对接OKTA 使用SAML2.0协议

2023-10-10 05:59
文章标签 使用 协议 对接 okta saml2.0

本文主要是介绍对接OKTA 使用SAML2.0协议,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

对接OKTA 使用SAML2.0协议

缘起

给客户做项目,客户要求内部使用okta登陆,使用SAML2.0协议,需要对接。

okta初探

OKTA是SSO,有个网站可以让我们测试,地址:okta developer,SAML协议的交互流程大致如下

  1. 浏览器打开需要登录系统登陆界面,系统登陆界面只有一个登陆按钮,没有输入用户名密码的地方(原因是OKTA使用域账户登陆的时候,能直接获取域账户名,除了这个还有好多客户端都支持,比如Apple账户)

  2. 点击按钮,跳转到OKTA页面,这个页面只有一个loading动画,个人猜测里面有获取当前域账户名的代码

  3. 然后再次一个跳转,这个跳转跳到一个回调url,这个url官方名称为Single Sign On URL,记住它,后面会用到。跳转到这个页面后,浏览器会发送一个POST请求,content-typeapplication/x-www-form-urlencoded,参数包含一个SAMLResponseRelayState(这个是在OKTA控制台配置的回传参数)大概的样子是
    在这里插入图片描述

  4. 第3步中的SAMLResponse就是一个xml文档的base64编码后的数据,回调地址接收到SAMLResponse进行校验,并获取登陆名

OKTA的配置

  1. Single Sign On URL配置我们的系统的地址,是OKTA将认证完成后告诉我们结果的一个接口,接收参数是SAMLResponseRelayState,格式是application/x-www-form-urlencoded,java中方法签名大概是:
@RequestMapping(value = "/login/success",method = {RequestMethod.POST})public String loginSuccess(String SAMLResponse, String RelayState){System.out.println("sAMLResponse:"+SAMLResponse);System.out.println("RelayState:" + RelayState);return "success";}

配置的地方如下:
在这里插入图片描述
2. 全部配置完后会得到一个页面大致如下
在这里插入图片描述
注意:Identity Provider Single Sign-On URL这个就是上面第一步中点击按钮跳转到的链接X.509 Certificate这部分是公钥,用来验证SAMLResponse中签名的公钥
3. 这个页面可以让你上传一个csv文件(包含登陆名信息)加入到你的group里面,登陆是否能成功,就是取你的域账户名,查询是否在你的group里面,当然你可以配置更复杂的规则
在这里插入图片描述

