企业微信工作台集成CAS实现单点登录

最新推荐文章于 2024-05-09 10:30:09 发布
最新推荐文章于 2024-05-09 10:30:09 发布
阅读量3.5k 收藏 15
点赞数 1
文章标签: 企业微信 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Forget_Re/article/details/127884710
版权

需求描述

最近客户有一个需求,希望在企业微信的工作台上放一些业务系统的链接。这些业务系统本身已经完成了和CAS单点的对接,但是放在企业微信工作台上就会出现问题。点击系统链接的时候,会先被CAS拦截下来,跳转到单点登录页。用户在输入完账号密码后,才能进入对应系统。这样就很不方便,希望可以实现点击对应系统的链接之后,可以自动实现认证过程,直接进入系统。

方案说明

我们可以利用企业微信本身提供的Oauth2认证来实现这个需求。通过企业微信的Oauth2认证,我们可以安全获取当前微信的登录用户。我们再根据这个用户去CAS创建票据,即可成功实现企业微信和CAS之间的组合认证。

企业微信提供了一个链接:

https://open.weixin.qq.com/connect/oauth2/authorize?appid=CORPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&agentid=AGENTID&state=STATE#wechat_redirect

这个特殊的链接,只能在企业微信客户端打开(这里提供的是公共版企业微信的地址,如果企业微信是本地化部署的,则对应的域名要换成企业微信本地服务器的地址),在企业微信打开后,它会自动跳转到redirect_uri所对应的地址,并携带两个参数:codestate。这两个参数,code是我们所需要的,我们需要用这个 code去调用企业微信另一个接口,用于获取用户的id。而 state 则是可以用来携带一些信息,会在重定向时原样带回。在这里我们不需要使用,只需要 code即可。

那么我们的步骤就很明确了:

  1. 在企业微信工作台上,将对应应用的链接配置成上面那样,redirect_uri配置成CAS的地址,并且携带对应的service参数。假设CAS服务器的登录地址是 https://test.cas.com/cas/login ,对应的业务系统地址是 https://www.baidu.com 。那么对于正常的CAS登录,登录页的url应该是 https://test.cas.com/cas/login?service=https://www.baidu.com。而这里,我们就要将这个url配置成企业微信认证的 redirect_uri。但这里需要注意一点,企业微信要求这里的redirect_uri必须是经过urlEncode过的,所以我们要先对这个登录页url进行一次Encode。但这里还有一些特殊,因为我们的url中包含客户端业务系统的url,所以我们需要进行二次Encode,即先对业务系统的url进行一次Encode,变成下面这样:https://test.cas.com/cas/login?service=https%3A%2F%2Fwww.baidu.com ,然后再对整个url进行一次Encode,变成:https%3A%2F%2Ftest.cas.com%2Fcas%2Flogin%3Fservice%3Dhttps%253A%252F%252Fwww.baidu.com。这样才能放入企业微信认证链接的 redirect_uri中。
  2. 在企业微信后台管理中,将应用的可信域名配置成单点服务器的域名(需要包括端口号)。否则在后面验证code的时候,会重定向域名不是可信域名。
  3. 用户点击应用,企业微信跳转到单点登录页,并携带code。这个时候我们需要让CAS自动识别这个code,并提交到后端进入认证流程。这里的详细操作会放在下面展开来介绍。
  4. CAS后端接收到企业微信提供的code,调用企业微信的 https://open.weixin.qq.com/cgi-bin/user/getuserinfo?access_token=ACCESS_TOKEN&code=CODE接口,将code放入接口中,接口会返回用户对应的id。
  5. 如果企业微信的用户id就是CAS使用的用户名,那可以直接使用用户id创建票据。如果不是,则需要通过企业微信的用户id匹配到对应的用户名,然后再创建票据。如果没有建立企业微信用户id与用户名之间的映射关系,我们也可以通过调用企业微信提供的通讯录接口,通过用户id获取用户详细信息如手机号或者邮箱等,再通过这些信息进行匹配。
  6. 创建完票据,就可以走正常的CAS登录流程了,结束。

