51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Keycloak简单几步实现对Spring Boot应用的权限控制

作者: 码农小胖哥
开发 架构
我们在上一篇初步尝试了keycloak,手动建立了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。今天就来尝试一下对应的Spring Boot Adapter,来看看keycloak是如何保护Spring Boot应用的。

[[410301]]

我们在上一篇初步尝试了keycloak,手动建立了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。今天就来尝试一下对应的Spring Boot Adapter,来看看keycloak是如何保护Spring Boot应用的。

关注并星标 码农小胖哥,第一时间获取相关干货文章。

客户端

相信不少同学用过微信开放平台、蚂蚁开放平台。首先我们需要在这些开放平台上注册一个客户端以获取一套类似用户名和密码的凭证。有的叫appid和secret;有的叫clientid和secret,都是一个意思。其实keycloak也差不多,也需要在对应的realm中注册一个客户端。下图不仅仅清晰地说明了keycloak中Masterrealm和自定义realm的关系,还说明了在一个realm中用户和客户端的关系。

Realm、client、user关系图

我们需要在felord.cn这个realm中建立一个客户端:

在realm中创建客户端

创建完毕后你会发现felord.cn的客户端又多了一个:

realm的客户端列表

你可以通过http://localhost:8011/auth/realms/felord.cn/account/来登录创建的用户。

然后我们对客户端spring-boot-client进行编辑配置:

填写重定向URL

为了测试,这里我只填写了设置选项卡中唯一的必填项有效的重定向URI,这个选项的意思就是客户端springboot-client的所有API都会受到权限管控。

角色

基于角色的权限控制是目前主流的权限控制思想,keycloak也采取了这种方式。我们需要建立一个角色并授予上一篇文章中建立的用户felord。我们来创建一个简单的角色:

在keycloak中创建角色

keycloak的角色功能非常强大,在后面的系列文章中胖哥会和大家深入学习这个概念。

角色映射给用户

然后我们把上面创建的角色base_user赋予用户felord:

给realm中的用户赋予角色

到这里用户、角色、角色映射都搞定了,就剩下在客户端上定义资源了。

获取和刷新JWT

我们可以通过下面这个方式获取用户登录的JWT对:

  1. POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1 
  2. Host: localhost:8011 
  3. Content-Type: application/x-www-form-urlencoded 
  4.  
  5. client_id=springboot-client&username=felord&password=123456&grant_type=password 

会得到:

  2.     "access_token""eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiS 省略"
  3.     "expires_in": 300, 
  4.     "refresh_expires_in": 1800, 
  5.     "refresh_token""eyJhbGciOiJIUzI1NiIsInR5cCIgOiAi 省略"
  6.     "token_type""Bearer"
  7.     "not-before-policy": 0, 
  8.     "session_state""2fc7e289-c86f-4f6f-b4d3-1183a9518acc"
  9.     "scope""profile email" 

刷新Token只需要把refresh_token带上,把grant_type改为refresh_token就可以刷新Token对了,下面是请求刷新的报文:

  1. POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1 
  2. Host: localhost:8011 
  3. Content-Type: application/x-www-form-urlencoded 
  4.  
  5. client_id=springboot-client&grant_type=refresh_token&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJlYWE2MThhMC05Y2UzLTQxZWMtOTZjYy04MGQ5ODVkZjJjMTIifQ.eyJleHAiOjE2MjU3NjI4ODYsImlhdCI6MTYyNTc2MTA4NiwianRpIjoiZjc2MjVmZmEtZWU3YS00MjZmLWIwYmQtOTM3MmZiM2Q4NDA5IiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo4MDExL2F1dGgvcmVhbG1zL2ZlbG9yZC5jbiIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6ODAxMS9hdXRoL3JlYWxtcy9mZWxvcmQuY24iLCJzdWIiOiI0YzFmNWRiNS04MjU0LTQ4ZDMtYTRkYS0wY2FhZTMyOTk0OTAiLCJ0eXAiOiJSZWZyZXNoIiwiYXpwIjoic3ByaW5nYm9vdC1jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiZDU2NmU0ODMtYzc5MS00OTliLTg2M2ItODczY2YyNjMwYWFmIiwic2NvcGUiOiJwcm9maWxlIGVtYWlsIn0.P4vWwyfGubSt182P-vcyMdKvJfvwKYr1nUlOYBWzQks 

