenticationScheme: query
      clientAuthenticationScheme: form
    resource:
      userInfoUri: https://oauth.aliyun.com/v1/userinfo


logging:
  level:
    org.springframework.security: DEBUG

后续步骤

完成应用的创建和接入后,即可到计算巢控制台部署含免密登录功能的服务。