验证逻辑

  1. 引入jar包:
	<dependency><groupId>org.opensaml</groupId><artifactId>opensaml</artifactId><version>2.6.4</version></dependency>
  1. 验证逻辑:
import org.joda.time.DateTime;
import org.joda.time.DateTimeZone;
import org.opensaml.Configuration;
import org.opensaml.DefaultBootstrap;
import org.opensaml.saml2.core.Assertion;
import org.opensaml.saml2.core.Response;
import org.opensaml.xml.ConfigurationException;
import org.opensaml.xml.XMLObject;
import org.opensaml.xml.io.Unmarshaller;
import org.opensaml.xml.io.UnmarshallerFactory;
import org.opensaml.xml.io.UnmarshallingException;
import org.opensaml.xml.security.x509.BasicX509Credential;
import org.opensaml.xml.signature.Signature;
import org.opensaml.xml.signature.SignatureValidator;
import org.opensaml.xml.util.Base64;
import org.opensaml.xml.validation.ValidationException;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.w3c.dom.Document;
import org.w3c.dom.Element;
import org.xml.sax.SAXException;import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.security.KeyFactory;
import java.security.NoSuchAlgorithmException;
import java.security.PublicKey;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.X509EncodedKeySpec;public class Test {private static final Logger logger = LoggerFactory.getLogger(Test.class);private static final String pattern = "yyyy-MM-dd HH:mm:ss";private static final BasicX509Credential credential = new BasicX509Credential();//X.509 Certificatepublic static final String publicKeyStr = "xxxxxxx";//responseMsg就是SAMLResponsepublic String validate(String responseMsg) {ByteArrayInputStream byteArrayInputStream = null;try {CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");byteArrayInputStream = new ByteArrayInputStream(Base64.decode(publicKeyStr));X509Certificate certificate = (X509Certificate) certificateFactory.generateCertificate(byteArrayInputStream);KeyFactory keyFactory = KeyFactory.getInstance("RSA");X509EncodedKeySpec publicKeySpec = new X509EncodedKeySpec(certificate.getPublicKey().getEncoded());PublicKey publicKey = keyFactory.generatePublic(publicKeySpec);credential.setPublicKey(publicKey);} catch (CertificateException e) {logger.error("加载okta PublicKey失败", e);} catch (NoSuchAlgorithmException e) {logger.error("加载okta PublicKey失败", e);} catch (InvalidKeySpecException e) {logger.error("加载okta PublicKey失败", e);}finally {if(byteArrayInputStream != null){try {byteArrayInputStream.close();} catch (IOException e) {e.printStackTrace();}}}try (ByteArrayInputStream inputStream = new ByteArrayInputStream(Base64.decode(responseMsg))) {DefaultBootstrap.bootstrap();DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();documentBuilderFactory.setNamespaceAware(true);DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();Document document = documentBuilder.parse(inputStream);Element documentElement = document.getDocumentElement();UnmarshallerFactory unmarshallerFactory = Configuration.getUnmarshallerFactory();Unmarshaller unmarshaller = unmarshallerFactory.getUnmarshaller(documentElement);XMLObject xmlObject = unmarshaller.unmarshall(documentElement);Response response = (Response) xmlObject;Assertion assertion = response.getAssertions().get(0);//验证签名Signature signature = assertion.getSignature();SignatureValidator signatureValidator = new SignatureValidator(credential);//签名验证失败会抛错signatureValidator.validate(signature);//校验是否登录成功String successStr = response.getStatus().getStatusCode().getValue();if (!successStr.contains("Success")) {logger.error("登录成功标志校验失败,successStr={}", response.getStatus().getStatusCode().getValue());return null;}//检验登录时间DateTime notBefore = assertion.getConditions().getNotBefore();DateTime notOnOrAfter = assertion.getConditions().getNotOnOrAfter();DateTime now = new DateTime(DateTimeZone.UTC);logger.error("验证okta返回的时间,notBefore={},notOnOrAfter={},now={}",notBefore.toString(pattern), notOnOrAfter.toString(pattern), now.toString(pattern));if (now.isBefore(notBefore) || now.isAfter(notOnOrAfter)) {logger.error("登录成功时间校验失败,notBefore={},notOnOrAfter={},now={}",notBefore.toString(pattern), notOnOrAfter.toString(pattern), now.toString(pattern));return null;}//返回登录用户名return assertion.getSubject().getNameID().getValue();} catch (IOException e) {logger.error("验证SAMLResponse失败", e);} catch (ParserConfigurationException e) {logger.error("验证SAMLResponse失败", e);} catch (SAXException e) {logger.error("验证SAMLResponse失败", e);} catch (UnmarshallingException e) {logger.error("验证SAMLResponse失败", e);} catch (ValidationException e) {logger.error("验证SAMLResponse失败", e);} catch (ConfigurationException e) {logger.error("验证SAMLResponse失败", e);} catch (Exception ex) {logger.error("验证SAMLResponse失败", ex);}return null;}
}

这篇关于对接OKTA 使用SAML2.0协议的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/178443

相关文章

shell编程之函数与数组的使用详解

shell编程之函数与数组的使用详解

《shell编程之函数与数组的使用详解》:本文主要介绍shell编程之函数与数组的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录shell函数函数的用法俩个数求和系统资源监控并报警函数函数变量的作用范围函数的参数递归函数shell数组获取数组的长度读取某下的
阅读更多...
使用Python开发一个带EPUB转换功能的Markdown编辑器