注意:两个请求的 content-type都是application/x-www-form-urlencoded。

Spring Boot客户端

建一个很传统的Spring Boot应用,别忘了带上Spring MVC模块,然后加入keycloak的starter:

  1. <dependency> 
  2.        <groupId>org.keycloak</groupId> 
  3.        <artifactId>keycloak-spring-boot-starter</artifactId> 
  4.        <version>14.0.0</version> 
  5.    </dependency> 

当前keycloak版本是14.0.0 。

然后随便编写一个Spring MVC接口:

  1. /** 
  2.  * @author felord.cn 
  3.  * @since 2021/7/7 17:05 
  4.  */ 
  5. @RestController 
  6. @RequestMapping("/foo"
  7. public class FooController { 
  8.  
  9.     @GetMapping("/bar"
  10.     public String bar(){ 
  11.         return "felord.cn"
  12.     } 
  13.  

接下来,我们声明定义只有felord.cnrealm中包含base_user角色的用户才能访问/foo/bar接口。那么定义在哪儿呢?我们先在spring boot中的application.yml中静态定义,后续会实现动态控制。配置如下:

  1. keycloak: 
  2. # 声明客户端所在的realm 
  3.   realm: felord.cn 
  4. # keycloak授权服务器的地址 
  5.   auth-server-url: http://localhost:8011/auth 
  6. # 客户端名称 
  7.   resource: springboot-client 
  8. # 声明这是一个公开的客户端,否则不能在keycloak外部环境使用,会403 
  9.   public-client: true 
  10. # 这里就是配置客户端的安全约束,就是那些角色映射那些资源 
  11.   security-constraints: 
  12. # 角色和资源的映射关系。下面是多对多的配置方式 ,这里只配置base_user才能访问 /foo/bar 
  13.     - auth-roles: 
  14.         - base_user 
  15.       security-collections: 
  16.         - patterns: 
  17.             - '/foo/bar' 

然后启动Spring Boot应用并在浏览器中调用http://localhost:8080/foo/bar,你会发现浏览器会跳转到下面这个地址:

  1. http://localhost:8011/auth/realms/felord.cn/protocol/openid-connect/auth?response_type=code&client_id=springboot-client&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Ffoo%2Fbar&state=20e0958d-a7a9-422a-881f-cbd8f25d7842&login=true&scope=openid 

OIDC认证授权登录

走的是基于OIDC(OAuth 2.0的增强版)的认证授权模式。只有你正确填写了用户名和密码才能得到/foo/bar的正确响应。

总结

请注意:这是系列文章,请点击文章开头的#keycloak查看已有章节。

我们仅仅进行了一些配置就实现了OIDC认证授权,保护了Spring Boot中的接口,这真是太简单了。不过看了这一篇文章后你会有不少疑问,这是因为你不太了解OIDC协议。这个协议非常重要,大厂都在使用这个协议。下一篇会针对这个协议来给你补补课。本文的DEMO已经上传到Git,你可以关注公众号:码农小胖哥 回复 keycloak3获取DEMO。多多点赞、再看、转发、评论、有饭恰才是胖哥创作分享的动力。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
Spring Boot应用Keycloak
相关推荐
Spring Boot 之 RESRful API 权限控制
RESTful(RepresentationalStateTransfer)架构风格,是一个Web自身的架构风格,底层主要基于HTTP协议(ps:提出者就是HTTP协议的作者),是分布式应用架构的伟大实践理论。RESTful架构是无状态的,表现为请求响应的形式,有别于基于Bower的SessionId不同。

2017-04-25 10:46:57

Spring BootRESRful API权限
Spring Boot Security + JWT Token 简单应用
我们在SpringBoot示例中学到关于SpringSecurity和基于JWT令牌的身份验证的有趣知识。尽管我们写了很多代码,但我希望你能理解应用程序的整体架构,并轻松地将其应用到你的项目中。

2023-12-08 12:12:21

Android应用开发简单几步实现摇一摇功能
在某些紧急情况下,摇一摇功能可以作为一种快速提醒方式。例如,在遇到危险或紧急状况时,用户可以快速摇动手机来触发警报或发送求救信号。

2024-01-15 08:21:12

Android应用方式
简单几步Spring Boot 项目部署到 K8S,步骤来了!
在Kubernetes中部署springboot应用整体上来说是一件比较繁琐的事情,而SpringBootOperator则能带给你更清爽简单的体验。

