【基于Maxkey Oauth2接入Grafana,实现单点登录】

于 2024-04-29 10:41:46 发布
阅读量909 收藏 26
点赞数 26
文章标签: grafana
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/memory23/article/details/138276050
版权

1、接入版本

Maxkey v4.0.3GA
Grafana 9.0.7

2、Maxkey接入Grafana的认证流程

在这里插入图片描述

3、具体实现步骤

3.1、修改Grafana配置,开启Oauth认证

修改custom.ini文件,如果没有custom.ini文件,可从conf下复制default.ini文件,然后改名为custom.ini。

#################################### Server ####################
[server]
# 将Grafana的访问地址设置为Maxkey的访问地址,便于将cookie存入同一个域名下
domain = sso.maxkey.top

# 添加/grafana路径,便于在nginx中进行拦截跳转
root_url = %(protocol)s://%(domain)s:%(http_port)s/grafana

#################################### Security #######################
[security]

# 该参数关系到oauth_state的生成规则,无需修改
secret_key = SW2YcwTIb9zpOOhoPsMm

#################################### Generic OAuth #################
[auth.generic_oauth]
name = OAuth
icon = signin
enabled = true
allow_sign_up = true
auto_login = true
#Maxkey平台颁发的client_id 
client_id = xxxxxxx
#Maxkey平台颁发的client_secret 
client_secret = xxxxxxx
scopes = user:read
empty_scopes = false
email_attribute_name = 
email_attribute_path = 
login_attribute_path = user
name_attribute_path =
role_attribute_path = 
role_attribute_strict = false
groups_attribute_path =
id_token_attribute_name =
team_ids_attribute_path =
auth_url = http://sso.maxkey.top/sign/authz/oauth/v20/authorize
token_url = http://sso.maxkey.top/sign/authz/oauth/v20/token
api_url =  http://sso.maxkey.top/sign/api/oauth/v20/me
teams_url =
allowed_domains = 
team_ids =
allowed_organizations =
tls_skip_verify_insecure = false
tls_client_cert =
tls_client_key =
tls_client_ca =
use_pkce = false

#################################### Basic Auth #####################
[auth.basic]
#关闭默认的登录方式
enabled = false

3.2、Maxkey的相关配置

3.2.1、新增maxkey-web 认证平台模块下application-http.properties配置

#填写Grafana中的secret_key的值 
maxkey.sso.grafana.secretKey = SW2YcwTIb9zpOOhoPsMm
#Maxkey颁发给Grafana的秘钥
maxkey.sso.grafana.ClientSecret = xxxxx

3.2.2、通过Maxkey的管理平台配置Grafana认证信息

在这里插入图片描述
在这里插入图片描述

3.2.3、在Nginx中新增配置

server {
    listen 3000;
    server_name localhost;

    location /grafana{
        proxy_pass http://sso.maxkey.top:3000/grafana;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host:3000;
        server_name_in_redirect on;
    }
}

3.2.4、对Maxkey的maxkey-protocol-oauth模块做适应性的修改

1)对org.maxkey.authz.oauth2.provider.endpoint.org.maxkey.authz.oauth2.provider.endpoint类进行修改

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.Principal;
import java.security.SecureRandom;

@Tag(name = "2-1-OAuth v2.0 API文档模块")
@Controller
@RefreshScope
public class AuthorizationEndpoint extends AbstractEndpoint {

private static final String OAUTH_STATE_COOKIE_NAME = "oauth_state";
// An highlighted block
@Value("${maxkey.sso.grafana.secretKey}")
private String grafanaSecretKey;

@Value("${maxkey.sso.grafana.ClientSecret}")
private String ssoClientSecret;

/*隐藏无需修改的方法*/

private String getAuthorizationCodeResponse(AuthorizationRequest authorizationRequest, Authentication authUser,String returnUrl) {
		try {
			String  successfulRedirect = getSuccessfulRedirect(
					authorizationRequest,
					generateCode(authorizationRequest, authUser)
			);
			logger.info("getAuthorizationCodeResponse returnUrl:"+returnUrl);

			//往grafana跳转登录,写入oauth_state参数
			if(successfulRedirect.contains("grafana")){
				String state = this.generateStateString();
				String hashStatecode = this.hashStatecode(state,grafanaSecretKey,ssoClientSecret);
				successfulRedirect = successfulRedirect + "&state="+state;
				HttpServletRequest request = WebContext.getRequest();
				String serverName = request.getServerName();
WebContext.setCookie(WebContext.getResponse(),serverName,OAUTH_STATE_COOKIE_NAME,hashStatecode,10);
			}
			_logger.debug("successfulRedirect " + successfulRedirect);
			return successfulRedirect;
		}
		catch (OAuth2Exception e) {
			return getUnsuccessfulRedirect(authorizationRequest, e, false);
		}
	}

/**
	 * @description: 对状态码做Hash运算
	 * @date: 2024/4/19 11:02
	 * @param state 状态码
	 * @return
	 */
	private  String hashStatecode(String state,String grafanaSecretKey,String ssoClientSecret)  {
		String combinedString = state +  grafanaSecretKey + ssoClientSecret;
		try {
			MessageDigest digest = MessageDigest.getInstance("SHA-256");
			byte[] hashBytes = digest.digest(combinedString.getBytes());
			return DatatypeConverter.printHexBinary(hashBytes).toLowerCase();
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		}

		return null;
	}

	/**
	 * @description: 生成grafana验证的状态码
	 * @date: 2024/4/19 11:03
	 * @return
	 */
	private  String generateStateString() {
		SecureRandom secureRandom = new SecureRandom();
		byte[] randomBytes = new byte[32];
		secureRandom.nextBytes(randomBytes);
		return  Base64.getUrlEncoder().encodeToString(randomBytes);
	}
	/*隐藏无需修改的方法*/
}

2)对org.maxkey.authz.oauth2.provider.code.AuthorizationCodeTokenGranter进行修改

public class AuthorizationCodeTokenGranter extends AbstractTokenGranter {

  @Override
	protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
       
       /*隐藏无需修改的方法*/
		
		Set<String> redirectUris = client.getRegisteredRedirectUri();
		boolean redirectMismatch=false;
		//match the stored RedirectUri with request redirectUri parameter
		for(String storedRedirectUri : redirectUris){
			//解决从https跳转至http域名下,获取access_token失败问题
			if(redirectUri.startsWith(storedRedirectUri) || storedRedirectUri.contains("grafana")){
				redirectMismatch=true;
			}
		}
		
		if ((redirectUri != null || redirectUriApprovalParameter != null)
				&& !redirectMismatch) {
			logger.info("storedAuth redirectUri "+pendingOAuth2Request.getRedirectUri());
			logger.info("redirectUri parameter "+ redirectUri);
			logger.info("stored RedirectUri "+ redirectUris);
			throw new RedirectMismatchException("Redirect URI mismatch.");
		}
		
		if (clientId != null && !clientId.equals(pendingClientId)) {
			// just a sanity check.
			throw new InvalidClientException("Client ID mismatch");
		}
		
		/*隐藏无需修改的方法*/
		
		return new OAuth2Authentication(finalStoredOAuth2Request, userAuth);

	}
}

上述代码块只是对getOAuth2Authentication方法进行了修改,主要修改以下代码,排除了对Grafana的重定向接口的校验,防止获取access_token失败的问题(如果是通过ip访问,可以不做此修改)。

if(redirectUri.startsWith(storedRedirectUri) || storedRedirectUri.contains("grafana")){
	redirectMismatch=true;
}

3.3、线上部署的几种方案

说明:以下几种方案,都是采用将Grafana的访问地址代理到同一个Ip或域名下,防止Cookie跨域丢失。

3.3.1、通过Ip+端口的访问方式

IP组件
192.168.1.15Maxkey服务
192.168.1.15Nginx
192.168.1.16Grafana服务

1) 在Maxkey的管理平台将grafana的登录地址和授权地址,全部设置为maxkey部署服务器的IP(192.168.1.15),然后在grafana部署服务器上,将custom.ini的domain设置为192.168.1.15,rool_url后边加上/grafana路径。如下图
在这里插入图片描述
在这里插入图片描述

3.3.2、通过域名跳转IP的访问方式

IP /域名组件
sso.maxkey.topNginx(域名代理服务器)
192.168.1.15Maxkey服务
192.168.1.16Grafana服务

1)在Maxkey管理平台中将grafana的登录地址和授权地址,全部设置为https://sso.maxkey.top/,将customt.ini的domain设置为sso.maxkey.top,root_url 参数后边加上/grafana路径。
在这里插入图片描述
在这里插入图片描述

2)新增Nginx配置

server {
    listen       443 ssl;
    server_name  sso.maxkey.top;

    ssl_certificate      /ssl/maxkey.pem;
    ssl_certificate_key  /ssl/maxkey.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location /{
            proxy_pass http://192.168.1.15/;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

server {
    listen       3000 ssl;
    server_name  sso.maxkey.top;

    ssl_certificate      /ssl/maxkey.pem;
    ssl_certificate_key  /ssl/maxkey.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location /grafana {
            proxy_pass http://192.168.1.16:3000/grafana;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host:3000;
            server_name_in_redirect on;
            proxy_set_header X-Forwarded-Proto $scheme;
    }
}

4、Maxkey接入Grafana过程中遇到的问题及解决方案

4.1、Grafana登录报错login.OAuthLogin(missing saved state)

原因分析:
Grafana通过Oauth方式认证登录时,会校验cookie中是否有oauth_state参数,没有就会报missing saved state错误。
在这里插入图片描述

解决方案:
在Maxkey认证完成,即将重定向跳转到Grafana登录接口时,将oauth_state状态码写入到cookie中。
具体操作,请查看3.2.4章节。

/**Grafana是go语言写的,以下展示的Grafana部分源代码**/
//生成一个随机的状态码
func GenStateString() (string, error) {
	rnd := make([]byte, 32)
	if _, err := rand.Read(rnd); err != nil {
		oauthLogger.Error("failed to generate state string", "err", err)
		return "", err
	}
	return base64.URLEncoding.EncodeToString(rnd), nil
}
/**
 * @description: 对状态码做Hash运算
 * @param code 传入的状态码
 * @param seed Maxkey颁发给Grafana的秘钥,即client_secret
 * @param SecretKey 是custom.ini文件中配置的secret_key的值
 */
func (hs *HTTPServer) hashStatecode(code, seed string) string {
	hashBytes := sha256.Sum256([]byte(code + hs.Cfg.SecretKey + seed))
	return hex.EncodeToString(hashBytes[:])
}

展示上述代码,是为了在Maxkey项目中,需要用java实现这两个方法,解决状态码缺失问题。

4.2、Grafana登录报错login.OAuthLogin(state mismatch)

原因分析:
重定向URL地址传递的state参数,做哈希运算后,与cookie中存入的oauth_state不相等造成的。
解决方案:
1)先清除一下缓存,排除一下缓存造成的bug(博主就在这踩过坑,花了几个小时排除代码与参数,血泪史。。。)
2)比对Maxkey中生成oauth_state时用到的client_secret和secret_key是否一致
3)检查go方法中GenStateString()和hashStatecode()的这两个方法,是否在转译java代码时,转译正确。

4.3、Grafana登录报错login.OAuthLogin(NewTransportWithCode)

原因分析:
一般造成这个错误的原因是Maxkey管理平台中配置的授权地址和Grafana配置文件中root_url 不一致,导致Grafana在通过code换取access_token时失败造成的。
解决方案:
可以参考章节3.2.4 (2)中的修改方法,有点简单粗暴,博主由于时间原因,把Grafana所有的这类校验都硬编码排除了,可能存在安全性问题,建议大家可以根据实际情况优化

