使用Facebook和Twitter进行社交登录

社交登录是一种功能，用于向站点访客显示使用其Facebook或Twitter帐户登录的选项。因此，在AEM成员用户档案中包括允许的Facebook或Twitter数据。

socialloginweretail

要包含社交登录，需要才能创建自定义Facebook和Twitter应用程序。

we-retail示例提供示例Facebook和Twitter应用程序以及云服务，但在生产网站上不提供。

所需的步骤包括：

在所有AEM发布实例上启用OAuth身份验证。

未启用OAuth，尝试登录失败。
创建社交应用程序和云服务。
- 要支持使用Facebook登录：
  - 创建Facebook应用程序。
  - 创建并发布Facebook Connect云服务。
- 要支持使用Twitter登录，请执行以下操作：
  - 创建Twitter应用程序。
  - 创建并发布Twitter Connect云服务。
为社区站点启用社交登录。

有两个基本概念：

范围（权限）指定允许应用程序请求的数据。
- 默认情况下，Facebook和Twitter AdobeGranite OAuth应用程序和提供程序实例在其范围内包含基本应用程序权限。
Fields (params)指定使用URL参数请求的实际数据。
- 这些字段在AEM CommunitiesFacebook OAuth提供者和AEM CommunitiesTwitter OAuth提供者中指定。
- 默认字段对于大多数用例来说已足够，但可以修改。

Facebook API版本

社交登录和we-retail Facebook范例是在Facebook Graph API为1.0版时开发的。
自AEM 6.4 GA和AEM 6.3 SP1社交登录更新以与更新的Facebook Graph API 2.5版本一起使用。

注意

对于较旧的AEM版本，如果日志中遇到异常，则无法从此提取令牌，请升级到该AEM版本的最新CFP。

有关Facebook Graph API版本信息，请参阅Facebook API changelog。

创建Facebook应用程序

需要正确配置的Facebook应用程序才能启用Facebook社交登录。

要创建Facebook应用程序，请按照Facebook的说明，网址为https://developers.facebook.com/apps/。对其说明所做的更改不会反映在以下信息中。

通常，从Facebook API v2.7开始：

添加新Facebook应用程序：
- 对于平台，选择“网站”
  - 对于站点URL，输入 https://<server>:<port>.
- 对于显示名称，输入用作Facebook连接服务标题的标题。
- 对于类别，建议选择页面应用程序，但可以是任何内容。
- 添加产品：Facebook登录
  - 对于有效的OAuth重定向URI，输入 https://<server>:<port>.

注意

对于开发，http://localhost:4503将起作用。

创建应用程序后，找到App ID和App Secret设置。配置Facebook云服务需要此信息。

创建Facebook ConnectCloud Service

通过创建云服务配置实例化的AdobeGranite OAuth应用程序和提供者实例标识新用户所添加的Facebook应用程序和成员组。

在AEM作者实例上，以管理员权限登录。
从全局导航中，选择工具>Cloud Services> Facebook社交登录配置。
选择配置上下文路径。

上下文路径应与您在创建／编辑社区站点时选择的云配置路径相同。
检查您的上下文路径是否已启用以在其下创建云服务。
转至工具>常规>配置浏览器。选择上下文并编辑属性。启用云配置（如果尚未启用）。
- 有关详细信息，请参阅配置浏览器文档。
创建／编辑Facebook云服务配置。
- 标题 (必需)输入标识Facebook应用程序的显示标题。建议使用与Facebook应用程序的显示名称输入的相同名称。
- 应用程序ID/API密钥 (必需 )输入 Facebook应用程序的应用程序ID。它标识从对话框创建的AdobeGranite OAuth应用程序和Provider实例。
- App Secret (必需)输入 Facebook应 用程序的App Secret。
- 创建用户如果选中此项，则使用Facebook帐户登录将创建AEM用户条目并将其作为成员添加到所选用户组。默认为选中（强烈推荐）。
- 掩码用户ID:取消选择。
- 范围电子邮件:应从Facebook获取用户的电子邮件id。
- 添加到用户 组选择“添加用户组”，为要向其添加用户的社区站点选择一个或多个成员组。
注意

可随时添加或删除组。但现有用户的会员资格不会受到影响。自动会员资格仅适用于更新此字段后创建的新用户。对于禁用匿名用户的站点，选择将用户添加到该封闭的社区站点对应的社区成员组。
- 选择SAVE。
- 发布.

