51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

全面解析 Keycloak:如何优雅集成到 Spring Boot 3 应用中?

作者:编程疏影
开发 前端
本文详细介绍了如何通过 Keycloak 生成 JWT 令牌,并将其与 Spring Boot 集成,实现基于角色的权限控制。通过配置 Keycloak 生成令牌,设置 Spring Security 的 JWT 解析逻辑,以及定义基于角色的访问控制,我们构建了一个安全、高效的认证与授权机制。

Keycloak 是一种开源身份和访问管理工具,可以帮助用户以最小的努力为应用程序添加身份验证功能。

Keycloak 的一些主要特性

  1. 单点登录与单点注销 (Single Sign-On and Single Sign-Out):用户不需要为不同的应用程序设置不同的登录账号。
  2. 社交登录与身份代理 (Social Login and Identity Brokering):支持使用 Google、Facebook 等社交登录功能,并可以轻松配置已有的身份提供商。
  3. 用户联合 (User Federation):内置支持连接现有的 LDAP 和 Active Directory 服务器。
  4. 管理控制台 (Admin Console)。
  5. 授权服务 (Authorisation Services):帮助管理所有客户服务的权限,支持细粒度的权限控制。

了解 Keycloak 的几个重要术语

  1. Realm (领域):一个安全域,用于管理用户、应用程序、组和权限,便于资源、权限和配置的隔离与组织。
  2. Client (客户端):能够请求用户身份验证的应用程序或服务。
  3. Client Scopes (客户端范围):多个客户端之间共享的通用规则和权限。
  4. Realm Roles (领域角色):在当前领域范围内定义的角色。

Keycloak 入门

我们可以通过 Docker 启动 Keycloak 服务器。使用以下命令启动 Keycloak 服务器:

docker run -p8081:8080 -eKEYCLOAK_ADMIN=admin -eKEYCLOAK_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:25.0.4 start-dev
  • 1.

服务器将启动在 8081 端口。默认用户名和密码是 admin。可以通过浏览器访问 localhost:8081/admin。

以下是管理控制台的界面:

图片图片

创建领域 (Realm)

首先,我们需要创建一个领域来管理用户和应用程序。创建领域的方法如下:

  1. 点击左侧的 Realm。
  2. 然后点击 Create。

图片

创建用户

创建用户的步骤如下:

  1. 点击左侧的 Users。
  2. 点击 Add User 按钮。接着会出现一个如下的表单:

图片

添加客户端 (Client)

可以按以下步骤添加我们的应用程序或服务:

  1. 点击左侧的 Clients。
  2. 点击 Create Client。
  3. 接下来会出现一个表单,如下图 Screenshot_1 所示。在连接 Spring Boot 应用程序和 Keycloak 时,ClientId 非常重要。
  4. 在 Root URL 中填写 Spring Boot 应用的基础 URL (参考下图 Screenshot_2)。
  5. 完成后的表单看起来如 Screenshot_3 所示。

图片图片

图片图片

图片图片

创建客户端后,可以为该客户端创建 Roles (角色)。

这些角色可以分配给用户,用户将根据权限访问不同的端点。

假设我们创建了两个用户 testadmin 和 testuser,同时创建了两个角色 client_admin 和 client_user。

图片图片

如何使用 Keycloak 生成 JWT Token?

您需要通过 HTTP POST 方法向以下 URL 发送请求:http://localhost:8081/realms/master/protocol/openid-connect/token (假设 Keycloak 服务器运行在 localhost:8081)

请求体

请求体应为 x-www-form-urlencoded 类型,并包含以下参数:

  • grant_type(文本)— 表示请求所用的授权类型。
  • client_id(文本)— 请求的客户端标识符。
  • username(文本)— 用于身份验证的用户名。
  • password(文本)— 用于身份验证的密码。

示例请求体

grant_type:password
client_id:keycloak-integration-app
username:testuser
password:testuser
  • 1.
  • 2.
  • 3.
  • 4.

如果请求成功,API 将返回一个包含 access token 的 JSON 响应。此 Token 可用于调用我们 Spring Boot 应用的各种接口。

将 Keycloak 集成到 Spring Boot 中

创建一个简单的 Spring Boot 应用,并添加以下依赖

  1. Spring Web
  2. Spring Security
  3. Lombok
  4. OAuth2 Authorization Server
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.

创建 SecurityConfig 类:

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
@RequiredArgsConstructor
public class SecurityConfig {


    private final JwtConvertor jwtConvertor;


    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {


        httpSecurity
                .csrf(csrf -> csrf.disable())
                .authorizeHttpRequests(auth -> auth.anyRequest().authenticated());


        httpSecurity
                .oauth2ResourceServer(oauth2 -> oauth2
                        .jwt(jwt -> jwt
                                .jwtAuthenticationConverter(jwtConvertor)));


        httpSecurity
                .sessionManagement(sessMngmt ->
                        sessMngmt.sessionCreationPolicy(SessionCreationPolicy.STATELESS));


        return httpSecurity.build();
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.

创建 JwtConvertor 类以提取角色。

以下是解码 JWT 时的角色 JSON 示例:

"resource_access": {
"keycloak-integration-app": {
"roles": [
"client_admin"
]
},
"account": {
"roles": [
"manage-account",
"manage-account-links",
"view-profile"
]
}
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.

