接入配置

1 代理服务端(sso-mananger) 部署与配置

1.1创建数据库表

-- ----------------------------
-- Table structure for sso_app
-- ----------------------------
DROP TABLE IF EXISTS `sso_app`;
CREATE TABLE `sso_app` (
  `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
  `gmt_create` datetime DEFAULT NULL COMMENT '创建时间',
  `gmt_modified` datetime DEFAULT NULL COMMENT '修改时间',
  `creator` varchar(255) DEFAULT NULL COMMENT '创建者',
  `modifier` varchar(255) DEFAULT NULL COMMENT '修改者',
  `deleted` smallint(4) DEFAULT '0' COMMENT '是否删除',
  `app_name` varchar(255) NOT NULL COMMENT '应用名称',
  `app_code` varchar(255) NOT NULL COMMENT '应用码',
  `index_url` varchar(255) NOT NULL COMMENT '跳转地址',
  `sso_protocol` varchar(50) NOT NULL COMMENT '协议',
  `sso_provider` varchar(50) NOT NULL COMMENT '提供商',
  `login_url` varchar(256) NOT NULL,
  `logout_url` varchar(128) NOT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;


-- ----------------------------
-- Table structure for sso_app_oauth_detail
-- ----------------------------
DROP TABLE IF EXISTS `sso_app_oauth_detail`;
CREATE TABLE `sso_app_oauth_detail` (
  `id` bigint(32) NOT NULL,
  `grant_type` varchar(32) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL COMMENT '授权码模式：AUTHORIZATION_CODE；账号密码：IMPLICIT',
  `redirect_url` varchar(128) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL,
  `client_id` varchar(64) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL,
  `client_secret` varchar(64) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL,
  `access_token_url` varchar(128) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL COMMENT '获取accessToken的url',
  `user_info_url` varchar(128) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL COMMENT '获取userInfo的url',
  `gmt_create` datetime DEFAULT NULL,
  `gmt_modified` datetime DEFAULT NULL,
  `creator` varchar(32) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL,
  `modifier` varchar(32) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL,
  `deleted` smallint(4) DEFAULT NULL,
  `app_code` varchar(32) CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin ROW_FORMAT=DYNAMIC;

测试数据：

-- ----------------------------
-- data for test
-- ----------------------------
INSERT INTO `sso_app` VALUES ('1', '2020-09-28 16:31:52', '2020-09-28 16:31:53', 'zkl', 'zkl', '0', 'test-cas', 'test-cas', 'http://aliyun-gts-gateway-pre.ingress.dayu.work', 'cas', 'fourA', 'http://139.224.247.5:8080/cas/login?service=http://aliyun-gts-sso-integration-pre.ingress.dayu.work/sso/cas?appCode=test-cas', '');
INSERT INTO `sso_app` VALUES ('2', '2020-09-28 16:31:52', '2020-09-28 16:31:53', 'zkl', 'zkl', '0', 'test-idaas', 'test-idaas', 'http://aliyun-gts-gateway-pre.ingress.dayu.work', 'oauth2', 'idaas', 'https://ythrgnwpev.login.aliyunidaas.com/oauth/authorize?response_type=code&scope=read&client_id=7e455ca863992197f1c78934c61bab56b2dZqzcrS8k&redirect_uri=http%3A%2F%2Faliyun-gts-sso-integration-pre.ingress.dayu.work%2Fsso%2Foauth%3FappCode%3Dtest-idaas', '');
INSERT INTO `sso_app` VALUES ('3', '2020-09-28 16:31:52', '2020-09-28 16:31:53', 'zkl', 'zkl', '0', 'test-oauth', 'test-oauth', 'http://aliyun-gts-gateway-pre.ingress.dayu.work', 'oauth2', 'oauth', 'http://aliyun-gts-gateway-pre.ingress.dayu.work/sso/password/toLogin?appCode=test', '');
INSERT INTO `sso_app_oauth_detail` VALUES ('1', 'AUTHORIZATION_CODE', 'http://aliyun-gts-sso-integration-pre.ingress.dayu.work/sso/oauth?appCode=test-idaas', '7e455ca863992197f1c78934c61bab56b2dZqzcrS8k', '11R4M9NcWufM8VrlJPguT2HcR7aQflBuEWsVGlHJvl', 'https://ythrgnwpev.login.aliyunidaas.com/oauth/token', 'https://ythrgnwpev.login.aliyunidaas.com/api/bff/v1.2/oauth2/userinfo', null, null, null, null, '0', 'test-idaas');
INSERT INTO `sso_app_oauth_detail` VALUES ('2', 'PASSWORD', null, 'client', 'secret', 'http://172.21.8.65:8080/oauth/token', 'http://172.21.8.65:8080/oauth/userinfo', null, null, null, null, '0', 'test-oauth');

1.2准备Redis实例

1.3获取部署脚本与jar

aliyun-gts-sso-manage-boot.zip
或者从代码库中拉下代码，进行构建。

1.4修改配置文件

• 如果是zip文件，解压，并修改conf中的配置文件，填写上述部署的redis连接信息和数据库连接信息。
• 如果是源代码构建，修改代码中的application.yml文件，填写上述部署的redis连接信息和数据库连接信息。
• 如果配置是防止在nacos中，请填写nacos的内网地址。

1.5 公共配置

#应用启动端口
server.port=8080

#数据源配置
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/common_login?serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456

#缓存配置
gts.cache.type=redis
gts.cache.host=127.0.0.1
gts.cache.auth=123456
gts.cache.port=6379
gts.cache.database=0

1.6 CAS相关配置说明

application.properties

##cas配置

# 开启cas认证模式
gts.sso.type=cas
#cas服务端前缀地址
gts.sso.server-url-prefix=http://cas-server-ip:port/cas
#cas服务端登录地址
gts.sso.server-login-url=http://cas-server-ip:port/cas/login
#sso服务端地址（保证cas服务端可见）
gts.sso.client-host-url=http://sso-manager-server
#cas协议校验类型,支持cas和cas3两种类型 
gts.sso.validation-type=cas
#cas无需验证的url,以下两个是通用登录服务内部的三个接口,必须要配置
gts.sso.ignore-pattern=/getAppInfoByCode|/oauth|/getUserInfo
#token的存储方式,支持jwt和redis两种方式
sso.token.store-type=jwt
#token过期时间/秒
sso.token.expired-in-seconds=5

1.7 IDaaS相关配置说明

• application.properties文件的配置

#token的存储方式,支持jwt和redis两种方式
sso.token.store-type=jwt
#token过期时间/秒
sso.token.expired-in-seconds=5

1.8 OAuth密码模式相关配置说明

• application.properties文件的配置

#token的存储方式,支持jwt和redis两种方式
sso.token.store-type=jwt
#token过期时间/秒
sso.token.expired-in-seconds=5

1.9 启动服务

如果是zip文件下载，请使用bin子目录中的start.sh进行启动。
注意：linux环境下启动.sh脚本时，需要给启动文件授权可执行权限。执行命令：

chmod 777 *.sh

2 网关接入配置（Spring Cloud Gateway）

a.pom.xml 引入maven依赖

<dependency>
    <groupId>com.aliyun.gts.bpaas</groupId>
    <artifactId>aliyun-gts-sso-client</artifactId>
    <version>1.0.0-SNAPSHOT</version>
</dependency>

b.配置application.yml

gts:
  sso:
    client:
        #启用客户端
      enable: true
      #sso服务端地址(这里的地址要配置成sso-manager的内网地址)
      server-url: http://sso-manager-ip:port
      #服务appCode
      app-code: test
      #登陆忽略访问路径
      login-ignores: /**/ignores/**
#固定路由配置      
spring:
  cloud:
    gateway:
      routes:
        - id: sso_client
          uri: http://127.0.0.1:${server.port} 
          predicates:
            - Path=/ssoclient/user/**
          filters:
            - StripPrefix=1      

3 前端的接入

a.接入登陆页：

前端在访问资源接口时，接收到UNAUTHORIZED的响应后，重定向到响应体返回的url,响应结果示例：

{"code":"UNAUTHORIZED","data":"http://139.224.247.5:8080/cas/login?service=http://aliyun-gts-sso-integration-pre.ingress.dayu.work/sso/cas?appCode=data-exchange-server%26callBackUrl%3D%2F","message":"unauthorized","requestId":"d4a31e95-1db6-4167-9e09-273b4a64d9a2","success":false}

b.指定登陆成功返回页面PTAH

在接入登陆页时，修改UNAUTHORIZED响应返回的url的callBackUrl参数为该页面path，再进行重定向，参考代码如下：

 function getNewUrl(url,path) {
    const tmp = url.split('callBackUrl%3D');
    return tmp[0] + 'callBackUrl%3D'+ path;
 }

c.接收token:

前端需要在获取到转发请求以后，从redirect的地址栏中获取token,存储到local-storage，用于接下来请求的发送。请求资源时，"token"放置于请求头。例如：

headers.token = eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJ7XCJ1c2VyTmFtZVwiOlwiYWRtaW5cIn0iLCJleHAiOjE2MDY5OTc5ODAsImlhdCI6MTYwNjk3OTk4MH0.hdZhUAbarIpI6bYTLRNMEKJq5I-OS466lRziJdovDw8

d.获取用户基本信息

登陆成功后，可通过网关侧client内嵌web接口获取用户基本信息内容。接口详情：

返回参数格式：

{"requestId":"8959ea09-2636-4f85-b741-e8fb365dc7c1","code":"","message":"success","success":true,"meta":null,"data":{"userName":"admin","userCode":null}}

e.用户登出(CAS模式)

网关侧client登出接口信息:

登出后跳转到xxx.com,登出url示例：

http://aliyun-gts-gateway-pre.ingress.dayu.work/sso/logout?service=http://xxx.com

返回参数格式：

{"requestId":"50abd28d-86da-4078-8974-e46980540477","code":"","message":"success","success":true,"meta":null,"data":"http://139.224.247.5:8080/cas/logout?service=http%3A%2F%2Fxxx.com"}

前端重定向到：http://139.224.247.5:8080/cas/logout?service=http%3A%2F%2Fxxx.com 即可完成登出。


_

4. 启动测试

3.1 准备工作

a.启动Spring Cloud Gateway
b.启动sso-manager-server
c.启动CAS服务端、oauth服务端 、阿里云开通IDaas服务
d.启动Mysql
e.启动Redis

3.2 CAS,IDaaS,Oauth密码模式测试

1. 连接mysql,后续测试的时候,要修改该mysql的common_login数据库中sso_app,sso_app_oauth_detail表的相关数据
2. 连接redis,后续切换模式测试的时候,要清redis的缓存,key为: sso::app::test
   

3.2.1 CAS模式

1. 因为获取到的app信息会存到缓存中,而为了方便演示(不然要每次修改网关的appCode,然后重启，我们用的appCode都是叫test,所以每次换模式演示的时候都要先清一下redis,key为: sso::app::test

1. 修改数据库表sso_app中字段app_name是test-cas的app_code为test

1. 访问资源地址: http://aliyun-gts-gateway-pre.ingress.dayu.work/gateway/getUserInfo,没有登录,data中会返回的是登录地址

1. 浏览器访问登录地址

1. 输入CAS用户名和密码并点击登录,就能够访问到资源(资源返回的是用户信息)

注意到url中的参数token，前端需要获取该token，用于接下来的访问。

3.2.2 IDaaS模式

1. 因为获取到的app信息会存到缓存中,而为了方便演示(不然要每次修改网关的appCode,然后重启),我们用的appCode都是叫test,所以每次换模式演示的时候都要先清一下redis,key为: sso::app::test
2. 修改sso_app表中app_name是test-idaas的app_code为test,注意要把刚才测试cas模式的app_code改为test-cas(app_code是唯一的)

1. 修改sso_app_oauth_detail表中app_code是test-idaas修改为test

1. 访问资源地址: http://aliyun-gts-gateway-pre.ingress.dayu.work/gateway/getUserInfo,没有登录,data中会返回的是登录地址,访问登录地址

1. 输入IDaas用户名和密码,点击登录,就能够访问到资源(资源返回的是用户信息)

2.2.3 Oauth密码模式

1. 因为获取到的app信息会存到缓存中,而为了方便演示(不然要每次修改网关的appCode,然后重启),我们用的appCode都是叫test,所以每次换模式演示的时候都要先清一下redis,key为: sso::app::test
2. 修改sso_app表中app_name是test-oauth的app_code为test,注意要把刚才测试idaas模式的app_code改为test-idaas(app_code是唯一的)

1. 修改sso_app_oauth_detail表中app_code是test-oauth修改为test

1. 访问资源地址: http://aliyun-gts-gateway-pre.ingress.dayu.work/gateway/getUserInfo,没有登录,data中会返回的是登录地址,访问登录地址

1. 输入oauth-server用户名和密码，点击登录,就能够访问到资源(资源返回的是用户信息)