本文代碼: https://gitee.com/felord/spring-security-oauth2-tutorial/tree/wwopen/ 現在很多企業都接入了企業微信,作為私域社群工具,企業微信開放了很多API,可以打通很多自有的應用。既然是應用,那肯定需要做登錄。正好企業微信提供了企 ...
本文代碼: https://gitee.com/felord/spring-security-oauth2-tutorial/tree/wwopen/
現在很多企業都接入了企業微信,作為私域社群工具,企業微信開放了很多API,可以打通很多自有的應用。既然是應用,那肯定需要做登錄。正好企業微信提供了企業微信掃碼授權登錄功能,而且號稱使用了OAuth,正好拿這個檢驗一下Spring Security OAuth2專欄的威力。
正當我興緻勃勃打開文檔學習的時候,臉上笑容逐漸消失,這確定是OAuth的嗎?
參數都變了,跟OAuth(不管是1.0還是2.0)規定不一樣,然而這還不是最離譜的。按正常OAuth2的要求,拿到code之後就可以換access_token了是吧?企業微信的access_token居然和上面掃碼獲取code這一步完全無關,甚至獲取access_token才是第一步!
而且這個
access_token介面,你還不能頻繁調用,要緩存起來公用。
那費了半天勁兒去拿code有啥用呢?
居然這個code是拿用戶信息的,不得不說,我服了!OAuth2的123流程被整成了213。這也就算了,命名上能不能走點心,一會兒下劃線,一會兒駝峰:
{
"errcode": 0,
"errmsg": "ok",
"OpenId":"OPENID",
"DeviceId":"DEVICEID",
"external_userid":"EXTERNAL_USERID"
}
這個JSON風格,果然是大廠,講究!一個JSON要三個人來寫才體面!反序列化的時候我還得給你寫一個相容,這是要拉滿我的KPI是吧?算了,忍忍吧,老闆就要這個功能,它就是一坨翔,做開發的也得含淚吃下去,乾!
環境準備
準備一個內網穿透
開發微信相關的應用都需要搞一個內網穿透,在我往期的文章都有介紹。搞一個映射功能變數名稱出來,就像下麵這樣:
http://invybj.natappfree.cc -> 127.0.0.1:8082
invybj.natappfree.cc會映射到我本地的8082埠,也就是我本地要開發應用的埠。
創建應用
首先去企業微信管理後臺創建一個應用,如圖:
圖裡的參數
AgentId和Secret要記下來備用。
還有一個企業微信的corpid,你可以從下麵這個位置拿到,也要記下來備用。
配置內網穿透功能變數名稱
在創建應用這一頁往下拉到頁面底端,你會看到:
點擊已啟用進入下麵這個頁面:
這裡配置你授權登錄應用生產的正式功能變數名稱或者上面內網穿透的功能變數名稱,註意只配置功能變數名稱,而且不能使用localhost。
其實我感覺改寫
hosts文件也能用啊,你可以試一試。
到這裡環境就搞定了,接下來就開始寫Spring Security相容代碼吧。
Spring Security相容企業微信掃碼登錄
寫起來太噁心了,不過對比文檔和OAuth2的流程之後其實也沒那麼麻煩。我先放出我調試好的配置:
spring:
security:
oauth2:
client:
registration:
work-wechat-scan:
# client-id為企業微信 的企業ID
# 下麵client-id是假的,你用你自己的企業ID
client-id: wwaxxxxxx
# client-secret企業微信對應應用的secret,
# 每個企業微信應用都有獨立的secret,不要搞錯
# 下麵client-secret假的,你用你自己創建的企業微信應用secret
client-secret: nvzGI4Alp3zxxxxxxxKbnfTEets5W8
authorization-grant-type: authorization_code
redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}'
provider:
work-wechat-scan:
authorization-uri: https://open.work.weixin.qq.com/wwopen/sso/qrConnect
token-uri: https://qyapi.weixin.qq.com/cgi-bin/gettoken
user-info-uri: https://qyapi.weixin.qq.com/cgi-bin/user/getuserinfo
這裡client-id使用你企業微信的企業ID,client-secret使用上面創建應用的secret值。
這裡的
work-wechat-scan是客戶端的registrationId
