OAuth2应用集成
本文介绍OAuth2应用如何与MaxKey进行集成。
认证流程
采用Authorization Code获取Access Token的授权验证流程又被称为Web Server Flow,适用于所有Server端的应用。其调用流程示意图如下:
对于应用而言,其流程由获取Authorization Code和通过Authorization Code获取Access Token这2步组成。
1.引导需要授权的用户到如下地址:
https://sso.maxkey.org/maxkey/oauth/v20/authorize?client_id=YOUR_CLIENT_ID&response_type=code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI
2.页面跳转至
YOUR_REGISTERED_REDIRECT_URI/?code=CODEsss
3.换取Access Token
https://sso.maxkey.org/maxkey/oauth/v20/token?client_id=YOUR_CLIENT_ID&client_secret=YOUR _SECRET&grant_type=authorization_code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&code=CODE
返回值
{ "access_token":"SlAV32hkKG", "remind_in ":3600, "expires_in":3600 }
应用注册
应用在MaxKey管理系统进行注册,注册的配置信息如下
API接口标准
<tr>
<th> <strong>接口 </strong> </th>
<th> <strong>说明 </strong> </th>
<th> <strong>详细说明 </strong> </th>
<th> <strong>调用方法 </strong> </th>
</tr>
<tr>
<td> /oauth/v20/authorize </td>
<td> 请求用户授权Token </td>
<td> https://sso.maxkey.org/maxkey接收app sso认证请求,<br>client_id为需要认证的应用的id;</td>
<td> APP </td>
</tr>
<tr>
<td> /oauth/v20/token </td>
<td> 获取授权过的 Access Token </td>
<td> 后台应用获取 tokencode ,调用接口进行 tokencode 校验;<br>校验成功获取访问 token </td>
<td> APP </td>
</tr>
<tr>
<td> /api/oauth/v20/me </td>
<td> 授权用户信息查询接口 </td>
<td> 通过访问 token 获取登录用户信息 </td>
<td> APP </td>
</tr>
<tr>
<td> /connect/v10/userinfo </td>
<td> OIDC授权用户信息查询接口 </td>
<td> 通过访问 token 获取登录用户信息及签名信息 </td>
<td> APP </td>
</tr>
1)/oauth/v20/authorize接口
请求用户授权Token
| 接口名称 |
请求用户授权Token |
| url |
https://sso.maxkey.org/maxkey/oauth/v20/authorize |
| 请求方式 |
http get/post |
请求参数
| 参数 |
说明 |
| client_id |
注册应用时分配的client_id。 |
| redirect_uri |
应用回调地址,注册时需要配置 |
| grant_type |
授权类型。 |
| etc param |
其他参数。 |
|
响应返回app应用程序,包含请求参数如下:
|
|
http://app.maxkey.org/app/callback?tokencode =PQ7q7W91a-oMsCeLvIaQm6bTrgtp7
|
| tokencode |
用于调用oauth/token,接口获取授权后的访问token。 |
2 /oauth/v20/token接口
通过/oauth/v20/token用tokencode换取访问token
|
<th> 接口名称 </th>
<th> token 接口 </th>
|
<td> url </td>
<td> https://sso.maxkey.org/maxkey/oauth/v20/token </td>
|
<td> 请求方式 </td>
<td> http get/post </td>
请求参数
|
<th>参数 </th>
<th> 说明 </th>
|
<td> client_id </td>
<td> 注册应用时分配的client_id。 </td>
|
<td> client_secret </td>
<td> 注册应用时分配的client_secret</td>
|
<td> redirect_uri </td>
<td>应用回调地址,注册时需要配置</td>
|
<td>tokencode</td>
<td>调用/oauth/v20/authorize获得的tokencode值。</td>
|
<td>grant_type</td>
<td>授权类型。Grant type</td>
|
<td>username</td>
<td>当grant_type=password时,此参数表示直接认证用户名。</td>
|
<td>password</td>
<td>当grant_type=password时,此参数表示直接认证用户密码。</td>
|
<td>etc param</td>
<td>其他参数</td>
|
<td colspan="2" align="left">
实际请求如下:
The actual request might look like:
POST /oauth/v20/token token HTTP/1.1
Host: sso.maxkey.org/openapi
Content-Type: application/x-www-form-urlencoded
tokencode= PQ7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=QPKKKSADFUP876&
client_secret={client_secret}&
redirect_uri=http://app.maxkey.org/app/callback
</td>
|
<td colspan="2" align="left">
返回数据
</td>
|
<td colspan="2" align="left">
A successful response to this request contains the following fields:
</td>
|
<td>access_token</td>
<td>用该token能调用SSO的API</td>
|
<td colspan="2">
成功返回JSON数据,如下:
{
access_token : "token_id"
…
}
3)用户属性接口/api/oauth/v20/me
| 接口名称 |
token 接口 |
| url |
https://sso.maxkey.org/maxkey/api/oauth/v20/me |
| 请求方式 |
http get/post |
请求参数
| 参数 |
说明 |
| access_token |
调用sso/ token获得的token值。 |
实际请求如下:
POST /oauth/ userinfo HTTP/1.1
Host: sso.maxkey.org/openapi
Content-Type: application/x-www-form-urlencoded
access_token= PQ7q7W91a-oMsCeLvIaQm6bTrgtp7
|
|
返回数据/ response data
|
|
成功返回JSON数据,如下:
{
userid : “zhangs”,
…
}
zhangs是认证的用户ID
|
MaxKey OAuth2.0实现中,授权服务器在接收到验证授权请求时,会按照OAuth2.0协议对本请求的请求头部、请求参数进行检验,若请求不合法或验证未通过,授权服务器会返回相应的错误信息,包含以下几个参数:
error: 错误码
error_description: 错误的描述信息
错误信息的返回方式有两种:
当请求授权Endpoint:https://sso.maxkey.org/maxkey/oauth/v20/authorize 时出现错误,返回方式是:跳转到redirect_uri,并在uri 的query parameter中附带错误的描述信息。
当请求access token endpoint:https://sso.maxkey.org/maxkey/oauth/v20/token 时出现错误,返回方式:返回JSON文本。
例如:
