cas5.3.2单点登录-Cas Server自定义Oauth2.0的用户信息

前言

目前我们系统中，用户登陆，API调用是融合在一起的，API后面是调用各个dubbo服务。为了保证各个系统能够鉴权，目前的做法是，用用户登陆后，生成token,将token存在redis中，各个系统通过读取reids的token作为验证。

几个问题：

1. 登陆体系和业务代码混合在一起，不是特别规范。
2. 自定义的token机制，缺点很多。
3. 所有服务都是直接读取redis,安全性很差。
4. 扩展性比较差。

准备

目前业务系统完全耦合在一起的，我们需要将登陆独立出来。
很多大公司都有自己的CAS系统，这样公司的其他系统不必要建立自己的账号体系，直接接入CAS即可。
之前我不是特别能够区分CAS,SSO,OAUTH2这些概念，经过了几个星期的探索重要理清楚了。

• SSO
  SSO是Single Sign On，一次登陆，全部访问。对于我们来说，使用了SSO，多个系统可以完全独立，所有系统不用关心用户体系。
• OAUTH2
  OAUTH2是一种授权开放协议。官网上面这么介绍.

  An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.
  

  相关文章：
  https://oauth.net/
  http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
• CAS
  CAS是Central Authentication Service的缩写，耶鲁大学开启的一个开源项目，是企业级的SSO解决方案。
  https://apereo.github.io/cas/5.3.x/index.html

改造

基于上面的概念，以及我们的需求，我们的用户系统有SSO和OAUTH2.0两个功能。我们会基于CAS实现我们的功能，CAS天热支持SSO,主要是OAUTH2.0的支持，我们查他的文档发现他有插件可以支持。
对于环境搭建，可以参考：
https://blog.csdn.net/qq_34021712/article/details/80871015
https://blog.csdn.net/qq_34021712/article/details/82290876

正文

构建SSO和OAUTH2.0

按上面文章结合官网，我们搭建好环境。
https://apereo.github.io/cas/5.3.x/installation/OAuth-OpenId-Authentication.html
访问下面地址
https://server.cas.com:8443/cas/oauth2.0/accessToken?grant_type=password&client_id=20180901&username=casuser&password=Mellon
得到下面结果：
access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9&expires_in=28800
我们将access_token修改放入下面地址
https://server.cas.com:8443/cas/oauth2.0/profile?access_token=AT-1-DrieDtlxv43rEiXIt2uuRvD3YFKTvCE9
得到下面结果:
{ "service": "http://localhost:8080", "attributes": {}, "id": "casuser", "client_id": "20180901" }
我们会发现没有任何用户信息，然后我参考cas5.3.2单点登录-自定义返回信息给客户端(十九) 这个文章, 发现结果没有任何变化。

问题和解决

既然有问题，那么怎么解决？之前我走了很多弯路，原因在于两个方面，第一，对CAS本地理解不足，第二，对于官网文档理解不足。
首先，需要debug一下，看看问题所在，我们有两个url,第一个是获取accessToken,第二个是获取用户信息。
跟踪获取用户信息，发现获取用户信息是从session里面获取的，里面用户信息就是空，那么我开始会认为是accessToken获取的时候，会将用户信息放入session,这里出现问题，才会导致profile没有效果。
进一步跟踪accessToken,发现在存储session的时候，使用的是UsernamePasswordCredential生成的profile,而这个里面只用username和password两个属性。所以，你用密码方式登录的，session里面是不会存储任何用户信息。
这个时候，查看官方文档，里面开始就有个定制模式，我一直不明白.

package org.apereo.cas.support.oauth;

@Configuration("MyOAuthConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class MyOAuthConfiguration {
  @Bean
  @RefreshScope
  public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {   
  ...
  }}

在跟踪profile代码的时候，发现OAuth20UserProfileViewRenderer是这里面的方法，才恍然大悟，官方的意思是，accessToken的时候，你不需要做任何修改，但是在获取用户信息的时候，你可以自定义，例如从数据库或者 Redis里面读取用户信息。

代码如下:
配置类

package com.destinym.cas.config;

import com.destinym.cas.custom.CustomOAuth20UserProfileViewRenderer;
import com.destinym.cas.mock.MockUserService;
import com.destinym.cas.service.UserService;
import org.apereo.cas.configuration.CasConfigurationProperties;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.cloud.context.config.annotation.RefreshScope;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration("customAuthenticationConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class CustomOAuthConfiguration {
    @Bean
    @RefreshScope
    public OAuth20UserProfileViewRenderer oauthUserProfileViewRenderer() {
        CustomOAuth20UserProfileViewRenderer customOAuth20UserProfileViewRenderer = new CustomOAuth20UserProfileViewRenderer();
        return customOAuth20UserProfileViewRenderer;
    }

    @Bean
    public UserService userService() {
        return new MockUserService();
    }
}

重新render类

package com.destinym.cas.custom;

import com.destinym.cas.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.apereo.cas.support.oauth.util.OAuth20Utils;
import org.apereo.cas.support.oauth.web.views.OAuth20UserProfileViewRenderer;
import org.apereo.cas.ticket.accesstoken.AccessToken;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Map;

/**
 * Created by mengliang on 2018/12/30.
 */

@Slf4j
public class CustomOAuth20UserProfileViewRenderer implements OAuth20UserProfileViewRenderer {
    @Autowired
    private UserService userService;
    private final String ID ="id";

    @Override
    public String render(Map<String, Object> model, AccessToken accessToken) {
        try {
            String userId = (String) model.get(ID);
            if (userId != null) {
                return OAuth20Utils.jsonify(userService.findByUserName(userId));
            }
        }catch (Exception e){

        }
        return null;
    }
}

自定义用户接口

package com.destinym.cas.service;

import java.util.Map;

/**
 * Created by mengliang on 2018/12/27.
 */

public interface UserService {
    Map<String, Object> findByUserName(String username);
}

MOCK用户信息

package com.destinym.cas.mock;

import com.destinym.cas.service.UserService;

import java.util.HashMap;
import java.util.Map;

/**
 * Created by mengliang on 2018/12/30.
 */
public class MockUserService implements UserService {
    @Override
    public Map<String, Object> findByUserName(String username) {
        {
            HashMap hashMap = new HashMap();
            hashMap.put("username", "casuser");
            hashMap.put("tel","18600000000");
            hashMap.put("region","china");
            return hashMap;
        }
    }
}

修改spring.factories
增加

  org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
  org.apereo.cas.config.CasEmbeddedContainerTomcatConfiguration,\
  org.apereo.cas.config.CasEmbeddedContainerTomcatFiltersConfiguration,\
  com.destinym.cas.config.CustomOAuthConfiguration

重新部署后，运行结果为

{
    "tel": "18600000000",
    "region": "china",
    "username": "casuser"
}

大功告成。具体可以参考git地址：
https://github.com/destinym/cas-oauth2-custom