開放平臺設計選型&代碼編寫

原創 MaybeJ 2020-06-22 06:04

最近在着手開發開放平臺的設計選型工作,以下來嘮嘮技術上選型的心路歷程:
相關閱讀:
早期Oauth2.0解釋:
阮一峯:理解OAuth 2.0
最新Oauth2.0簡單解釋:
阮一峯:OAuth 2.0 的一個簡單解釋
阮一峯:OAuth 2.0 的四種方式
阮一峯:GitHub OAuth 第三方登錄示例教程

選型

那時的我
面臨着兩種抉擇:

  • Spring Security
  • Shiro + Oltu

起初,由於Oltu已經不進行維護

Oltu Last Published: 2016-07-04

在這裏插入圖片描述
本帥毅然決然加入了spring全家桶的行列。
但是由於spring-security的高度封裝,導致他的拓展性不足。
具體表現在:

  • 數據庫字段不能夠很靈活的添加刪除以及自定義
  • 對接口的高度封裝導致不能夠很靈活的處理一些業務邏輯

這個時候的我頭也不回的扭向了Shiro+Oltu,真香!所有鑑權的邏輯皆以Controller的形式自定義完成,同時數據庫字段也完全可以自定義,模塊化的設計靈活方便。
當然最終一句話讓我下定了決心使用Oltu的方案:

OAuth2.0已經是個很成熟的協議,況且Oltu也年代久遠,只要Oauth2.0不變動,Oltu自然也不需要有所更新

代碼

建議授權服務器與資源服務器解耦分開部署
下面就來體會下Oltu的簡便之處:

Oauth(授權服務器:授權碼模式)

1.登陸授權獲取code

接口

@ApiOperation(value = "授權(需要用戶登陸)",
            nickname = "authorize",
            notes = "僅支持response_type=code類型",
            tags = "Oauth")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "response_type", value = "response_type", required = true, paramType = "query", example = "code"),
            @ApiImplicitParam(name = "client_id", value = "client_id", required = true, paramType = "query", example = "test"),
            @ApiImplicitParam(name = "redirect_uri", value = "redirect_uri", required = true, paramType = "query", example = "https://www.baidu.com/s?wd=123"),
            @ApiImplicitParam(name = "scope", value = "scope", required = true, paramType = "query", example = "all"),
            @ApiImplicitParam(name = "state", value = "state", required = false, paramType = "query", example = "hello")
    })
    @GetMapping("/authorize")
    Object authorize(HttpServletRequest request, HttpServletResponse response, Model model) throws URISyntaxException, OAuthSystemException;