可以看到,整个方案最关键的点,就是让CAS拿到企业微信提供的code,并通过这个code来获取当前登录人。

CAS的改造

在上面的第3点,我们提到要让CAS自动识别到url中的code,然后提交到后端进入认证流程。这一步要如何实现呢?我这里提供一种思路,就是通过js来判断url中是否含有code参数,如果有,则代表这个请求是通过企业微信重定向过来的,那我们就需要特殊处理。

首先我们需要一个工具方法,用来获取url中的参数

/**
         * 从location中得到参数
         * @param location
         * @param name
         * @returns {null}
         */
        var getQueryString = function (location, name) {
            var reg = new RegExp('(^|&)' + name + '=([^&]*)(&|$)');
            var r = location.search.substr(1).match(reg);
            if (r !== null) return unescape(r[2]);
            return null
        };


let code = getQueryString(window.location, 'code');

这样,我们就可以从url中拿到code的值了。接下来我们需要考虑如何将这个code传到后端。这里我提供两种思路:

  1. 通过表单进行传递,将code作为账号,密码采用一个特殊值,后端识别到这个特殊值,就代表是企业微信传输过来的(不推荐,因为不能保证没有人会用这个特殊值作为密码,即使概率很小)
  2. 放入cookie中,后端判断cookie中有code,则走企业微信认证逻辑,否则走正常逻辑。

这里提供一下放入cookie的代码:

var setEnterpriseWechatCodeCookie = function (code) {
            document.cookie = "authCode=" + code;
};

setEnterpriseWechatCodeCookie(code);

下面,怎么将这个code提交到后端呢?这里用比较取巧的方法,走正常的表单提交,只不过账号密码里面填上无意义的值。

document.getElementById("username").setAttribute("value", "_");
document.getElementById("password").setAttribute("value", "_");
document.getElementById("login-btn").click();

可以看到,这里模拟了登录按钮的点击操作,这样就可以将code提交到后端了。

但仅仅是这样,还是有一些瑕疵。在实际的效果中,这样的确可以实现自动识别code,并传给后端。但是登录界面会一闪而过,比较影响体验。那么我们为了让用户无感,要想办法让用户看不到这个登录界面。

这里我采用的方法是:

  1. 先让整个登录界面都默认不显示,即display:none,然后在整个界面上增加一个纯白的遮罩,之后再让登录界面显示。
  2. 在判断不需要走企业微信登录逻辑,即走正常登录逻辑时,删除遮罩

这样做的好处是,纯白的遮罩看起来像是网页加载过程中正常的空白,所以对用户来说是相对无感的。

下面给出部分代码:

.blank-mask {
            left: 0;
            top: 0;
            bottom:0;
            right:0;
            position: fixed;
            z-index: 99999;
            background: rgb(255,255,255);
        }
        .html-blank-mask{
            height: 100%;
            width: 100%;
            overflow: hidden;
        }


var createMask = function () {
            if( document.getElementById("blank-mask")){
                return true;
            }
            let mask = document.createElement("div");
            mask.id = "blank-mask";
            mask.className = "blank-mask";
            // 把 mask 添加到body 里。
            document.body.appendChild(mask);
            document.documentElement.classList.add("html-blank-mask");
}

var deleteMask = function () {
            let mask = document.getElementById("blank-mask");
            if(mask){
                mask.parentNode.removeChild(mask);
                document.documentElement.classList.remove("html-blank-mask");
            }

}

$(function () {
            createMask();
            $("#all").show();
            let code = getQueryString(window.location, 'code');
            if (code) {
                setEnterpriseWechatCodeCookie(code);
                document.getElementById("username").setAttribute("value", "_");
                document.getElementById("password").setAttribute("value", "_");
                document.getElementById("login-btn").click();
            } else {
                deleteMask();
            }
});

