单点登录之使用cas基于Oauth2集成第三方登录

为什么要使用第三方登录呢?

小编也是一个用户站在用户角度来考虑,并不希望每次遇到一个需要注册登录的应用总是不断的注册新的帐号,帐号多了越是麻烦而且由于多个帐号设置不同的密码记忆也是很困难的,故而大多数帐号密码会设置为相同的密码,这样可能

这就会造成

1. 只要有一个第三方应用程序被破解，就会导致用户密码泄漏，多个应用信息泄露.

2. 多个第三方应用登录也是个很麻烦的问题呢,哪怕取的用户名和密码相同也要重复登录.

OAuth就可以解决以上问题

首先是 OAuth 理解

名词定义

（1） Third-party application：第三方应用程序又称”客户端”（client）:比如csnd可以使用qq登录,此时可以将csdn看作第三方

（2）HTTP service：HTTP服务提供商,及类似于上述的qq

(3）Resource Owner：资源所有者，又称”用户”（user）

（4）User Agent：用户代理，本文中就是指浏览器

（5）Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器

（6）Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器

流程图

Created with Raphaël 2.1.2客户端客户端用户用户认证服务器认证服务器资源服务器资源服务器1客户端要求用户给予授权以便以qq登录cnds2用户同意授权3获得用户授权,向认证服务器申请通行令牌token4认证服务器确认无误后发放令牌5客户端使用令牌，向资源服务器申请获取资源6资源服务器确认令牌无误，同意向客户端开放资源

客户端的授权模式

客户端必须得到用户的授权（authorization grant），才能获得令牌（access token）。OAuth 2.0定义了四种授权方式。

授权码模式（authorization code）qq采用的授权模式

简化模式（implicit）

密码模式（resource owner password credentials）

客户端模式（client credentials）

这里主要说明的是qq采用的授权码模式（authorization code）

它是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器，与”服务提供商”的认证服务器进行互动



（A）用户访问客户端，后者将前者导向认证服务器。 （B）用户选择是否给予客户端授权。

（C）假设用户给予授权，认证服务器将用户导向客户端事先指定的”重定向URI”（redirection URI），同时附上一个授权码。

（D）客户端收到授权码，附上早先的”重定向URI”，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。

（E）认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh

token）。

A步骤中，客户端申请认证的URI，包含以下参数：

response_type：表示授权类型，必选项，此处的值固定为”code”

client_id：表示客户端的ID，必选项

redirect_uri：表示重定向URI，可选项

scope：表示申请的权限范围，可选项

state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。

而对应的qq开放平台提供的帮助文档

获取Authorization Code

打开浏览器，访问如下地址（请将client_id，redirect_uri，scope等参数值替换为你自己的）：

https://graph.qq.com/oauth2.0/authorize?response_type=code&client_id=[YOUR_APPID]&redirect_uri=[YOUR_REDIRECT_URI]&scope=[THE_SCOPE]