前言
最近在系统对接的时候,遇到些问题,耽误了好长时间才找到原因,这边做下记录。
背景
我们自己开发的系统需要与外部系统做对接,需要做统一认证登录,即外部系统没有登录页面,共用我们系统的登录,在我们系统登录成功的用户可以直接跳转至外部系统。这边直接采用了OAuth2.0授权码模式来实现的,流程图如下:
问题
在测试环境测试通过后,部署到生产环境,但是在生产环境调试的时候却总是调不通,部署环境如下:
浏览器页面:
一开始访问会丢失cookie里面的session信息,定位到可能是做了redirect,所以外部系统获取登录状态、获取token、获取用户信息的请求地址都换成了政务外网的统一IP,这样确实没有丢失cookie里的session信息了,但是成功获取登录状态之后,一直卡第二个login中,直到超时,如上图所示。
解决
重温OAuth2授权码模式:
主要流程:
- 用户访问客户端,后者将前者导向授权服务器。
- 用户选择是否给予客户端授权。
- 用户给予授权,授权服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
- 客户端收到授权码,附上早先的"重定向URI",向授权服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
- 授权服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
还是对OAuth2的授权码模式没有理解清楚,外部系统获取用户登录状态请求是浏览器发出的,所以这里应该设置成政务外网统一IP,而获取token和获取用户信息是外部系统后台服务直接调用的,对用户不可见,所以这里应该直接配置成内网机器的IP。修改之后,问题解决。