安科网

spring boot 集成 Oracle Access Manager(OAM)单点登录

xuanzi

xuanzi

2019-06-28

关注 关注

1.介绍

Oracle Access Manager(OAM)是oracle公司开发的身份认证和资源管理解决方案。结合WebGateOHS可实现系统间单点登录集成。

oracle中间件产品可以非常方便的与OAM进行集成,通过配置weblogic安全域(Security Realms),应用几乎不用做任何改动即可实现单点登录。

后台接口开发中获取当前登录用户是不可避免的一个步骤,spring boot也是如此,本文介绍spring boot与OAM集成的一个可行并且认为是简单的方案。

2.实现

2.1 问题

要实现两者之间的集成需要解决两个问题:

  1. spring boot是无状态应用,如何获取当前用户信息
  2. spring boot不是部署weblogic上,无法通过weblogic 安全域进行单点登录集成(当然spring boot也可以部署到weglogic上,这个不是本文讨论的方向)

2.2 思路

  1. 通过ohs代理,spring boot可以获取cookie等信息
  2. 调用OAM SDK通过cookie获取当前用户信息

只要实现以上两点就能实现spring boot 在脱离weblogic的情况下也能获取用户信息,如果可行,该方案适用于任何后端程序。

2.3 准备工作

2.3.1 SDK下载安装

这里可以下载sdk,下载时请选择对应的OAM版本,本文使用11.1.1.5.0版本。

为了使用方便,可以将jar包安装到本地maven仓库

mvn install:install-file -Dfile="/Users/asan/workspace/mpaas/lib/oamasdk-api.jar" -DgroupId=com.oracle -DartifactId=oamasdk-api -Dversion=11.1.1.5.0 -Dpackaging=jar

这样可以通过以下方式在pom中引用

<dependency>
    <groupId>com.oracle</groupId>
    <artifactId>oamasdk-api</artifactId>
    <version>11.1.1.5.0</version>
</dependency>

2.3.2 配置webgate

登录oamconsole(一般是http://host:7001/oamconsole),在欢迎界面创建一个新的OAM 11g Webgate输入NameHost Identifier,这两个默认一样,一定要将Access Client Password设置为空,因为在实践中,sdk无法解析密码,报错信息如下

2018-10-10 22:46:18 oracle.security.am.asdk.AccessClient initialize
严重: Oracle Access SDK 初始化失败。
oracle.security.am.asdk.AccessException: OAMAGENT-02072: 无法执行encrypt password操作。
    at oracle.security.am.asdk.impl.Configuration.setEncryptedPassword(Configuration.java:321)
    at oracle.security.am.asdk.impl.ConfigXMLHandler.processConfig(ConfigXMLHandler.java:580)
    at oracle.security.am.asdk.impl.ConfigXMLHandler.readConfigurationFromFile(ConfigXMLHandler.java:126)
    at oracle.security.am.asdk.AccessClient.initialize(AccessClient.java:634)
    at oracle.security.am.asdk.AccessClient.<init>(AccessClient.java:553)
    at oracle.security.am.asdk.AccessClient.createDefaultInstance(AccessClient.java:242)
...

官方说是sdk版本问题,但笔者试过所有的sdk版本还是无法解决。

spring boot 集成 Oracle Access Manager(OAM)单点登录

spring boot 集成 Oracle Access Manager(OAM)单点登录

点击右上角Apply后可以有系统提示,在提示路径下可以找到ObAccessClient.xml文件,这个就是webgate的配置文件,在实际环境配置中,需要将该文件放到$OHS_HOME/config/webgate/config目录下,才能实现ohs资源拦截认证。
ObAccessClient.xml文件复制到本地,如放到目录/you/path/config/ObAccessClient.xml下。
spring boot 集成 Oracle Access Manager(OAM)单点登录

2.3.3 代码实现

直接上代码

import oracle.security.am.asdk.AccessClient;
import oracle.security.am.asdk.AccessException;
import oracle.security.am.asdk.UserSession;

public class OAM {
    //保存ObAccessClient.xml文件目录
    public static final String OAM_CONFIG_PATH = "/you/path/config/";

