上一篇文章介绍了 SSO 相关的基础数据，这样有了 ClientId 和密钥后，我们就要准备客户端这边的代码。客户端当前指的便是一个网站（也就是 RP），这个网站要求有会员功能，典型地网站导航上通常会有“注册”或“登录”的链接。

假设我们这是最简单的网站，采用 Servlet Session 本地记录用户凭证。本身这个网站没有设计用户的模块，得通过 SSO 完成用户登录。

RP 的 Yaml 配置文件如下：

user:
  clientId: G5IFeG7Eesbny3f
  clientSecret: J1Bb4zhchfziuDipKI7sgo6iyk
  loginPage: http://127.0.0.1:8888/iam/oidc/authorization # 登录页面地址

另外我们还要准备一个登录页面，简单的例子如下。

这个页面存在 SSO 中心（也就是 OP）的，而不是客户端的。

标准 的 OIDC 流程

好，下面正式进入 OIDC 登录的流程，我们先大概了解一下整个流程。

OIDC 授权码模式的认证流程中涉及三方：用户、OIDC 服务器（OpenID Provider/OIDC Provider，简称 OP）、客户端业务应用（Relying Party，简称 Client）。用户、OP、RP 的交互目的分为以下几点：

1. Client 希望用户登录，从而拿到用户身份信息。
2. Client 发起登录，会跳转到 OP 的认证页面，OP 让用户登录，并授权自己的信息，然后 OP 将一个授权码（code）发给 Client。实际上这是在通过引用来传递用户信息。
3. Client 收到授权码 code 后，结合 Client ID 和 Client Secret 到 OP 换取该用户的 access_token。
4. Client 利用 access_token 到 OP 去获取用户的相关信息，从而得到一个可信的身份断言，让用户登录。

下面我们再逐一详解。

客户端发起登录

一开始，用户并未在客户端网站上登录。当用户点击“登录”按钮要求登录的时候，RP（客户端）的后台接口/user/login会组装所需的参数，形成 URI 返回303 Location=该 URI，告诉浏览器重定向到 OP /oidc/authorization。

这是 RP 的接口，执行上述过程。

import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.view.RedirectView;

import com.ajaxjs.util.StrUtil;

@RestController
@RequestMapping("/user")
public class UserController {
	@Value("${user.loginPage}")
	private String userLoginCode;

	@Value("${user.clientId}")
	private String clientId;

	@GetMapping("/login")
	public ModelAndView get() {
		String url = userLoginCode + "?response_type=code&client_id=" + clientId;
		url += "&redirect_uri=http://localhost:8080/mywebsite/user/auth_code";
		url += "&state=" + StrUtil.getRandomString(6);

		return new ModelAndView(new RedirectView(url));
	}
}

浏览器的重定向，即返回：

HTTP/1.1 303 See Other
Location: http://127.0.0.1:8888/iam/oidc/authorization
?redirect_uri=http://localhost:8080/mywebsite/user/auth_code
&response_type=code
&state=J1Bb4zhchfziuDipKI7sgo6iyk
&client_id=G5IFeG7Eesbny3f

参数说明

参数	说明
redirect_uri	用户登录成功后，OP 回传授权码等信息给RP的接口，相当于回调地址
response_type	固定值 code，表示授权码流程
client_id	RP 在 OP 注册的 client_id
state	不透明字符串，当 OP 重定向到 redirect_uri 时，会原样返回给 RP，用于防止 CSRF、 XSRF。由于 OP 会原样返回此参数，可将 state 值与用户在 RP 登录前最后浏览的 URI 绑定，便于登录完成后将用户重定向回最后浏览的页面

发送授权码

OP 端的/oidc/authorization接口里有这么两个分支的判断：

• 发现用户未登录，返回 HTTP 303，通过浏览器重定向到登录页面
• 用户已登录，于是执行授权逻辑，签发授权码

判断是否已登录

怎么判断没有登录？没有携带特定的 cookie 便是表明用户未登录。一般 Java Web 的是 JSESSIONID，这样的话可以在后台直接使用 Session 对象（比较简单，但只是“单机”）。如果是 Redis 方案，也要使用 Cookie，并且要把 Cookie 与 Redis 缓存对应起来。