结果是一个AdobeGranite OAuth应用程序和提供程序实例，除非添加其他范围（权限），否则不需要进一步修改。默认范围是Facebook登录的标准权限。如果需要其他范围，则需要直接编辑OSGI配置。如果有修改直接通过系统／控制台完成，请避免从触屏UI编辑云服务配置以避免覆盖。

AEM CommunitiesFacebook OAuth提供商

AEM Communities提供程序扩展了AdobeGranite OAuth应用程序和提供程序实例。

此提供者需要编辑才能：

允许用户更新
在范围](#adobe-granite-oauth-application-and-provider)内添加其他字段[
- 默认情况下，并非所有默认允许的字段都包含在内。

如果需要编辑，请在每个AEM发布实例上：

以管理员权限登录。
导航到Web控制台。例如，http://localhost:4503/system/console/configMgr。
找到AEM CommunitiesFacebook OAuth提供商。
选择要打开进行编辑的铅笔图标。
- OAuth提供者ID
  
  （必需）默认值为soco -facebook。不要编辑。
- Cloud Service配置
  
  默认值为/etc/ cloudservices / facebookconnect。不要编辑。
- OAuth提供程序服务配置
  
  默认值为/apps/social/facebookprovider/config/。不要编辑。
- 启用标记
  
  请勿编辑。
- 用户路径
  
  存储用户数据的存储库中的位置。对于社区站点，要确保成员能够视图彼此的用户档案，路径应默认为/home/users/community。
- 启用字段
  
  如果选中，则在向Facebook发出请求时指定列出的字段，以供用户验证和获取信息。将取消选择默认值。
- 字段
  
  启用“字段”后，调用Facebook图形API时将包括以下字段。必须允许在云服务配置中定义的范围内使用这些字段。其他字段可能需要Facebook批准。引用Facebook文档的“Facebook登录权限”部分。作为参数添加的默认字段为：
  - id
  - name
  - first_name
  - last_name
  - 链接
  - 区域设置
  - 图片
  - 时区
  - updated_time
  - 已验证
  - 电子邮件
如果添加或更改了任何字段，请更新相应的默认同步处理程序配置以更正映射。
- 更新
  用户如果选中，则每次登录时刷新存储库中的用户数据，以反映用户档案更改或请求的其他数据。“默认”(Default)为取消选择。

后续步骤

Facebook和Twitter的后续步骤相同：

发布云服务配置
为社区站点启用

创建Twitter应用程序

需要配置的Twitter应用程序才能启用Twitter社交登录。

按照最新说明，在https://apps.twitter.com创建新的Twitter应用程序。

一般而言：

输入名称，该名称将向您网站的用户标识您的Twitter应用程序。
输入说明.
对于website —— 输入https://<server>/。
对于回调URL —— 输入https://<server>/。

注意

无需指定端口。

对于开发，https://127.0.0.1/将起作用。
创建应用程序后，找到Consumer(API)Key和Consumer(API)Secret。配置Twitter云服务需要此信息。

权限

在Twitter应用程序管理员的权限部分：

访问:选择 Read only。
- 不支持其他选项
其他权限:（可选）选 Request email addresses from users择。
- 如果未选择，AEM中的用户用户档案将不包括其电子邮件地址。
- Twitter的说明说明需要采取其他步骤。