    public static void main(String[] args) throws AccessException {
        String cookie =
            "Ad/NbCxwjXyRvO15xxJiueMY/utzybeifo6bIhhKOcsvQqQM73fIoE/fKm7zdUeo7FqbDYhP6ncFC/Ntq4yeSAXQeIum9EcaCqAXrUVyvO99ACxDv/2OdX5D/R10a7nuc6nlE54zPVbpm5xkp5H8TjlaM0oeqjDZXOalLcAsV9RnQjLrd9rW3cQi05PVuPalf0jRj+pqCILCHf+sO+cCdcYE2jEybbX3oXVwVGYJQSDDIEm/ne56gZlBKOg56zne2zEp60TkyXgkBG8vL0mNqVGdxd9DmNDeGaAYDoif5EzKfXp7K9QtWbGOjwRSGcTZcLvWcBPJjBhTOBGCLJ3yEg==";
        AccessClient client = null;
        client =
                AccessClient.createDefaultInstance(OAM_CONFIG_PATH, AccessClient.CompatibilityMode.OAM_10G);
        UserSession session = new UserSession(cookie);
        String userName = session.getUserIdentity();
        if (userName != null) {
            userName =
                    userName.substring(userName.indexOf("uid=") + 4, userName.indexOf(","));
        }
        System.out.println("current user==>" + userName);
    }
}

cookie可以在浏览器上登录系统,F12进入开发者面板,在网络请求里找到cookie,OAM cookie名称为OAMAuthnCookie

3. spring boot实现

上面代码只是一个demo,跟spring boot也没什么关系,在开发中,我们一般都有个最佳实践,下面介绍一个我认为是较佳的实践方案。在开始之前,建议你阅读下这篇文章,了解一些规范,当然,你也可以跳过,这个不是核心内容。

在demo里有个稍微比较复杂的操作,就是从服务器下载ObAccessClient.xml文件,并且保存到本地路径,在代码里引用,而且查看ObAccessClient.xml文件可以知道里面的内容大部分可以写死,只有在创建webgate那个界面填的内容是动态的。因此可以考虑将配置文件放入到spring boot的application.properties中,然后在程序里动态生成配置文件,避免引入新的配置文件。

application.properties

mpaas.sso.oam.host=xxxx.example.com
mpaas.sso.oam.port=5575
mpaas.sso.oam.hostId=my_webgate_11g
mpaas.sso.oam.id=my_webgate_11g
mpaas.sso.oam.cookieName=OAMAuthnCookie

创建配置类保存配置信息

OAMConfig.java

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

/**
 * @Copyright: Shanghai Definesys Company.All rights reserved.
 * @Description:
 * @author: jianfeng.zheng
 * @since: 2018/10/10 下午5:45
 * @history: 1.2018/10/10 created by jianfeng.zheng
 */
@Component
@ConfigurationProperties(prefix = "mpaas.sso.oam")
public class OAMConfig {
    private String host;     //OAM服务器地址
    private Integer port;    //OAM服务端口(默认是5575)
    private String name;     //webgate名称
    private String hostId;   //webgate唯一标识符
    private String cookieName;  //cookie名称 默认OAMAuthnCookie
    //getter and setter method
    ....
}

主程序

OAMSsoPlugin.java

import com.definesys.mpaas.common.adapter.IMpaasSSOAuthentication;
import com.definesys.mpaas.common.adapter.UserProfile;
import com.definesys.mpaas.common.exception.MpaasBusinessException;
import com.definesys.mpaas.common.exception.MpaasRuntimeException;
import oracle.security.am.asdk.AccessClient;
import oracle.security.am.asdk.AccessException;
import oracle.security.am.asdk.UserSession;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.io.File;
import java.io.FileOutputStream;
import java.util.Map;

/**
 * @Copyright: Shanghai Definesys Company.All rights reserved.
 * @Description:
 * @author: jianfeng.zheng
 * @since: 2018/10/10 下午2:46
 * @history: 1.2018/10/10 created by jianfeng.zheng
 */
@Component
public class OAMSsoPlugin implements IMpaasSSOAuthentication {
    @Autowired
    private OAMConfig config;
    private static AccessClient accessClient;