参考代码如下。

接口定义。

/**
 * 1、发现用户未登录，返回 303，通过浏览器重定向到登录页面
 * 2、用户已登录，于是执行授权逻辑，签发授权码
 *
 * @param req  请求对象
 * @param resp 响应对象
 */
@GetMapping("/authorization")
void authorization(
        @RequestParam("response_type") String responseType,
        @RequestParam("client_id") String clientId, @RequestParam("redirect_uri") String redirectUri, @RequestParam(required = false) String scope, @RequestParam String state,
        HttpServletRequest req, HttpServletResponse resp);

用户登录

若是未登录则跳到登录页面，则是/iam/login/?response_type=code&client_id=G5IFeG7Eesbny3f&redirect_uri=http://localhost:8080/mywebsite/user/auth_code&state=tMpnBJ。

我们在跳转的时候加入一个提示的页面，让用户感知更好。

用户输入账密，表单 AJAX 提交时触发 OP 验证账密接口 POST op.com/user/login。下面是一个比较简单的例子，注意要附上所有的 QueryString 参数（location.search）。

如果账密正确则重定向回 OP 授权接口（返回 303 Location=步骤1 的 Location，即/oidc/authorization），并设置 OP 的会话状态（设置 cookie）。

发送授权码

此时再度进入/oidc/authorization，发现用户成功登录了于是就可以发送授权码，返回303 Location=redirect_uri，浏览器重定向到 redirect_uri。这样 RP 就可以得到授权码。

接口定义（跟前面的一样）。

/**
 * 1、发现用户未登录，返回 303，通过浏览器重定向到登录页面
 * 2、用户已登录，于是执行授权逻辑，签发授权码
 *
 * @param req  请求对象
 * @param resp 响应对象
 */
@GetMapping("/authorization")
void authorization(
        @RequestParam("response_type") String responseType,
        @RequestParam("client_id") String clientId, @RequestParam("redirect_uri") String redirectUri, @RequestParam(required = false) String scope, @RequestParam String state,
        HttpServletRequest req, HttpServletResponse resp);

生成授权码的规则是 clientId 加时间戳再 SHA1 得到 code，注意要把 code 和当前用户对应起来，然后存到 5 分钟超时的缓存中。

返回给 RP 类似于这样的响应：

HTTP/1.1 303 See Other
Location: http://rp.com/user/callback
?state=DJOfvYDSDxaPzOKR
&code=Z0FBQUFBQmVjc

为什么 OIDC 授权码流程要 code 换 token 再换用户信息？

答案出处。

OIDC 协议中，用户登录成功后，OIDC 认证服务器会将用户的浏览器回调到一个回调地址，并携带一个授权码（code）。此授权码一般有效期十分钟且一次有效，用后作废。这避免了在前端暴露 access_token 或者用户信息的风险，access_token 的有效期都比较长，一般为 1~2 个小时。如果泄露会对用户造成一定影响。

后端收到这个 code 之后，需要使用 Client Id + Client Secret + Code 去 OIDC 认证服务器换取用户的 access_token。在这一步，实际上 OIDC Server 对 OAuth Client 进行了认证，能够确保来 OIDC 认证服务器获取 access_token 的机器是可信任的，而不是任何一个人拿到 code 之后都能来 OIDC 认证服务器进行 code 换 token。

如果 code 被黑客获取到，如果他没有 Client Id + Client Secret 也无法使用，就算有，也要和真正的应用服务器竞争，因为 code 一次有效，用后作废，加大了攻击难度。相反，如果不经过 code 直接返回 access_token 或用户信息，那么一旦泄露就会对用户造成影响。

获取 Token

RP 后台请求 Token

RP 接收到 OP 回传的 code 参数后，接着就是向 OP /oidc/token接口获取 AccessToken 令牌，也就是用 code 换 token。注意这是在服务端请求完成的（此处使用 Spring RestTemplate 请求）。

其中请求头Authorization字段通过Basic关键字传递 RP 在 OP 注册的client_id和client_secret。请见下面源码：

@Value("${user.tokenApi}")
private String tokenApi;