邏輯

@Override
    public Object authorize(HttpServletRequest request, Model model) throws URISyntaxException, OAuthSystemException {
        try {
            //構建 OAuth 授權請求
            OAuthAuthzRequest oauthRequest = new OAuthAuthzRequest(request);
            String clientId = oauthRequest.getClientId();
            String redirectURI = oauthRequest.getRedirectURI();
            //檢查傳入的客戶端 id 是否正確
            ClientDetails clientDetails = oauthManager.getClientDetailByClientId(clientId);
            boolean isExist = clientDetails != null;
            if (!isExist) {
                OAuthResponse response = OAuthASResponse
                        .errorResponse(HttpServletResponse.SC_BAD_REQUEST)
                        .setError(OAuthError.TokenResponse.INVALID_CLIENT)
                        .setErrorDescription(Constants.INVALID_CLIENT_DESCRIPTION)
                        .buildJSONMessage();
                return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
            }
            Subject subject = SecurityUtils.getSubject();
            //檢查傳入的重定向uri是否正確
            if (!redirectURI.equals(clientDetails.getRedirectUri())) {
                OAuthResponse response = OAuthASResponse
                        .errorResponse(HttpServletResponse.SC_BAD_REQUEST)
                        .setError(OAuthError.TokenResponse.INVALID_CLIENT)
                        .setErrorDescription(Constants.MISMATHC_REDIRECT_URI)
                        .buildJSONMessage();
                return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
            }
            //如果用戶沒有登錄,跳轉到登陸頁面
            if (!subject.isAuthenticated()) {
                /*if(!login(subject, request)) {//登錄失敗時跳轉到登陸頁面
                    model.addAttribute("client",
                            oauthManager.getClientDetailByClientId(oauthRequest.getClientId()));
                    return "oauth2login";
                }*/
            }
            /*String username = (String)subject.getPrincipal();*/
            String username = "寫死的";
            //生成授權碼
            String authorizationCode = null;
            //responseType 目前僅支持 CODE,另外還有 TOKEN
            String responseType = oauthRequest.getParam(OAuth.OAUTH_RESPONSE_TYPE);
            if (responseType.equals(ResponseType.CODE.toString())) {
                OAuthIssuerImpl oauthIssuerImpl = new OAuthIssuerImpl(new MD5Generator());
                authorizationCode = oauthIssuerImpl.authorizationCode();
                oauthManager.saveOrUpdateOauthCode(clientId, username, authorizationCode);
            }
            //進行 OAuth 響應構建
            OAuthASResponse.OAuthAuthorizationResponseBuilder builder
                    = OAuthASResponse.authorizationResponse(request, HttpServletResponse.SC_FOUND);
            //設置授權碼
            builder.setCode(authorizationCode);
            //構建響應
            final OAuthResponse response = builder
                    .location(oauthRequest.getParam(OAuth.OAUTH_REDIRECT_URI))
                    .buildQueryMessage();
            //根據 OAuthResponse 返回 ResponseEntity 響應
            HttpHeaders headers = new HttpHeaders();
            headers.setLocation(new URI(response.getLocationUri()));
            return new ResponseEntity(headers, HttpStatus.valueOf(response.getResponseStatus()));
        } catch (OAuthProblemException e) {
            log.error(e.getMessage(), e);
            //出錯處理
            String redirectUri = e.getRedirectUri();
            if (OAuthUtils.isEmpty(redirectUri)) {
                //告訴客戶端沒有傳入 redirectUri 直接報錯
                return new ResponseEntity<>("OAuth callback url needs to be provided by client!!!", HttpStatus.NOT_FOUND);
            }
            //返回錯誤消息(如?error=)
            final OAuthResponse response = OAuthASResponse
                    .errorResponse(HttpServletResponse.SC_FOUND)
                    .error(e)
                    .location(redirectUri)
                    .buildQueryMessage();
            HttpHeaders headers = new HttpHeaders();
            headers.setLocation(new URI(response.getLocationUri()));
            return new ResponseEntity(headers, HttpStatus.valueOf(response.getResponseStatus()));
        }

2.根據code獲取token

接口

@ApiOperation(value = "令牌",
            nickname = "token",
            notes = "1.根據授權碼獲取令牌</br>2.根據refresh_token刷新token",
            tags = "Oauth")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "grant_type", value = "授予類型", required = true, paramType = "query", allowableValues = "authorization_code,refresh_token"),
            @ApiImplicitParam(name = "client_id", value = "客戶端id", required = true, paramType = "query", example = "test"),
            @ApiImplicitParam(name = "client_secret", value = "客戶端密鑰", required = true, paramType = "query", example = "test"),
            @ApiImplicitParam(name = "redirect_uri", value = "重定向uri", required = true, paramType = "query", example = "https://www.baidu.com/s?wd=123"),
            @ApiImplicitParam(name = "code", value = "授權碼", required = true, paramType = "query"),
            @ApiImplicitParam(name = "content-type", value = "content-type", required = true, paramType = "header", allowableValues = "application/x-www-form-urlencoded")
    })
    @PostMapping(value = "/token", produces = "application/json")
    @ResponseBody
    HttpEntity token(HttpServletRequest request, HttpServletResponse response) throws OAuthSystemException;