对社交登录的唯一REST请求是GET帐户／验证凭据。

创建Twitter ConnectCloud Service

通过创建云服务配置实例化的AdobeGranite OAuth应用程序和提供程序实例标识新用户所添加的Twitter应用程序和成员组。

在创作实例上，使用管理员权限登录。
从全局导航中，选择工具>Cloud Services> Twitter社交登录配置。
选择上下文路径配置。

上下文路径应与您在创建／编辑社区站点时选择的云配置路径相同。
检查您的上下文路径是否已启用以在其下创建云服务。
转至工具>常规>配置浏览器。选择上下文并编辑属性。启用云配置（如果尚未启用）。
- 有关详细信息，请参阅配置浏览器文档。
创建／编辑Twitter云服务配置。
- 标题 (必需)输入标识Twitter应用程序的显示标题。建议使用与Twitter应用程序的显示名称输入的相同名称。
- 消费方密钥 (必需 )输入Twitter应 用程序的消费者(API)密钥。它标识从对话框创建的AdobeGranite OAuth应用程序和Provider实例。
- 消费方密码 (必需 )输入Twitter应 用程序的消费者(API)秘书。
- 创建用户如果选中此项，则使用Twitter帐户登录将创建AEM用户条目并将其作为成员添加到所选用户组。默认为选中（强烈推荐）。
- 蒙版用户 ID取消选择。
- 添加到用户 组选择“添加用户组”，为要向其添加用户的社区站点选择一个或多个成员组。
注意

可随时添加或删除组。但现有用户的会员资格不会受到影响。自动会员资格仅适用于更新此字段后创建的新用户。对于禁用匿名用户的站点，将用户添加到用于该封闭社区站点的相应社区成员组。
选择SAVE和Publish。

结果是一个AdobeGranite OAuth应用程序和Provider实例，无需进一步修改。默认范围是Twitter登录的标准权限。

AEM CommunitiesTwitter OAuth提供者

AEM Communities配置扩展了AdobeGranite OAuth应用程序和提供程序实例。此提供程序需要编辑才能允许用户更新。

如果需要编辑，请在每个AEM发布实例上：

以管理员权限登录。
导航到Web控制台。

例如，http://localhost:4503/system/console/configMgr。
找到AEM CommunitiesTwitter OAuth提供者。
选择要打开进行编辑的铅笔图标。
- OAuth提供者ID (必需)
  
  默认值为soco -twitter。不要编辑。
- Cloud Service配置
  
  默认值为conf。 不要编辑。
- OAuth提供程序服务配置
  
  默认值为/apps/social/twitterprovider/config/。不要编辑。
- 用户路径
  
  存储用户数据的存储库中的位置。对于社区站点，要确保成员能够视图彼此的用户档案，路径应默认为/home/users/community。
- 启用参数不编辑
- URL参 数不编辑
- 更新用户
  
  如果选中此项，则每次登录时都会刷新存储库中的用户数据，以反映用户档案更改或请求的其他数据。将取消选择默认值。

后续步骤

Facebook和Twitter的后续步骤相同：

发布云服务配置
为社区站点启用

AEM Communities站点控制台

一旦配置了云服务，就可以在社区站点创建或管理期间使用用户管理设置子面板为社区站点启用相关的社交登录设置。

选择保存社交登录配置的站点配置上下文。
在“常规”选项卡上，设置云配置。
在“设置”选项卡上，启用社交登录并保存。

确保在所有发布实例上启用AdobeGranite OAuth身份验证处理程序
确保已发布云服务
确保已发布社区站点
在浏览器中启动已发布的站点
例如，http://localhost:4503/content/sites/engage/en.html
选择登录
选择使用Facebook登录或使用Twitter登录
如果尚未登录Facebook或Twitter，请使用相应的凭据登录
可能需要根据Facebook或Twitter应用程序显示的对话框授予权限
请注意，页面顶部的工具栏会更新以反映成功的登录
选择用户档案:用户档案页显示用户的头像图像、名字和姓氏。它还根据允许的字段／参数显示Facebook或Twitter用户档案中的信息。

