UAA客户端CAS5 IDP OIDC Pac4j会话配置文件缺少accessToken

Question

我正在尝试将UAA (https://github.com/cloudfoundry/uaa)单点登录服务器配置为使用CAS5作为IDP。

对'cas/authorize‘的调用成功。回调URL被调用到UAA服务器。然后，在向浏览器提供“回调”URL端点的过程中，UAA服务器尝试调用“cas/accessToken”，即向CAS5发出后端HTTP请求。

我已经跟踪了CAS5中'cas/accessToken‘请求的执行过程。Pac4j配置文件查找请求失败。配置文件正试图通过request对象或session对象访问。对于前面对'cas/authorize‘的调用，查找通过会话成功，但对于'cas/accessToken’，会话不包含配置文件，因为请求来自UAA服务器后端，而不是用户的浏览器。

这是CAS5中支持OIDC的bug吗？如何在此处成功执行Pac4j配置文件查找？

下面是在CAS5中概要文件查找失败的堆栈跟踪：ProfileManager<U>.retrieveAll(boolean) line: 69 ProfileManager<U>.get(boolean) line: 35 OAuth20AuthorizeEndpointController.isRequestAuthenticated(ProfileManager,J2EContext) line: 142 OidcAuthorizeEndpointController(OAuth20AuthorizeEndpointController).handleRequest(HttpServletRequest, HttpServletResponse) line: 109 OidcAuthorizeEndpointController.handleRequest(HttpServletRequest,HttpServletResponse) line: 86

Answer 1

我使用的是5.1.0，而不是5.2.2。我在这个时候回滚到了5.1.0。

该问题仍然存在于5.1.0代码中。我通过修改OidcIdTokenGeneratorService来从TGT中提取CLAIM_PREFERRED_USERNAME来解决问题：

if (!claims.hasClaim(OidcConstants.CLAIM_PREFERRED_USERNAME)) {
    String username = accessTokenId.getGrantingTicket().getAuthentication().getCredentials().get(0).getId();
    claims.setClaim(OidcConstants.CLAIM_PREFERRED_USERNAME, username);
}

vs

if (!claims.hasClaim(OidcConstants.CLAIM_PREFERRED_USERNAME)) {
    claims.setClaim(OidcConstants.CLAIM_PREFERRED_USERNAME, profile.getId());
}

在OAuth20AccessTokenEndpointController的上游还有一些通过pac4j获取CLIENT_ID的调用。CLIENT_ID也可以作为请求参数使用。更改后的调用类似于：

final String clientId = uProfile.getId();

至

final String clientId = request.getParameter(OAuth20Constants.CLIENT_ID);