使用Python开发一个带EPUB转换功能的Markdown编辑器

《使用Python开发一个带EPUB转换功能的Markdown编辑器》Markdown因其简单易用和强大的格式支持,成为了写作者、开发者及内容创作者的首选格式,本文将通过Python开发一个Markd... 目录应用概览代码结构与核心组件1. 初始化与布局 (__init__)2. 工具栏 (setup_t
阅读更多...
Python虚拟环境终极(含PyCharm的使用教程)

Python虚拟环境终极(含PyCharm的使用教程)

《Python虚拟环境终极(含PyCharm的使用教程)》:本文主要介绍Python虚拟环境终极(含PyCharm的使用教程),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录一、为什么需要虚拟环境?二、虚拟环境创建方式对比三、命令行创建虚拟环境(venv)3.1 基础命令3
阅读更多...
Python Transformer 库安装配置及使用方法

Python Transformer 库安装配置及使用方法

《PythonTransformer库安装配置及使用方法》HuggingFaceTransformers是自然语言处理(NLP)领域最流行的开源库之一,支持基于Transformer架构的预训练模... 目录python 中的 Transformer 库及使用方法一、库的概述二、安装与配置三、基础使用:Pi
阅读更多...
关于pandas的read_csv方法使用解读

关于pandas的read_csv方法使用解读

《关于pandas的read_csv方法使用解读》:本文主要介绍关于pandas的read_csv方法使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录pandas的read_csv方法解读read_csv中的参数基本参数通用解析参数空值处理相关参数时间处理相关
阅读更多...
使用Node.js制作图片上传服务的详细教程

使用Node.js制作图片上传服务的详细教程

《使用Node.js制作图片上传服务的详细教程》在现代Web应用开发中,图片上传是一项常见且重要的功能,借助Node.js强大的生态系统,我们可以轻松搭建高效的图片上传服务,本文将深入探讨如何使用No... 目录准备工作搭建 Express 服务器配置 multer 进行图片上传处理图片上传请求完整代码示例
阅读更多...
SpringBoot条件注解核心作用与使用场景详解

SpringBoot条件注解核心作用与使用场景详解

《SpringBoot条件注解核心作用与使用场景详解》SpringBoot的条件注解为开发者提供了强大的动态配置能力,理解其原理和适用场景是构建灵活、可扩展应用的关键,本文将系统梳理所有常用的条件注... 目录引言一、条件注解的核心机制二、SpringBoot内置条件注解详解1、@ConditionalOn
阅读更多...
Python中使用正则表达式精准匹配IP地址的案例

Python中使用正则表达式精准匹配IP地址的案例

《Python中使用正则表达式精准匹配IP地址的案例》Python的正则表达式(re模块)是完成这个任务的利器,但你知道怎么写才能准确匹配各种合法的IP地址吗,今天我们就来详细探讨这个问题,感兴趣的朋... 目录为什么需要IP正则表达式?IP地址的基本结构基础正则表达式写法精确匹配0-255的数字验证IP地
阅读更多...
使用Python实现全能手机虚拟键盘的示例代码

使用Python实现全能手机虚拟键盘的示例代码

《使用Python实现全能手机虚拟键盘的示例代码》在数字化办公时代,你是否遇到过这样的场景:会议室投影电脑突然键盘失灵、躺在沙发上想远程控制书房电脑、或者需要给长辈远程协助操作?今天我要分享的Pyth... 目录一、项目概述:不止于键盘的远程控制方案1.1 创新价值1.2 技术栈全景二、需求实现步骤一、需求
阅读更多...
Spring LDAP目录服务的使用示例

Spring LDAP目录服务的使用示例

《SpringLDAP目录服务的使用示例》本文主要介绍了SpringLDAP目录服务的使用示例... 目录引言一、Spring LDAP基础二、LdapTemplate详解三、LDAP对象映射四、基本LDAP操作4.1 查询操作4.2 添加操作4.3 修改操作4.4 删除操作五、认证与授权六、高级特性与最佳
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2