OAuth2 集成
应用系统将原有的用户登录认证代码修改为:当检查到用户未登录时,转发用户的登录请求到统一身份管理系统的 OAuth 单点登录地址。
统一身份管理系统完成用户认证操作后,调用应用系统提供的回调地址,发送身份认证结果。应用系统分析认证结果,判断是否允许用户登录。
1 应用配置
在统一身份管理系统,需要为第三方应用配置下列信息:
- 授权模式:密码模式,授权码模式,客户端模式,三选一。
- 重定向地址:用于接收用户认证结果。
- 权限范围:配置可以访问的接口服务。
2 基于接口登录
2.1 用户口令认证
接口地址
/api/v2/app/authn/login/password
请求方法
POST
请求类型
表单
请求字段
| 字段 | 属性 | 是否必须 | 描述 |
|---|---|---|---|
| username | 用户名 | 是 | 用户登录的名称 |
| password | 用户口令 | 是 | 用户登录的口令 |
| appId | 应用标识 | 是 | 应用标识 |
响应类型
JSON
响应字段
| 字段 | 属性 | 是否必须 | 描述 |
|---|---|---|---|
| jti | 短令牌 | 是 | 授权令牌 |
| redirectUrl | 重定向地址 | 是 | 登录成功后,重定向地址 |
| status | 状态 | 是 | 0 表示成功;非 0 表示失败 |
响应示例
json
{
"flag": true,
"code": "0x0000",
"message": "成功",
"data": {
"jti": "91f519f8-1b20-4680-ad59-8043d5d63e75",
"redirectUrl": "https://4a.heblsj.gov.cn:9898/sso",
"status": 0
},
}交互过程
3 基于门户登录
用户登录安全门户,点击应用图标。统一身份管理系统验证用户登录请求,构建 OAuth 令牌,发送给第三方应用。第三方应用需验证 OAuth 令牌的有效性。在有效性验证通过后,从 OAuth 令牌中或通过用户接口提取用户身份信息,打开应用首页。
URL 请求路径和方法
Path: [第三方应用接口]
Method: GET
HTTP 请求
查询参数:
| 字段 | 属性 | 是否必须 | 描述 |
|---|---|---|---|
| jti | OAuth 令牌 | 是 | 第三方应用接收的 OAuth 令牌 |
http
jti=5c6550cd-d9b9-4676-88f0-945f993d0a3bHTTP 响应
如果第三方应用验证响应数据成功,则返回应用首页。