4.4、其他

建议allowed_domains 设置为空,否则登录时会要检查邮箱域名;
Maxkey登录的用户,建议填写一个合规的邮箱(满足邮箱地址规则即可),否则Grafana会报用户邮箱为空之类的错误。
以上两点,博主在实操过程中遇到,不一定必现,大家感兴趣可以验证下

5、参考

https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-authentication/generic-oauth/
https://maxkey.top/zh/conf/tutorial.html
https://help.aliyun.com/zh/grafana/use-cases/use-oauth-to-log-on-to-grafana
https://blog.csdn.net/qq_43801592/article/details/123062161

Levi.Z
关注
  • 26
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于maxkey接入jeecgboot并实现账户同步
qq_35359474的博客
05-27 314
LoginSso方法和原登录方法一样。
java oauth2登录以及权限_单点登录认证系统 MaxKey
weixin_39559559的博客
11-28 451
MaxKey介绍MaxKey(马克思的钥匙),寓意是最大钥匙, 是用户单点登录认证系统(Sigle Sign On System),支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供简单、标准、安全和开放的用户身份认证和单点登录,包含用户认证、单点登录、资源管理、权限管理等。MaxKey 官方文档 | GitHub | 码云(Gitee)...
漂亮的单点登录网页模版
08-30
漂亮的单点登录网页模版
通过 Keycloak 实现 Grafana 单点登录
youzhouliu的博客
05-23 2747
Keycloak作为一个开源软件产品,旨在为现代的应用程序和服务,提供包含身份管理和访问管理(英语:Access Management)功能的单点登录工具。 通过 keycloak 实现 grafana单点登录是一个非常不错的选择,实现也比较方便。 ​
通过 Keycloak + Mysql 实现 Grafana 单点登录
Allen技术小站
07-01 3704
注意: 文中提到的一些ip,端口,邮箱,用户名等信息为个人配置,请按实际自行修改 1. docker 安装 mysql8.0.16 mysql端口使用3306 docker run --name mySql -p 3306:3306 --restart always -e MYSQL_ROOT_PASSWORD=root -d mysql:8.0.16 keycloak和grafana有...
Grafana接入单点登陆cas实践
mo56834154的博客
01-07 3332
Grafana接入单点登陆cas实践 grafana是一款比较流行且好用的可视化制图工具,在实战过程中,往往需要与公司内已有系统做打通,势必带来的问题是如何和内部系统做联动 对grafana添加auth.proxy属性 在grafana.ini配置文件中添加如下配置: [auth.proxy] enabled=true header_name=X-WEBAUTH-USER header_property= username auto_sign_up= true 编写grafana-cas,通过go
MaxKey对接一】对接gitlab的oauth登录
qq_36382225的博客
08-17 2189
MaxKey对接Gitlab过程
MaxKey单点登录认证系统-其他
06-11
MaxKey(马克思的钥匙)用户单点登录认证系统(Sigle Sign On System),寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供...
MaxKey 单点登录认证系统 v2.7.0GA官方源代码
04-14
MaxKey单点登录认证系统(Single Sign On System),MaxKey中文谐音马克思的钥匙寓意是最大钥匙,是业界领先的企业级开源IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议...
MaxKey 单点登录认证系统 v2.1.0GA官方源代码
08-17
MaxKey(马克思的钥匙)单点登录认证系统(Single Sign On System),寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供简单、标准...
openshift-grafanaGrafana实例,使用OAuth令牌进行OpenShift
02-03
openshift-grafanaGrafana实例,使用OAuth令牌进行OpenShift
grafana-authentication-proxy:Grafana 身份验证代理