封裝企業微信拉起二維碼URL
我們期望的是保持Spring Security OAuth2的風格,當我訪問:
http://invybj.natappfree.cc/oauth2/authorization/work-wechat-scan
會重定向到企業微信掃碼登錄鏈接,格式為:
https://open.work.weixin.qq.com/wwopen/sso/qrConnect?appid=CORPID&agentid=AGENTID&redirect_uri=REDIRECT_URI&state=STATE
這個和以前胖哥實現微信網頁授權的原理差不多,都是通過改造OAuth2AuthorizationRequestResolver介面來實現,只需要實現一個Consumer<OAuth2AuthorizationRequest.Builder>就行了。
邏輯是:把client_id替換為appid,增加一個agentid參數,連帶redirect_uri和state四個參數之外的其它OAuth2參數全幹掉,拼接成上面的URL。
這麼寫:
把這個Consumer配置到DefaultOAuth2AuthorizationRequestResolver就行了。
適配OAuth2獲取access_token
經過這一步掃碼拿到code就不成問題了,按照OAuth2該拿access_token了,需要自定義一個函數式介面:
Converter<OAuth2AuthorizationCodeGrantRequest, RequestEntity<?>>
也就是利用OAuth2AuthorizationCodeGrantRequest生成RestTemplate需要的請求對象RequestEntity<?>。按照企業微信獲取access_token的文檔,這樣自定義:
把這個配置到DefaultAuthorizationCodeTokenResponseClient就行了。
access_token的緩存,我放在了下一步進行解決。
適配獲取用戶信息
code和access_token都拿到了,最後一步獲取用戶的信息。這裡是比較麻煩的因為獲取access_token後並沒有直接提供將code傳遞給OAuth2UserService的方法。最後發現OAuth2AccessTokenResponse的additionalParameters屬性可以傳遞到OAuth2UserService,於是就利用代理模式改造了OAuth2AccessTokenResponseClient來實現:
自定義企業微信OAuth2UserService
這個和微信網頁授權我封裝的差不多,改下參數封裝成URI交給RestTemplate請求企業微信API。噁心的是要反序列化相容三個微信研發工程師寫的一個JSON:
@Data
public class WorkWechatOAuth2User implements OAuth2User {
private Set<GrantedAuthority> authorities;
private Integer errcode;
private String errmsg;
@JsonAlias("OpenId")
private String openId;
@JsonAlias("UserId")
private String userId;
}
收尾
拿到用戶信息後,就結束了,你實現一個AuthenticationSuccessHandler來保證登錄憑證和你平臺一致,無論是cookie還是JWT,最後把它配置到這裡:
httpSecurity.oauth2Login()
.successHandler(AuthenticationSuccessHandler successHandler)
試一下效果
務必使用功能變數名稱進行訪問,不要使用
localhost或者IP。
訪問http://invybj.natappfree.cc/login,這裡是內網穿透功能變數名稱,出現:
企業微信掃碼登錄的地址其實就是http://invybj.natappfree.cc/oauth2/authorization/work-wechat-scan。點擊跳轉到掃碼頁面:
然後用你對應的企業微信APP掃碼,企業和用戶要和申請應用的一致。掃碼後:
這個就是Spring Security 封裝的用戶認證信息Authentication對象,是真正的登錄,這裡我沒有註入許可權,你需要在企業微信的OAuth2UserService實現中註入許可權和更多的信息。
總結
沒有實現不了的,只要把原理和流程搞清楚就行。不過如果上游微信把代碼寫規範一些,下游何必寫這麼多冗餘的代碼。
關註公眾號:Felordcn 獲取更多資訊
|
博主:碼農小胖哥 出處:felord.cn 本文版權歸原作者所有,不可商用,轉載需要聲明出處,否則保留追究法律責任的權利。如果文中有什麼錯誤,歡迎指出。以免更多的人被誤導。 |