到这里为止,前端代码算是结束了,我们可以实现当企业微信重定向到CAS服务端的时候,可以自动将code传到后端了。那么后端如何使用这个code,下面进行一些简单的介绍。

在表单提交后,会进入到正常的表单登录认证的AuthenticationHandler中,我们需要在执行正常的认证逻辑之前,插入我们的企业微信认证逻辑。由于代码逻辑不算复杂,这里就不多做介绍,只贴上一份代码作为参考。

/**
     * 获取企业微信认证code的工具类
     * @return
     */
    private String getAuthCode() {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        Cookie[] cookies = request.getCookies();
        if (null != cookies) {
            for (Cookie c : cookies) {
                if ("authCode".equalsIgnoreCase(c.getName())) {
                    return c.getValue();
                }
            }
        }
        return null;
    }

    /**
     * 获取企业微信认证token的工具类,token缓存多次使用
     * @param isRefresh 是否刷新
     * @return
     */
    private String getAccessToken(boolean isRefresh) {
        Long newTime = System.currentTimeMillis();
        if (expiresIn > newTime && !isRefresh) {
            return accessToken;
        } else {
            String tokenUrl = PropertyUtil.getProperty("wx.tokenUrl",MyAuthenticationHandler.class);
            JSONObject tokenJson = new JSONObject(restTemplate.getForObject(tokenUrl, String.class,
                    PropertyUtil.getProperty("wx.corpId",MyAuthenticationHandler.class),
                    PropertyUtil.getProperty("wx.corpSecret",MyAuthenticationHandler.class)));
            if (0 == tokenJson.getInt("errcode")) {
                accessToken = tokenJson.getString("access_token");
                expiresIn = newTime + tokenJson.getLong("expires_in") * 1000;
                return accessToken;
            } else {
                return getAccessToken(true);
            }
        }
    }

    /**
     * 通过code调用企业微信接口获取userId
     * @param code
     * @param accessToken
     * @return
     */
    private String getWechatUserId(String code, String accessToken) {
        String infoUrl = PropertyUtil.getProperty("wx.userInfoUrl",MyAuthenticationHandler.class);
        JSONObject infoJson = new JSONObject(restTemplate.getForObject(infoUrl, String.class, accessToken, code));
        if (0 == infoJson.getInt("errcode")) {
            return infoJson.getString("UserId");
        } else if (40014 == infoJson.getInt("errcode")) {
            //token过期,重新获取token再次调用接口
            return getWechatUserId(code, getAccessToken(true));
        }
        return null;
    }