    //ObAccessClient.xml模板
    public static final String OB_ACCESS_CLIENT_TEMPLATE = "<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?><CompoundList xmlns=\"http://www.oblix.com\"><SimpleList><NameValPair ParamName=\"id\" Value=\"%s\"/></SimpleList><SimpleList><NameValPair ParamName=\"debug\" Value=\"false\"/></SimpleList><SimpleList><NameValPair ParamName=\"security\" Value=\"open\"/></SimpleList><SimpleList><NameValPair ParamName=\"state\" Value=\"Enabled\"/></SimpleList><SimpleList><NameValPair ParamName=\"primaryCookieDomain\" Value=\"\"/></SimpleList><SimpleList><NameValPair ParamName=\"preferredHost\" Value=\"%s\"/></SimpleList><SimpleList><NameValPair ParamName=\"maxCacheElems\" Value=\"100000\"/></SimpleList><SimpleList><NameValPair ParamName=\"cacheTimeout\" Value=\"1800\"/></SimpleList><SimpleList><NameValPair ParamName=\"cookieSessionTime\" Value=\"0\"/></SimpleList><SimpleList><NameValPair ParamName=\"maxSessionTime\" Value=\"36000\"/></SimpleList><SimpleList><NameValPair ParamName=\"maxConnections\" Value=\"1\"/></SimpleList><SimpleList><NameValPair ParamName=\"idleSessionTimeout\" Value=\"0\"/></SimpleList><SimpleList><NameValPair ParamName=\"failoverThreshold\" Value=\"1\"/></SimpleList><SimpleList><NameValPair ParamName=\"aaaTimeoutThreshold\" Value=\"-1\"/></SimpleList><SimpleList><NameValPair ParamName=\"sleepFor\" Value=\"60\"/></SimpleList><SimpleList><NameValPair ParamName=\"denyOnNotProtected\" Value=\"true\"/></SimpleList><SimpleList><NameValPair ParamName=\"cachePragmaHeader\" Value=\"no-cache\"/></SimpleList><SimpleList><NameValPair ParamName=\"cacheControlHeader\" Value=\"no-cache\"/></SimpleList><SimpleList><NameValPair ParamName=\"ipValidation\" Value=\"false\"/></SimpleList><SimpleList><NameValPair ParamName=\"accessClientPasswd\" Value=\"\"/></SimpleList><ValList ListName=\"primary_server_list\"><ValListMember Value=\"primaryServer1\"/></ValList><ValNameList ListName=\"primaryServer1\"><NameValPair ParamName=\"host\" Value=\"%s\"/><NameValPair ParamName=\"port\" Value=\"%s\"/><NameValPair ParamName=\"numOfConnections\" Value=\"1\"/></ValNameList><ValList ListName=\"proxySSLHeaderVar\"><ValListMember Value=\"IS_SSL\"/></ValList><ValList ListName=\"URLInUTF8Format\"><ValListMember Value=\"true\"/></ValList><ValList ListName=\"client_request_retry_attempts\"><ValListMember Value=\"1\"/></ValList><ValList ListName=\"inactiveReconfigPeriod\"><ValListMember Value=\"10\"/></ValList></CompoundList>";

    /**
     * oam验证
     *
     * @param header
     * @param cookies
     * @return
     * @throws MpaasBusinessException
     */
    @Override
    public UserProfile ssoAuth(Map<String, String> header, Map<String, String> cookies) throws MpaasBusinessException {
        String path = configPath();
        //AccessClient只要初始化一次就行
        if (accessClient == null) {
            try {
                accessClient =
                        AccessClient.createDefaultInstance(path, AccessClient.CompatibilityMode.OAM_10G);
            } catch (AccessException e) {
                throw new MpaasRuntimeException(e);
            }
        }
        String cookie = parseCookie(cookies);
        String name =
                getUserNameFromToken(cookie);
        UserProfile user = new UserProfile();
        user.setUid(name);
        user.setToken(cookie);
        return user;
    }

    /**
     * 生成配置文件
     *
     * @return
     */
    private String configPath() {
        String tmp = System.getProperty("java.io.tmpdir");
        String path = tmp + "/mpaas-sso-oam-config";
        File dir = new File(path);
        if (!dir.exists()) {
            dir.mkdirs();
        }
        File ob = new File(dir + "/ObAccessClient.xml");
        String xml = null;
        if (!ob.exists()) {
            xml = String.format(OB_ACCESS_CLIENT_TEMPLATE, config.getHostId(), config.getName(), config.getHost(), String.valueOf(config.getPort()));
            FileOutputStream fout = null;
            try {
                fout = new FileOutputStream(ob);
                fout.write(xml.getBytes("utf-8"));
                fout.close();
            } catch (Exception e) {
                throw new MpaasRuntimeException(e);
            }
        }
        return path;
    }

    /**
     * 从cookie中获取用户名(uid)
     *
     * @param sessionToken
     * @return
     */
    public static String getUserNameFromToken(String sessionToken) {
        UserSession session = null;
        String userName = null;
        try {
            session = new UserSession(sessionToken);
            userName = session.getUserIdentity();
        } catch (AccessException e) {
            throw new MpaasRuntimeException(e);
        }

        if (userName != null) {
            userName =
                    userName.substring(userName.indexOf("uid=") + 4, userName.indexOf(","));
        }
        return userName;
    }