@RequestMapping("/callback")
public void token(@RequestParam String code, @RequestParam(required = false) String state) {
	RestTemplate restTemplate = new RestTemplate();
//        restTemplate.getInterceptors().add(new BasicAuthenticationInterceptor(clientId, clientSecret));// basic 认证

	HttpHeaders headers = new HttpHeaders();
	headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
	headers.setBasicAuth(clientId, clientSecret);

	MultiValueMap<String, String> bodyParams = new LinkedMultiValueMap<>();
	bodyParams.add("grant_type", "authorization_code");
	bodyParams.add("code", code);
	bodyParams.add("state", state);

	ResponseEntity<String> responseEntity = restTemplate.exchange(tokenApi, HttpMethod.POST,
			new HttpEntity<>(bodyParams, headers), String.class);


	System.out.println(responseEntity);
	// TODO 获取 Token 的后续工作……
//        if (responseEntity.getStatusCode().is2xxSuccessful()) {
//            // 处理授权成功的逻辑，例如解析并保存访问令牌和刷新令牌等
//            return "success";
//        } else {
//            // 处理授权失败的逻辑
//            return "error";
//        }
}

具体传参方式是将client_id和client_secret通过 ‘:’ 号拼接，并使用 Base64 进行编码得到字符串。将此编码字符串放到请求头 Authorization 去发送请求。不过借助框架的封装headers.setBasicAuth(clientId, clientSecret)，很简单就完成了。这个封装相当于下面的逻辑：

public void requestWithBasic(String clientId, String clientSecret) {
    String clientAndSecret = clientId + ":" + clientSecret;
    HttpHeaders headers = new HttpHeaders();
    headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
    headers.set("Authorization", "Basic " + StrUtil.base64Encode(clientAndSecret)); // 请求头

    MultiValueMap<String, Object> bodyParams = new LinkedMultiValueMap<>();
    bodyParams.add("grant_type", "client_credentials");

    ResponseEntity<String> responseEntity = restTemplate.exchange(tokenEndPoint, HttpMethod.POST, new HttpEntity<>(bodyParams, headers), String.class);

    if (responseEntity.getStatusCode().is2xxSuccessful()) {

    }
}

好，我们看看正式请求是怎么样子的：

POST op.com//oidc/token
Authorization: Basic cUZFeFZtQlE4blBZOjVjNWVkYjA2OTA2MTZjZGJkNGNmOWMwYjBlMjg3MWVkNjM2MzE2Z
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code
&state=DJOfvYDSDxaPzOKRoyaT
&code=Z0FBQUFBQm

有文章说要传redirect_uri参数，——我这是在服务器请求，跳转对我没用呀，——不知为何要传呢？而且这个接口已经返回 token 给 RP 了，要跳转也是我 RP 的事情呀。

最后，获取 Token 的后续工作……这里是个服务端的请求，暂且不表，看看 OP 如何颁发 Token 先。

OP 颁发 Token

颁发 Token 是/oidc/token，定义如下：

/**
 * 获取 Token
 *
 * @param authorization client 信息
 * @param code          授权码
 * @param state         不透明字符串
 * @param grantType     授权码流程
 * @return 令牌 Token
 */
@PostMapping("/token")
Result<JwtAccessToken> token(@RequestHeader String authorization, @RequestParam String code, @RequestParam String state, @RequestParam("grant_type") String grantType);

要实现的逻辑如下：

1. 校验 RP 在请求头authorization字段通过 HTTP Basic 认证传入的client_id和client_secret
2. 从缓存中，根据 code 获取对应的用户
3. 如果都校验通过，则生成 access token、id token 并返回

见OidcService源码：

返回 JSON 如下例子：

HTTP/1.1 200 OK
Content-Type: application/json

{
	"state": "DJOfvYDSDxaPzOKRoyaTaQWCoWywdeKU", 
	"scope": "openid profile email address phone", 
	"access_token":"Z0FBQUFBQmVjdWxLcFBWVn", 
	"token_type": "Bearer", 
	"id_token":"eyJhbGciOiJSUzI1NiIsIm……"
}