邏輯

@Override
    public ResponseEntity<String> token(HttpServletRequest request) throws OAuthSystemException {
        try {
            //構建 OAuth 請求
            OAuthTokenRequest oauthRequest = new OAuthTokenRequest(request);
            String clientId = oauthRequest.getClientId();
            String clientSecret = oauthRequest.getClientSecret();
            String authCode = oauthRequest.getParam(OAuth.OAUTH_CODE);
            String oauthGrantType = oauthRequest.getParam(OAuth.OAUTH_GRANT_TYPE);
            String refreshToken = oauthRequest.getParam(OAuth.OAUTH_REFRESH_TOKEN);
            //檢查提交的客戶端 id 是否正確
            ClientDetails clientDetails = oauthManager.getClientDetailByClientId(clientId);
            if (clientDetails == null) {
                OAuthResponse response = OAuthASResponse
                        .errorResponse(HttpServletResponse.SC_BAD_REQUEST)
                        .setError(OAuthError.TokenResponse.INVALID_CLIENT)
                        .setErrorDescription(Constants.INVALID_CLIENT_DESCRIPTION)
                        .buildJSONMessage();
                return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
            }
            // 檢查客戶端安全 KEY 是否正確
            if (!clientSecret.equals(clientDetails.getClientSecret())) {
                OAuthResponse response = OAuthASResponse
                        .errorResponse(HttpServletResponse.SC_UNAUTHORIZED)
                        .setError(OAuthError.TokenResponse.UNAUTHORIZED_CLIENT)
                        .setErrorDescription(Constants.INVALID_CLIENT_DESCRIPTION)
                        .buildJSONMessage();
                return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
            }

            // 檢查驗證類型,此處只檢查 AUTHORIZATION_CODE 類型,其他的還有 PASSWORD 或 REFRESH_TOKEN
            String userUUID;
            if (oauthGrantType.equals(GrantType.AUTHORIZATION_CODE.toString())) {
                OauthCode oauthCode = oauthManager.getOauthByClientIdAndCode(clientId, authCode);
                if (oauthCode == null) {
                    OAuthResponse response = OAuthASResponse
                            .errorResponse(HttpServletResponse.SC_BAD_REQUEST)
                            .setErrorDescription("錯誤的授權碼")
                            .buildJSONMessage();
                    return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
                }
                //刪除原有令牌
                userUUID = oauthCode.getUserUUID();
                AccessToken accessToken = oauthManager.getAccessToken(clientId, userUUID);
                if (accessToken != null) {
                    oauthManager.deleteAccessToken(accessToken);
                }
                //刪除一次性auth_code
                oauthManager.deleteOauthCode(clientId,authCode);
            } else if (oauthGrantType.equals(GrantType.REFRESH_TOKEN.toString())) {
                //刪除原有令牌
                AccessToken accessToken = oauthManager.getAccessTokenByRefreshToken(clientId, refreshToken);
                if (accessToken != null) {
                    userUUID = accessToken.getUserUUID();
                    oauthManager.deleteAccessToken(accessToken);
                } else {
                    //不存在的refreshToken
                    OAuthResponse response = OAuthASResponse
                            .errorResponse(HttpServletResponse.SC_BAD_REQUEST)
                            .setErrorDescription("不存在的refreshToken")
                            .buildJSONMessage();
                    return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
                }
            } else {
                OAuthResponse response = OAuthASResponse
                        .errorResponse(HttpServletResponse.SC_BAD_REQUEST)
                        .setErrorDescription(OAuthError.CodeResponse.UNSUPPORTED_RESPONSE_TYPE)
                        .setErrorDescription("不支持的響應類型")
                        .buildJSONMessage();
                return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
            }
            //生成最新AccessToken並保存
            OAuthIssuer oauthIssuerImpl = new OAuthIssuerImpl(new MD5Generator());
            final String token = oauthIssuerImpl.accessToken();
            AccessToken newAccessToken = new AccessToken();
            newAccessToken.setToken(token);
            newAccessToken.setClientId(clientId);
            newAccessToken.setUserUUID(userUUID);
            /*if (clientDetails.supportRefreshToken()) {

            }*/
            String newRefreshToken = oauthIssuerImpl.refreshToken();
            newAccessToken.setRefreshToken(newRefreshToken);
            oauthManager.saveAccessToken(newAccessToken);
            //生成 OAuth 響應
            OAuthResponse response = OAuthASResponse
                    .tokenResponse(HttpServletResponse.SC_OK)
                    .setTokenType(TokenType.BEARER.toString())
                    .setAccessToken(token)
                    .setExpiresIn(Integer.toString(Constants.ACCESS_TOKEN_VALIDITY_SECONDS))
                    .setRefreshToken(newRefreshToken)
                    .buildJSONMessage();
            //根據 OAuthResponse 生成 ResponseEntity
            return new ResponseEntity<>(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
        } catch (OAuthProblemException e) {
            log.error(e.getMessage(), e);
            //構建錯誤響應
            OAuthResponse res = OAuthASResponse
                    .errorResponse(HttpServletResponse.SC_BAD_REQUEST).error(e)
                    .buildJSONMessage();
            return new ResponseEntity<>(res.getBody(), HttpStatus.valueOf(res.getResponseStatus()));
        }
    }

Resource(資源服務器)

請求頭:token:Bearer ${access_token}
注意一定要加Bearer!!!注意一定要加Bearer!!!注意一定要加Bearer!!!