    /**
     * 解析cookie
     * 需要设置mpaas.sso.oam.cookieName
     * 如果没有设置默认获取包含OAMAUTHNCOOKIE的cookie
     *
     * @param cookies
     * @return
     */
    private String parseCookie(Map<String, String> cookies) {
        if (config.getCookieName() != null) {
            return cookies.get(config.getCookieName());
        }
        for (String k : cookies.keySet()) {
            if (k.toUpperCase().contains("OAMAUTHNCOOKIE")) {
                return cookies.get(k);
            }
        }
        throw new MpaasRuntimeException("no config cookie name");
    }
}

测试类
TestController.java

import com.definesys.mpaas.common.adapter.IMpaasSSOAuthentication;
import com.definesys.mpaas.common.adapter.UserProfile;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

/**
 * @Copyright: Shanghai Definesys Company.All rights reserved.
 * @Description:
 * @author: jianfeng.zheng
 * @since: 2018/10/10 下午7:23
 * @history: 1.2018/10/10 created by jianfeng.zheng
 */
@RestController
public class TestController {

    @Autowired
    private IMpaasSSOAuthentication auth;

    @RequestMapping(value = "/test")
    public UserProfile test(HttpServletRequest request, HttpServletResponse response) {
        Cookie[] cookies = request.getCookies();
        if (cookies == null) {
            return null;
        }
        Map<String, String> ck = new HashMap<>();
        for (Cookie k : cookies) {
            ck.put(k.getName(), k.getValue());
        }
        return auth.ssoAuth(null, ck);
    }
}

代码可以在github上下载查看

配置ohs

需要配置ohs反向代理,在ohs配置文件mod_wl_ohs.conf最后添加以下配置项,并重启ohs

...

ProxyPass /test http://ip:8080/test

ip指向运行spring boot的机器ip

通过单点登录地址访问,会先跳转到登录页面,登录完后可访问接口并且返回当前用户信息

写在最后

更好的做法是在filter中拦截请求做登录认证,未通过认证的返回401通过认证的将用户信息保存在ThreadLocal里,这样可以在任意位置获取用户信息。这个就留给读者自行实现。

oracle 单点登录 boot access

xuanzi

xuanzi

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

关于使用PLSQL Developer时出现报错ora-12514的问题

  在登陆PLSQL Developer时报ora-12513错误,需要修改本地数据库的监听配置文件,其过程相对简单。  在Oracle安装目录中搜索找到listener.ora文件,并修改成txt格式后打开,需要添加的代码及添加位置如下图所示:。  确认

lklong 2020-11-22

oracle锁表该如何解决

where l.object_id = o.object_id and l.session_id=s.sid;如果杀不掉可以加个 immediate 立即杀掉 试试;如果利用上面的命令杀死一个进程后,进程状态被置为"killed",但是

oraclemch 2020-11-06

Oracle表字段有Oracle关键字出现异常解决方案

现在进行项目改造,数据库需要迁移,由原来的使用GBase数据库改为使用Oracle数据库,今天测试人员在测试时后台报了一个异常。把SQL语句单独复制出来进行查询,还是报错,仔细分析原因才知道是表中的字段使用了Oracle中的关键字size。一般来说建表的时

shilukun 2020-10-10

甲骨文推出Oracle Exadata云服务X8M

甲骨文推出Oracle Exadata云服务X8M,已可在Oracle云基础设施 上使用。企业可以通过26个全球云区域和Oracle专有云本地化解决方案,使用Oracle Exadata云服务X8M,加速运行具挑战性的事务处理和数据分析项目。无论是在云端还

周嘉笙 2020-11-09

Oracle云观测和管理平台正式推出

新的集成解决方案帮助企业在Oracle云基础设施、多云环境和本地部署的环境,都能获得更高水平的可见性和控制力。甲骨文公司宣布推出Oracle云观测和管理平台,提供一整套管理、诊断和分析服务,帮助客户消除和减少采用分散式管理多云和本地部署环境而产生的复杂性、

iilegend 2020-10-19

Oracle员工关怀工具包以三大重点帮助员工适应工作环境

随着全球疫情大流行,各行各业的经营型态都面临了许多新的冲击和挑战,随之而来的新常态也直接影响了员工的工作模式和心理健康,对个人绩效、团队效能和企业生产力都会产生深远的影响。在疫情带来的新常态之下,企业可先从HR和管理层带头,将员工的心理健康纳入企业的新思考