        //企业微信认证
        String code = getAuthCode();
        if (StringUtils.isNotBlank(code)) {
            //获取token
            String token = getAccessToken(false);
            //获取userId
            String userId = getWechatUserId(code, token);
            //创建票据,通过认证
            if (StringUtils.isNotBlank(userId)) {
                credential.setUsername(userId);
                return createHandlerResult(credential,
                        this.principalFactory.createPrincipal(credential.getUsername()), null);
            }
        }
akitsuki_kouzou
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
企业微信自建应用单点登陆到第三方系统
weixin_48681567的博客
12-29 2730
最后简单小节一下,要实现自建应用单点登录到第三方系统,需要获取corpId,coprsecret,agentId,发请求需要用到。然后拿前端传递过来的code去换取企业微信用户信息,再拿用户信息去换取第三方系统token信息,因为token里面包含了用户的一些基本信息,这样就可以实现免密登录到第三方系统了。
cas_wx:微信认证和CAS整合
06-04
cas_wx 微信CAS登录整合 ##一、简介 最近微信连通一切的口号这么火,突然想研究微信认证能否和CAS整合。 环境: 微信 6.1 Android版 CAS 3.4.12 手头的老版本 ##二、微信认证简介 微信授权大致和Oauth协议差不多,主要步奏为: 源自: 第一步:用户同意授权,获取code 在确保微信公众账号拥有授权作用域(scope参数)的权限的前提下(服务号获得高级接口后,默认拥有scope参数中的snsapi_base和snsapi_userinfo),引导关注者打开如下页面: 上述snsapi_base模式是静默模式,不需微信用户手动授权,用户感受不到界面的跳转,但仅可获取用户的openid信息,对于我们来说openid暂时足够了。 第二步:通过code换取网页授权access_token 获取code后,请求以下链接获取access_token: 正确时返回的
应用系统集成企业微信的技术方案和最佳实践
最新发布
05-09 653
本文以springboot+vue技术开发的低代码平台为案例,介绍应用系统如何集成企业微信,包括同步企业微信组织用户、单点登录、消息发送等。
h5-企业微信单点登录
c1o2c3o4的博客
05-23 4569
H5页面增加企业微信单点登录-前端获取code
vue项目迁移到企业微信单点登录、获取定位)
qq_42385482的博客
05-31 2006
使用vue创建企业微信内部自建应用,包括单点登录和使用企业微信sdk获取定位信息,解决授权时弹窗显示应用名而不是域名等问题。
禅道与企业微信集成单点登录
percylee514的博客
04-12 1800
使用企业微信可直接免密登录禅道
使用Java调用企业微信登录API实现登录功能
Gs2684036512的博客
06-29 2561
企业微信是一款企业沟通和管理工具,为企业提供了很多便捷的功能,包括登录认证。在本文中,我们将探讨如何使用Java调用企业微信的登录API来实现登录功能,帮助企业在自己的应用中集成企业微信登录。
企业微信工作台使用.docx
11-01
企业微信工作台企业内部协同办公的核心平台,它集成了多种功能,帮助企业高效管理日常事务。以下是关于企业微信工作台使用的关键知识点: 1. **请假规则设置**:管理员可以通过后台的企业应用->审批->请假->规则...
基于Winfrom的企业微信扫码登录案例
02-02
而在这个“基于Winfrom的企业微信扫码登录案例”中,我们将探讨如何利用C#编程语言集成企业微信的扫码登录功能,为用户提供安全、便捷的身份验证方式。 首先,企业微信扫码登录的核心在于调用其提供的API接口。企业...
金蝶K3Cloud与企业微信集成配置
11-03
金蝶K3Cloud与企业微信集成配置,解决金蝶工作流审集成企业微信端审批,审批消息推送到企业微信端。以及金蝶K3Cloud开通移动单据审批,及配置表单内容
Laravel 集成微信用户登录和绑定的实现
12-20
最近主要在忙活微信与支付宝平台的对接与开发,本篇就基于后端层面来讲述一下微信的登录与绑定实现。 (一)、申请微信开放平台 最首先的话就是需要去微信开发中心https://open.weixin.qq.com,创建一个账号,然后创建...
企业微信单点登录授权
