OpenAM OAuth2
OpenAM是很強大的,OAuth2的配置也相對簡單,分3步走
- 配置OAuth2 Application(=OAuth2 connect client / ≈OAuth2 agent)
- 配置OAuth2 Service Provider(Configure OAuth2 authorization server)
- 驗證OAuth2的code/access_token/tokeninfo是否正確
配置OAuth2 Application
1.進入頂層Top Level Realm,找到Applications->OAuth2
2.New一個Agent,這里看到的Name,就是client_id
3.這里的Client password要記住,也就是后面要用的client_sercret
4.把要授權跳轉的網站,配置進去Redirection_URIs,這里我們用http://java.bejson.com/generator/ 
5.Scope可以設置幾個,例如mail/employeenumber等
*。至於Scope怎么獲取,可以參考以下方法,從Subjects里面打開找到你的用戶,然后修改,然后使用Chrome的F12查看元素,EntityEdit.XXX就是想要的Scope了,這個值后面tokeninfo的時候會獲取到。
配置OAuth2 Service Provider
1.DashBoard有個Common Tasks,找到一個Configure OAuth Provider的菜單,配置Configure OAuth2
2.基本沒什么可以選,默認即可。
3.正常保存后,可以再Services里面找到一個OAuth2 Provider
4.里面有些配置可以定制,不過作為demo一般默認就夠了
驗證OAuth2的code/access_token/tokeninfo是否正確
1.首先是code,開始構建url,關鍵是幾個字段
- client_id=tomcatadmin,前面agent/client里面的Name
- response_type=code,這里是code,當然你可以粗暴一點設置為token直接獲取access_token
- scope=employeenumber,相當於你要tokeninfo可以獲取的信息
- redirect_uri=http://java.bejson.com/generator 必須是配置再重定向uris里面的地址
2.跳轉並獲取Code
3.從地址提取code為de7f03c5-a72c-4d74-acae-b7671fbbeb19
4.使用Postman構造POST請求,獲取ACCESS_TOKEN
- url :
http://localhost:8099/openampro/oauth2/realms/root/access_token
- 參數:
client_id:tomcatadmin
client_secret:tomcat123
code:de7f03c5-a72c-4d74-acae-b7671fbbeb19
grant_type:authorization_code
redirect_uri:http://java.bejson.com/generator
5.使用Postman構造GET請求,獲取TOKEN INFO
http://localhost:8099/openampro/oauth2/realms/root/tokeninfo?access_token=
5afab977-64b0-4480-83cb-40b140aae1ed
Summary
到此,一個簡單的OpenAM-OAuth2的構建(redirectUrl->code->accessToken->tokenInfo)已經完成,但是這只是一個開始,還有更復雜的配置,更復雜的授權機制,還有LDAP/Subjects同步,Scope設置等等內容需要探索。