在所有請求之前做如下token鑑權邏輯的判斷

String getToken() {
        try {
            OAuthAccessResourceRequest oauthRequest =
                    new OAuthAccessResourceRequest(request, ParameterStyle.HEADER);
            //獲取 Access Token
            String accessToken = oauthRequest.getAccessToken();
            //驗證 Access Token
            AccessToken accessTokenByToken = oauthManager.getAccessTokenByToken(accessToken);
            if (accessTokenByToken == null) {
                // 如果不存在/過期了,返回未驗證錯誤,需重新驗證
                throw OAuthProblemException.error(OAuthError.ResourceResponse.INVALID_TOKEN, "無效的token");
            }
            //返回用戶名
            String userUUID = accessTokenByToken.getUserUUID();
            UserLink userLink = userManager.getUserLink(userUUID);
            //獲取數據庫緩存的協作系統token
            UserToken userToken = userManager.getUserToken(userUUID);
            if (userToken == null) {
                String token = rishiqingApiManager.getToken(userLink.getCorpId(), userLink.getStaffId());
                userToken = new UserToken();
                userToken.setUserId(userLink.getUserId());
                userToken.setUserUUID(userUUID);
                userToken.setRishiqingToken(token);
                userManager.saveUserToken(userToken);
                return token;
            } else {
                LocalDateTime gmtModified = userToken.getGmtModified();
                long l = Duration.between(gmtModified, LocalDateTime.now()).toDays();
                if (l > 15) {
                    String token = rishiqingApiManager.getToken(userLink.getCorpId(), userLink.getStaffId());
                    userToken.setRishiqingToken(token);
                    userManager.updateUserToken(userToken);
                    return token;
                } else {
                    return userToken.getRishiqingToken();
                }
            }
        } catch (OAuthSystemException | OAuthProblemException e) {
            log.error(e.getMessage(), e);
            throw new TokenException();
        }
    }

未開發完:待完善

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

微信開放平臺-以你之名貫我之心

      最近Boss說來搞一搞微信的開放平臺,在兼顧內網的同時,雖然文檔管理系統即將上線,但是order is order,所以百忙之中忙中抽閒,說搞就搞,我要做自己的leader!廢話少說,直接上圖,希望讓自己學的更加深刻。 一、申

Don 2020-07-05 05:52:46

騰訊微博開放平臺發佈者分享會(陳思齊)

記下幾點提要 1 140萬 2 3kw 3 詞 4 明確瞭解平臺能提供的資源 5 用戶玩遊戲買的是關注力 6 遊戲平臺最開始的定位最好是所有人 7 fb上好友買賣最火的是非魯賓 8 平臺發展需要由後臺限制轉爲前臺過濾 9 開發的遊戲和應用

刨根问底 2020-07-03 20:41:55

facebook盈利模式大揭密

之前向大家介紹過Facebook的網站架構,相信很多人看完後都爲之震驚。的確,作爲全球最大的社交網站,Facebook仍在以驚人的步伐向前邁進。在很多人看來,這樣的一個網站要賺錢一定很容易,估計光靠賣賣廣告就能賺很多吧。是的,沒錯,廣

Oscar.Zhang 2020-07-03 00:22:17

【閒聊產品】之三:點評 WWDC 2014

熬夜看完了蘋果的WWDC 2014, 感覺真是值了,整場發佈會的驚豔是一個接着一個,讓我們看到了很多未來的可能性,而且很多產品都是具有革命性意義的。 先說說情理之中的統一性,在使用Mac OS 和 iOS設備的時候我一直感覺到很彆扭,

