通過OAuth應用配置OAuth回調地址,為用戶提供一個使用阿里云賬號就能免密登錄服務軟件的地址。本文介紹了OAuth免密登錄的配置流程。
配置OAuth免密登錄功能包含以下操作:
步驟一:創建RAM應用
配置OAuth免密登錄前,您需要在RAM控制臺創建一個應用,從而獲取用戶信息和訪問阿里云的API。
登錄RAM控制臺。
在左側導航欄,選擇。
在企業應用頁簽,單擊創建應用。
在彈出的創建應用頁簽,完成創建應用參數配置。
參數
說明
應用名稱
應用名稱長度為1-64個字符,允許輸入英文字母、數字、頓號、下劃線(_)或短劃線(-)。
顯示名稱
顯示名稱最長為24個漢字或字符。
應用類型
可選類型如下:
WebApp:指基于瀏覽器交互的網絡應用。
NativeApp:指操作系統中允許的本地應用,主要為運行在桌面操作系統或移動操作系統中的應用。
ServerApp:指直接訪問阿里云服務,無需依賴用戶登錄的應用。目前僅支持基于SCIM協議的用戶同步應用。
訪問令牌有效期
有效期可設置15分鐘至3小時之間。
刷新令牌有效期
刷新令牌有效期可設置2小時至1年。
回調地址
填寫您事先規劃好的回調地址。
說明基于安全考慮,建議填寫HTTPS開頭的地址。
創建完成后,在企業應用頁簽,單擊創建的應用名稱。
在基本信息頁面,完成應用OAuth范圍的添加。
添加OAuth范圍即指定服務商需要從用戶處獲取哪些權限的授權。
在應用OAuth范圍頁簽,單擊添加OAuth范圍。
在添加OAuth范圍面板,選擇需要添加的OAuth范圍。
單擊確定。
在基本信息頁面,完成應用密鑰的添加。
服務商的SaaS端需要接入該應用管理服務,需要使用應用密鑰來作為配置,進行鑒權調用的配置參數。
在應用密鑰頁簽,單擊創建密鑰。
在創建應用密鑰的對話框中,查看、復制或下載創建成功的應用密鑰。
單擊關閉。
說明每個應用最多允許創建2個應用密鑰。
步驟二:修改SaaS服務端配置
應用創建完成后,您需要在SaaS服務工程中引入OAuth的SDK,將OAuth的配置數據接入SaaS服務的配置文件中,完成OAuth應用和SaaS服務端的數據對接。
在SaaS服務工程中引入OAuth SDK,在SDK中新增回調攔截和獲取用戶授權。
服務商對SaaS服務的OAuth接入詳細操作,請參見OAuth常用的SDK示例。
修改SaaS服務項目文件配置,加入OAuth應用需要的
AK、accessTokenUri、userAuthorizationUri等配置項。修改示例
示例中是引入OAuth SDK后,將application.yml文件中的OAuth配置中需要響應的內容替換成創建應用時設置的數據。
aliyun: client: clientId: 4086517946102XXXXXX #(Oauth 應用ID) clientSecret: 4ljFyOsIOp2**** #(Oauth 應用Secret) accessTokenUri: https://oauth.aliyun.com/v1/token userAuthorizationUri: https://signin.aliyun.com/oauth2/v1/auth tokenName: access_token authenticationScheme: query clientAuthenticationScheme: form resource: userInfoUri: https://oauth.aliyun.com/v1/userinfo logging: level: org.springframework.security: DEBUG
后續步驟
完成應用的創建和接入后,即可到計算巢控制臺部署含免密登錄功能的服務。