2021-11-05 13:35:35

Spring BooK8SJava
使用Actuator 实现Spring Boot应用监控
Actuator是SpringBoot提供的应用系统监控的开源框架,它是SpringBoot体系中非常重要的组件。它可以轻松实现应用程序的监控治理。

2022-02-09 20:39:52

Actuator应用监控
Spring Cloud Gateway集成 Rbac 权限模型实现动态权限控制
本篇文章介绍了网关集成RBAC权限模型进行认证鉴权,核心思想就是将权限信息加载Redis缓存中,在网关层面的鉴权管理器中进行权限的校验,其中还整合了Restful风格的URL。

2022-01-07 07:29:08

Rbac权限模型
Spring Security权限控制系列(三)
当登录时填写的错误用户名或密码时,再次返回了登录页面,并且携带了错误信息。接下来通过源码查看这部分路径。

2022-08-30 08:36:13

Spring权限控制
Spring Security权限控制系列(四)
SpringSecurity核心是通过Filter过滤器链来完成一系列逻辑处理的,今天就带大家聊一聊这个话题。

2022-08-30 08:43:11

Spring权限控制
Spring Security权限控制系列(六)
SpringSecurity还提供了基于访问注解的方式细化接口权限的控制定义,接下来使用基于注解的方式控制Controller接口权限。

2022-08-30 08:55:49

Spring权限控制
Spring Security权限控制系列(二)
默认项目中引入SpringSecurity后会拦截所有的请求,这其中包括了静态资源,这肯定不是我们希望的,接下来我们看如何进行资源自定义的拦截。

2022-08-15 08:45:21

Spring权限控制
Spring Security权限控制系列(一)
这里我们通过Postman访问默认的登录login接口先进行登录,登录完成后我们在访问这个post接口。

2022-08-15 08:42:46

权限控制Spring
Spring Security权限控制系列(五)
本篇内容将会带详细了解如何基于数据库中的用户进行登录授权。

2022-08-30 08:50:07

Spring权限控制
Spring WebFlux Security结合R2DBC实现权限控制
我们这里对实现的原理做简单的接收,主要核心是WebFilter。

2023-01-13 08:11:24

OAuth2授权服务器Keycloak宣布不再适配Spring BootSpring Security
在情人节到来之际,这个声明意味深长。声明表示Keycloak团队将弃用绝大部分适配器的维护,将更多精力放在Keycloak服务器本身。

2022-02-15 07:35:12

服务器KeycloakOAuth2
Telnet服务器访问权限控制
文章摘要:这里我们对Telnet服务器的访问权限问题做了讲解。本文主要讲解的则是授予权限的内容,希望对大家有用。

2010-07-19 21:31:42

Spring Boot & Spring Cloud 应用内存管理
在整体应用架构中,非生产环境情况下,一般1GB或者2GB的RAM就足够了。如果我们将这个应用程序划分为20或30个独立的微服务,那么很难期望RAM仍将保持在1GB或2GB左右。特别是如果我们使用SpringCloud的时候。

2017-09-20 09:46:38

Spring BootSpring Clou内存
OpenTelemetry agent Spring Boot 应用影响:一次 SPI 失效调查
在复现这个问题之前先简单介绍下java.net.spi.InetAddressResolverProvider这个SPI;它是在JDK18之后才提供的,在这之前我们使用InetAddress的内置解析器来解析主机名和IP地址,但这个解析器之前是不可以自定义的。

2024-05-14 08:08:38

SpringSPIjava
使用JIB插件轻松实现Spring Boot应用容器化
通过本文的学习,读者了解了如何使用Google的Jib构建和发布Docker镜像。

2023-10-15 22:40:25

插件JIB
Spring Boot调用Http接口简单方法
在这里推荐一个适用于SpringBoot项目的轻量级HTTP客户端框架Retrofit,使用非常简单方便。Retrofit是一款类型安全的HTTP客户端,其最大的特性的是支持通过接口的方式发起HTTP请求。

2023-03-16 08:14:57

Keycloak Spring Security适配器常用配置
在SpringSecurity集成Keycloak适配器时需要引入一些额外的配置属性。一般我们会把它配置到SpringBoot的配置文件中。

2021-08-06 06:51:16

适配器配置Spring
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服