qq_34729590的博客
07-24 8048
这里写自定义目录标题 企业应用中的URL链接(包括自定义菜单或者消息中的链接),可以通过OAuth2.0验证接口来获取成员的身份信息。使用步骤和方法如下 登录企业微信客户端,进入应用与小程序-工作台应用主页 生成回调网址 企业如果需要员工在跳转到企业网页时带上员工的身份信息,需构造如下的链接: https://open.weixin.qq.com/connect/oauth2/authoriz...
企业微信 => 企业微信接入第三方应用(vue的H5) 第一阶段:授权登录 前端部分
Write less,do more
06-03 1万+
企业微信接入第三方应用(以服务商身份) 1.确认我们是第三方应用开发还是企业内部开发选项(对后面有很大区别) 首先,要明确两个概念,就是微信企业微信不是一个东西(虽然有些信息互通)、企业微信应用和服务商的第三方应用也不是一个东西(虽然也有些接口可以调用),企业内部开发指的是开发某个企业自己用的应用,而第三方应用开发指的就是开发者作为服务商开发第三方应用,让其他企业(使用企业微信的人)安装你(服务商)开发的应用。这次主要记录作为服务商第三方应用的开发过程 2.需要的准备:注册两个企业,一个作为应用的服
企业微信单点登陆流程
讨厌走开啦
07-19 3821
一张图说明企业微信单点登陆流程 备注:企业微信内的应用分别自建应用和第三方应用,上面的流程仅适用与自建应用。
CAS单点登录-第三方登录[QQ、微信、CSDN、GitHub](十四)
热门推荐
悟空、的博客园
10-20 2万+
CAS单点登录-第三方登录[QQ、微信、CSDN、GitHub](十四) 注: 目前博文使用cas版本为5.1.5,由于5.2.x与5.1.x构建模式有差异,所以部分配置会有些差异。 本章内容 简答介绍OAuth2 微信登陆 CSDN登陆 GitHub登陆 QQ登陆 介绍 很多朋友问我,怎么集成QQ、微信、CSDN、GitHub、微博等等第三方登录,所以我也只要简单列一下如何集成
智慧校园下“企业微信+CAS”的统一身份认证方案设计
qq_61890005的博客
02-27 567
在智慧校园建设不断推进的背景下,云计算、物联网、大数据等新兴技术已深入到学校管理、教学的方方面面。统一身份认证系统在智慧校园总体框架中位于平台支撑层,在智慧校园体系中提供身份认证、应用授权、角色管理及单点登录等功能。统一身份认证系统的登录方式需要很好地平衡易用性与安全性,因此提出“企业微信+CAS”的统一身份认证系统改进方案,将企业微信的OAuth身份认证功能与CAS认证协议进行有效结合,统一了智慧校园中各系统身份认证入口,在简化登录操作的同时,提高了用户身份认证时的安全性。
企业微信第三方扫码登录
chun4591的博客
10-14 5585
为什么写这个文章 公司后台突然需要扫码登录,网上的企业微信扫码都是基于自建应用的扫码登录,对第三方的扫码并没有多加介绍 概述 企业微信的管理员和成员,可通过单点登录机制,登录到第三方网站。第三方可通过接口,获取登录者的身份信息及企业信息。 单点登录包括如下两种场景: 管理员从企业微信管理端单点登录第三方; 管理员或成员在第三方网站发起登录授权; 需要注意下面几点 1.登录授权发起域名一...
cas融合微信扫码企业微信扫码登录
qq_65642052的博客
06-30 547
cas结合微信企业微信扫码实现自动登录
pc端集成企业微信的扫码登录及遇到的问题
J_M_S_H_T的博客
02-22 2437
企业微信扫码登录
plus.runtime.launchApplication 跳转企业微信 工作台页面
06-07
好的,如果你想要通过 `plus.runtime.launchApplication` 方法跳转到企业微信工作台页面,可以按照以下步骤进行: 1. 确认企业微信 app 的包名和启动页面,一般情况下为: - 包名:`com.tencent.wework` - 启动页面:`com.tencent.wework.launch.LaunchSplashActivity` 2. 在 HBuilderX 中调用 `plus.runtime.launchApplication` 方法,传入企业微信 app 的包名和启动页面,以及工作台页面的 URL,如下所示: ```javascript plus.runtime.launchApplication({ pname: 'com.tencent.wework', action: 'android.intent.action.VIEW', uri: 'wework://app/wechat/channel/contacts' }, function(e) { console.log('跳转企业微信工作台页面失败:' + e.message); }); ``` 其中,`wework://app/wechat/channel/contacts` 是企业微信工作台页面的 URL,你可以根据实际情况进行修改。 3. 此时,企业微信 app 将会被启动,并跳转到工作台页面。 希望以上信息能够帮到你,如有疑问请随时追问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值