06-24
grafana 身份验证代理 使用和 Express 在 Google OAuth2、基本身份验证或 CAS 身份验证背后最新的和 。 Elasticsearch、grafana 和用户客户端之间的代理 支持基本认证保护的 Elasticsearch,只有 grafana-authentication-proxy 知道用户/密码 兼容最新的grafana 增强的身份验证方法。 现在支持客户端的 Google OAuth2、BasicAuth(支持多用户)和 CAS 身份验证 支持每用户 grafana 索引。 现在您可以对用户 A 使用索引 grafana-int-userA,对用户 B 使用 grafana-int-userB 受启发并基于 ,其中 99% 是目前由他们编写的,谢谢:) 我们Bigdesk支持Bigdesk或Head等第三方插件,因为它们很难测试和维护 安装 #
开源多租户IDaas产品-MaxKey 单点登录认证系统 v3.5.6GA官方源代码
09-07
MaxKey单点登录认证系统,谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份...
MaxKey单点登录认证系统
08-14
MaxKey(马克思的钥匙)用户单点登录认证系统(Sigle Sign On System),寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供...
grafana接入oauth2
qq_43801592的博客
02-22 5831
grafana接入oauth2 grafana配置 安装grafana之后,配置文件grafana.ini默认会在/etc/grafana路径下 修改grafana.ini配置 vim grafana.ini 要修改部分 [server] # Protocol (http, https, h2, socket) ;protocol = http # The ip address to bind to, empty will bind to all interfaces ;http_addr = #
单点登录入门链接
你好,欢迎光临!
06-04 585
https://www.cnblogs.com/EzrealLiu/p/5559255.html
Grafana对接OAuth2登录
傻了积威的博客
03-23 2318
Grafana对接OAuth2,实现第三方账号登录Grafana
grafana 源码编译二次开发整合oauth2
学习痕迹
06-30 2600
背景 在已有系统中嵌入grafana仪表盘作数据展示,需要对界面进行二次开发满足风格统一,同时需要对grafana的权限部分进行修改,满足页面进行无缝跳转,同时识别当前用户。 安装 grafana 依赖于nodejs、go、git等,其安装过程略过。 grafana下载后,我选择了v7.0.0 tag分支进行开发。 如果是在window上面进行环境搭建,还需要安装GCC环境。 这里我使用的是minGW64, 这里要根据操作系统选择安装,我选择安装64位。 安装过程可以参考这里 遇到的问题 go get
maxkey单点登录认证系统安装
最新发布
09-27
MaxKey单点登录认证系统是一种用于企业内部网络应用的统一认证系统,能够实现用户在登录一次之后,即可访问多个应用系统而无需重复输入账号和密码。以下是MaxKey单点登录认证系统的安装步骤: 1. 准备工作:首先需要确保服务器环境满足要求,如操作系统为Linux、JDK版本为1.8、数据库为MySQL等。同时,在安装前需要准备好MaxKey的安装包和相应的配置文件。 2. 下载安装包:从官方网站下载MaxKey的安装包,并解压缩到指定的目录下。 3. 配置文件:根据实际需求,修改config.properties文件和application.properties文件,配置数据库连接信息、访问域名等。 4. 数据库准备:创建一个MySQL数据库并授权给MaxKey系统使用,将数据库的相应信息配置到application.properties文件中。 5. 初始化配置:进入MaxKey安装目录,找到init scripts文件夹,运行init_embed.sh(Linux)或者init_embed.bat(Windows)脚本,以完成系统的初始化配置。 6. 启动服务:在安装目录下找到bin文件夹,执行startup.sh(Linux)或者startup.bat(Windows)脚本,启动MaxKey单点登录认证系统。 7. 访问系统:在浏览器中输入配置的访问域名或者IP地址,进入登录页面。通过输入管理员账号和密码,登录系统后可以进行相关的用户管理和应用系统配置。 8. 配置应用系统:将需要接入MaxKey认证系统的应用系统进行相应的配置,如修改应用系统的认证方式为MaxKey认证。 通过以上步骤,就可以完成MaxKey单点登录认证系统的安装。这样一来,用户只需登录一次,即可方便地访问多个应用系统,提高了用户操作的便捷性和系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值