AEM平台OAuth配置

AdobeGranite OAuth身份验证处理程序

默认情况下，Adobe Granite OAuth Authentication Handler未启用，并且必须在所有AEM发布实例上启用。

要在发布时启用身份验证处理程序，只需打开OSGi配置并保存它：

以管理员权限登录
导航到Web控制台
例如，http://localhost:4503/system/console/configMgr
找到Adobe Granite OAuth Authentication Handler
选择以打开要编辑的配置
选择保存

chlimage_1-489

注意

请注意，不要将身份验证处理程序与AdobeGranite OAuth应用程序和提供程序的Facebook或Twitter实例混淆。

chlimage_1-490

AdobeGranite OAuth应用程序和提供程序

创建Facebook或Twitter的云服务时，将创建Adobe Granite OAuth Authentication Handler的实例。

要查找Facebook或Twitter应用程序的已创建实例，请执行以下操作：

以管理员权限登录。
导航到Web控制台。

例如，http://localhost:4503/system/console/configMgr。
找到AdobeGranite OAuth应用程序和提供程序。
- 找到客户端ID与应用程序ID匹配的实例
除以下属性外，保留配置的其他属性：
- 配置ID
  
  （必需）OAuth配置ID必须唯一。创建云服务时自动生成。
- 客户端 ID
  
  （必需）创建云服务时提供的应用程序 ID。
- 客户端密钥
  
  （必需）创建云服务时提供的应用程序密码。
- 范围
  
  （可选）可从提供程序询问允许的其他范围。默认范围涵盖提供社交身份验证和用户档案数据所需的权限。
- 提供者ID
  
  （必需）创建云服务时，将设置AEM Communities的提供程序ID。不要编辑。对于Facebook Connect，此值为soco -facebook。对于Twitter Connect，此值为soco -twitter。
- 组
  
  （推荐）向其添加已创建用户的一个或多个成员组。对于AEM Communities，建议列表社区站点的成员组。
- 回调 URL
  
  （可选）配置有OAuth提供者的URL，以将客户端重定向回。使用相对url来使用原始请求的主机。留空将改用最初请求的URL。后缀“/callback/j_security_check”自动附加到此url。
注意

回调的域必须向提供者（Facebook或Twitter）注册。

对于每个OAuth身份验证处理程序配置，在实例中创建了两个其他配置：

Apache Jackrabbit Oak默认同步处理程序(org.apache.jackrabbit.oak.spi.security.authentication.external.impl.DefaultSyncHandler)-无需进行任何编辑，但您可以查看用户字段映射Facebook字段如何映射到CQ用户用户档案节点。另请注意，“Sync Handler Name”与OAuth提供程序配置的配置ID匹配。
Apache Jackrabbit Oak外部登录模块(org.apache.jackrabbit.oak.spi.security.authentication.external.impl.ExternalLoginModuleFactory)-无需进行任何编辑，但您可能会注意到“标识提供者名称”和“同步处理程序名称”是相同的，并分别指向相应的OAuth和同步处理程序配置。

有关详细信息，请参阅 Authentication with Apache Oak External Login Module。

OAuth用户遍历性能

对于使用Facebook或Twitter登录名注册的社区站点，当站点访客使用其社交登录名时执行的查询的遍历性能可以通过添加以下Oak索引而得到改善。

如果日志中显示遍历警告，则建议添加此索引。

在作者实例上，以管理权限登录：

从全局导航：选择工具，CRX/DE Lite。
从ntBaseLucene的副本创建名为ntBaseLucene-oauth的索引：
- 在节点/oak:index下
- 选择节点ntBaseLucene
- 选择复制
- 选择 /oak:index
- 选择粘贴
- 将ntBaseLucene的副本重命名为ntBaseLucene-oauth
修改节点ntBaseLucene-oauth的属性：
- indexPath:/oak:index/ntBaseLucene-oauth
- name:oauthid-123xxxx
- 重新索引:真
- reindexCount:3
在节点/oak:index/ntBaseLucene-oauth/indexRules/nt:base/properties下：
- 删除除cqTags外的所有子节点。
- 将cqTags重命名为oauthid-123xxxx
- 修改节点oauthid-123xxxx的属性
  - name:oauthid-123xxxx
- 选择全部保存。