RP 构建自身的会话状态

RP 构建自身的会话状态（设置一个 cookie，表明用户已在 RP 登录）。找出 state 绑定的 URI ，将用户重定向回登录前最后浏览的页面。

@RequestMapping("/callback")
public ModelAndView token(@RequestParam String code, @RequestParam(required = false) String state,
		HttpSession session) {
//        restTemplate.getInterceptors().add(new BasicAuthenticationInterceptor(clientId, clientSecret));// basic 认证

	HttpHeaders headers = new HttpHeaders();
	headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
	headers.setBasicAuth(clientId, clientSecret);

	MultiValueMap<String, String> bodyParams = new LinkedMultiValueMap<>();
	bodyParams.add("grant_type", "authorization_code");
	bodyParams.add("code", code);
	bodyParams.add("state", state);

	ResponseEntity<JwtAccessToken> responseEntity = getRestTemplate().exchange(getTokenApi(), HttpMethod.POST,
			new HttpEntity<>(bodyParams, headers), new ParameterizedTypeReference<JwtAccessToken>() {
			});

//		ResponseEntity<String> responseEntity = getRestTemplate().exchange(getTokenApi(), HttpMethod.POST,
//				new HttpEntity<>(bodyParams, headers), String.class);

	if (responseEntity.getStatusCode().is2xxSuccessful()) {// 处理授权成功的逻辑，例如解析并保存访问令牌和刷新令牌等
		onAccessTokenGot(responseEntity.getBody(), session);

		return new ModelAndView("redirect:/");
	} else {
		System.out.println(responseEntity);
//			 处理授权失败的逻辑
		throw new SecurityException("获取 JWT Token 是吧");
	}
}

@Value("${user.jwtSecretKey}")
private String jwtSecretKey;

@Bean
JWebTokenMgr jWebTokenMgr() {
	JWebTokenMgr mgr = new JWebTokenMgr();
	mgr.setSecretKey(jwtSecretKey);

	return mgr;
}

@Override
public void onAccessTokenGot(JwtAccessToken token, HttpSession session) {
	String idToken = token.getId_token();
	JWebTokenMgr mgr = jWebTokenMgr();
	JWebToken jwt = mgr.parse(idToken);

	if (mgr.isValid(jwt)) {
		User user = new User();
		user.setId(Long.parseLong(jwt.getPayload().getSub()));
		user.setName(jwt.getPayload().getName());
		
		AccessToken accessToken = new AccessToken();
		BeanUtils.copyProperties((AccessToken) token, accessToken);

		user.setAccessToken(accessToken);

		session.setAttribute(UserLogined.USER_IN_SESSION, user);
	} else
		throw new SecurityException("返回非法 JWT Token");
	}

RP 整合 SSO，实际上有 SDK 提供的，是为 aj-iam-client。

获取用户信息

JWT 所包含的用户信息当前只有 userId 和 userName，若要获取用户更多的信息如手机号码的，可以查询用户信息接口。使用 Access Token 在后台向 OP 的用户详情接口GET op.com/userinfo发请求，获取用户详细信息。其中请求头authorization字段使用Bearer关键字传递 Access Token，注意这是 AccessToken 而非 JWT Token。

GET op.com/userinfo
authorization: Bearer Z0FBQUFBQmVjdHFwcW1Xc08ybG9BaG5PRGNJSTR3alFjTjJEcEF4aVl3VDZCMW5OTmFhOXdZe

小结

基本上 SSO 就可以这样跑起来了。但是一个完整 SSO 系统还有很多地方需要去完善，比如 JWT 密钥的交换，用户注销等待——我们下一节再讲！

AJ-IAM 源码：https://gitee.com/sp42_admin/ajaxjs/tree/master/aj-backend/aj-iam

参考

推荐下面文章，我也是跟他们学习的。

• 基于 OIDC 实现单点登录 SSO、第三方登录 https://blog.csdn.net/u012324798/article/details/105612729 （强烈推荐）
• 理解 OIDC 与 OAuth2.0 协议 https://blog.csdn.net/ruanchengshen/article/details/129166819，出处。授权码只是其中一个模式，还有其他不同的模式以适应不同的场景。