EricRay 2020-10-16

oracle备份之备份测试脚本的方法(冷备、热备、rman)

2、没有备份参数文件,参数文件可以另外备份,没有必要每次都备份,只需要在改变设置后备份一次。

warden00 2020-08-31

限制ip访问Oracle数据库的方法步骤

本次实验环境是Centos6.10 + Oracle 11.2.0.4单实例,数据库服务器ip地址为192.168.31.71. 这里需要注意的是必须把本机ip地址加进来,否则监听启动会报错。tcp.invited_nodes的意思是开通白名单,不在白名单

zhuzhufxz 2020-09-16

oracle merge into

可以参考SQL中Merge的用法,只不过sql server的merge语法多了个when not matched by source反向操作源表,该语法oracle似乎不支持。

dataminer 2020-08-17

Oracle和MySQL的数据导入为何差别这么大

经常会有一些朋友咨询我一些数据库的问题,我注意到一个很有意思的现象,凡是数据导入的问题,基本上都是Oracle类的,MySQL类的问题脑子里想了下竟然一次都没有。我们来梳理一下这个问题,分别从导出导入的方式来聊聊。导出有哪些工具呢,主要有exp,expdp

bfcady 2020-08-16

Oracle数据库的实例/表空间/用户/表之间关系简单讲解

完整的Oracle数据库通常由两部分组成:Oracle数据库和数据库实例。1) 数据库是一系列物理文件的集合;2) Oracle数据库实例则是一组Oracle后台进程/线程以及在服务器分配的共享内存区。Oracle有一个很大的内存快,成为全局区。Oracl

Hody 2020-08-16

浅谈入门级oracle数据库数据导入导出步骤

Oracle数据库是通过表空间来存储物理表的,一个数据库实例可以有N个表空间,一个表空间下可以有N张表。表空间是数据库的逻辑划分,每个数据库至少有一个表空间。

FightFourEggs 2020-08-16

oracle数据库的删除方法详解

使用DBCA进行删除的数据库必须处于OPEN状态,否则不能删除。到此这篇关于oracle数据库的删除方法详解的文章就介绍到这了,更多相关oracle数据库的删除方法内容请搜索安科网以前的文章或继续浏览下面的相关文章希望大家以后多多支持安科网!

数据库设计 2020-08-16

oracle 日期操作语句总结

SELECT TO_CHAR AS YEAR FROM DUAL--查询当前年份。SELECT TO_CHAR AS MONTH FROM DUAL--获取当前日期的'YYYY/MM/DD'格式:2020/01/02. SELECT TO_CHAR AS

Seandba 2020-08-16

oracle调试存储过程的过程详解

oracle如果存储过程比较复杂,我们要定位到错误就比较困难,那么可以存储过程的调试功能。先按简单的存储过程做个例子,就是上次做的存储过程

Omega 2020-08-16

Oracle如何使用PL/SQL调试存储过程

找到想要调试的存过,左键单击选中该存过,然后右键单击该存过,从弹出菜单中选择“Test”项。位置3的按钮才是关键――单步执行,就是让代码一行一行的执行,位置4的按钮是跳出单步执行,等待下一个指令。单步的执行时候把刚才那两个变量名填写到变量查看框,一边观察变

zjyzz 2020-08-16

Oracle通过LogMiner实现数据同步迁移

最近在研究如何实现Oracle数据库之间的数据同步,网上的资料确实比较少。最好用的Oracle数据库同步工具是:GoldenGate ,而GoldenGate是要收费的。那么还有什么好的办法来同步Oracle的数据吗?没错,就是使用LogMiner来实现O

yanghuatong 2020-08-16

CMD操作oracle数据导库过程图解

select 'alter table '||table_name||' allocate extent;' from user_tables where num_rows=0;

ktyl000 2020-08-16

ORACLE数据库中Rownum用法详解

ORACLE 中ROWNUM用法总结!对于 Oracle 的 rownum 问题,很多资料都说不支持>,>=,=,between...and,只能用以上符号(<、<=、!=),并非说用>,& gt;=,=,betwee

dbasunny 2020-08-16

oracle数据库关于索引建立及使用的详细介绍

索引是与表相关的一个可选结构,在逻辑上和物理上都独立于表的数据,索引能优化查询,不能优化DML操作,Oracle自动维护索引,频繁的DML操作反而会引起大量的索引维护。如果该语句同时还要访问除索引列之外的列,那么,数据库会使用rowid来查找表中的行。通常

罗罗 2020-08-16
xuanzi

xuanzi

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号