最牛傻蛋 2020-07-01 07:45:40

可軟件定義的存儲邏輯——Efficient and agile storage management in software defined environments

        note:寫這個也許算是翻譯,又或算是對這個論文[1]的理解,又或者只是我的看法。         這篇論文和IOFlow相比較,更加註重軟件定義存儲的框架(利用已有的框架來創建新的框架,然後使用已有的協議),而不是像I

willwillie 2020-06-28 23:53:37

谷歌125億美元收購摩托羅拉移動(谷歌又創新天地)

        北京時間8月15日消息,據國外媒體報道,谷歌和摩托羅拉移動今天宣佈,兩家公司已經達成一致協議,谷歌將以40美元現金每股的價格收購摩托羅拉移動。這筆交易的總價值達到約125億美元,按照上週五的收盤價計算,該收購價比摩托羅拉移

lo5sea 2020-06-24 04:17:00

開放開發平臺小全

本文轉自blog.csdn.net/sxhelijian 不少同學正在爲暑假投入開發實踐做着準備,做移動應用,利用開放平臺是個熱點。憑着自已的一些感覺,也藉助百度,列出了下面的清單。由於見識所限,姑且稱爲小全,歡迎讀者留言補充。也憑

Moonsun 2020-06-24 03:48:17

[SD2C 2009]開放平臺沙龍:論開心農場變身QQ農場

晚上的沙龍上,突然聽聞:開心農場變身爲QQ農場(Tecent趕走了開心農場,自建QQ農場)。 我對此的評論是:Tecent在開放上缺乏誠意! 1)Tecent在開放一事上,步子很慢。那是因爲它一直處於優勢地位,不需要通過開放來增加利益。

AlisoftRD 2020-06-23 18:48:35

基於Android的sina微博分享功能

該功能是在基於Android的應用中實現sina微博分享,利用sina微博這個平臺來推廣自己的應用,大家有興趣可以看看新浪微博開發平臺的相關介紹http://open.weibo.com/ 運行結果: 圖1 新浪官方授權網頁 圖2

sylcc_ 2020-06-22 02:14:29

基於http的通信協議――SHCP

 概述SHCP――Simple HTTPCommunication Protocol,簡單的HTTP通信協議。本文章提供一種設計思路,能夠設計基於http協議的通信層,從安全性、靈活性與數據傳輸性能上提供一種設計的參考。在以下場合,本文能

hunkcai 2020-06-21 20:29:02

Oauth認證-新浪微博開發(上)

Oauth認證-新浪微博開發(上) 2012-03-27 17:42:16 標籤:新浪微博 學習 詳細信息 開發 博客 最近幾天一直在學習新浪微博的授權驗證,在論壇上下了個例子,也找到了相關的博客文章。。以爲很簡單能搞懂,但是

leechee_1986 2020-06-21 14:26:44

基於mars老師視頻,android 騰訊微博微博 HttpClient 方法實現上傳圖片

最爲初學者,看了mars老師的android開發視頻後,裏面實現了發送一條微博信息,可是我現在想實現上傳圖片,我想着也是更多人想實現的需求。mars老師源代碼和視頻講的都很透徹,但是對於我這初學者還是不能再實現簡單的發送文字基礎上實現上傳

曾家河 2020-06-20 20:41:15

開放平臺安全性考慮

開放平臺由於將內部大量的資源開放出去,需要特別考慮安全性問題。這裏的安全性是泛指的。我覺得有以下幾個方面需要考慮的。   安全(Safety) 這個是指數據丟沒有丟失的問題 - 數據篡改 - 數據不一致(髒數據):有數據映射關係和分佈式

人气青蛙 2020-06-20 08:28:06

淘寶api例子 通過寶貝地址取寶貝標題價格圖片

這裏要加淘寶的api的dll文件“TopSdk.dll”,sdk裏有 using Top.Api; using Top.Api.Domain; using Top.Api.Response; using Top.Api.Request;

lbx541575387 2020-06-20 07:26:08

android 新浪微博實現分享功能

終於成功實現了新浪平臺的分享功能。中間遇到了各種各樣的問題,樓主也是醉了。 現在好多應用都實現新浪,QQ,騰訊等三方平臺功能,這時一般來說會有兩種解決辦法。 1:利用ShareSdk;這種方式比較簡單。去下載他們官方SDK,裏邊介紹的很詳

yian_ 2020-06-20 00:17:07