为了获取角色,我们需要创建一个转换器类:

public class JwtConvertor implements Converter<Jwt, AbstractAuthenticationToken> {


    private final JwtGrantedAuthoritiesConverter jwtGrantedAuthoritiesConverter =
            new JwtGrantedAuthoritiesConverter();


    private String principleAttribute;


    @Override
    public AbstractAuthenticationToken convert(Jwt source) {
        Collection<GrantedAuthority> authorities = Stream.concat(
                jwtGrantedAuthoritiesConverter.convert(source).stream(),
                extractResourceRoles(source).stream()
        ).collect(Collectors.toSet());


        return new JwtAuthenticationToken(
                source,
                authorities,
                getPrincipleClaimName(source)
        );
    }


    private String getPrincipleClaimName(Jwt source) {
        String claimName = JwtClaimNames.SUB;
        if (principleAttribute != null) {
            claimName = principleAttribute;
        }
        return source.getClaim(claimName);
    }


    private Collection<? extends GrantedAuthority> extractResourceRoles(Jwt jwt) {
        Map<String, Object> resourceAccess;
        Map<String, Object> resource;
        Collection<String> resourceRoles;
        if (jwt.getClaim("resource_access") == null) {
            return Set.of();
        }
        resourceAccess = jwt.getClaim("resource_access");


        if (resourceAccess.get("keycloak-integration-app") == null) {
            return Set.of();
        }
        resource = (Map<String, Object>) resourceAccess.get("keycloak-integration-app");


        resourceRoles = (Collection<String>) resource.get("roles");
        return resourceRoles
                .stream()
                .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                .collect(Collectors.toSet());
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.

在 application.yml 中添加配置:

spring:
application:
name: keycloak-integration
security:
oauth2:
resourceserver:
jwt:
issuer-uri: sample_issuer_uri
jwk-set-uri: sample_cert
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.

可以通过以下 GET API 获取 issuer-uri 和 jwk-set-uri:

http://localhost:8081/realms/{realm_name}/.well-known/openid-configuration

## 将 {realm_name} 替换为您的 Realm 名称
  • 1.
  • 2.
  • 3.

创建 REST Controller

@RestController
@RequestMapping(value = "/data")
public class DataController {


    @GetMapping(value = "/user")
    @PreAuthorize("hasRole('client_user')")
    public String userApi(){
        return "I am a user";
    }


    @GetMapping(value = "/admin")
    @PreAuthorize("hasRole('client_admin')")
    public String adminApi(){
        return "I am an Admin";
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.

我们的集成现在已经完成,可以通过生成 Keycloak 的 access token 来访问 API(如上所述)。

使用 testuser 的 JWT 调用 /data/admin 接口时,会返回 403,但可以正常访问 /data/user。对于 testadmin 用户也是如此。

资源

  1. Keycloak 入门文档请参阅 https://www.keycloak.org/guides#getting-started。
  2. JWT 官网https://jwt.io/

总结

本文详细介绍了如何通过 Keycloak 生成 JWT 令牌,并将其与 Spring Boot 集成,实现基于角色的权限控制。

通过配置 Keycloak 生成令牌,设置 Spring Security 的 JWT 解析逻辑,以及定义基于角色的访问控制,我们构建了一个安全、高效的认证与授权机制。

这套流程为应用的安全性和扩展性提供了保障,适用于多角色分布式系统开发。

责任编辑:武晓燕 来源: 路条编程
SpringJWT令牌
相关推荐
Keycloak简单几步实现对Spring Boot应用的权限控制
我们在上一篇初步尝试了keycloak,手动建立了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。今天就来尝试一下对应的SpringBootAdapter,来看看keycloak是如何保护SpringBoot应用的。

2021-07-09 06:48:29

Spring Boot应用Keycloak
Spring Boot集成JUnit5,优雅单元测试!
我们以SpringBoot2.3.1为例,引入如下依赖,防止使用旧的junit4相关接口我们将其依赖排除。

2021-01-07 14:06:30

Spring BootJUnit5Java
全面解析 Spring Boot 插件化开发模式
插件化开发模式是一种面向未来的设计理念,能够为系统的可维护性和灵活性带来质的飞跃。在本文中,我们详细讲解了如何通过JavaSPI和SpringBoot的插件加载机制实现动态计算器功能,并深入探讨了外部Jar的动态加载方法。

2025-01-02 11:20:47

Spring Boot 如何快速集成Redis?
SpringBoot如何快速集成Redis?没错,栈长本文教你,让大家少走弯路!

2020-07-14 11:00:12

Spring BootRedisJava
Spring 6/Spring Boot 3新特性:优雅的业务异常处理
当你使用SpringBoot(SpringMVC)进行RESTfulAPI开发的时候,你会发现HTTP的状态码很多时候不能足够有效的传递错误的信息。

2022-10-26 07:14:25

Spring 6Spring业务
Spring Boot 集成 JUnit5,更优雅单元测试!
开发人员为什么还要测试,单测写这么规范有必要吗?其实单测是开发人员必备技能,只不过很多开发人员开发任务太重导致调试完就不管了,没有系统化得单元测试,单元测试在系统重构时能发挥巨大的作用。

2021-08-26 11:00:54

Spring BootJUnit5Java
Spring Boot 如何优雅的进行测试打包部署?
实际使用中,可以按照项目的正常使用去注入数据层代码或者是Service层代码进行测试验证,springbootstartertest提供很多基础用法,更难得的是增加了对Controller层测试的支持。

2024-12-06 09:27:28

Spring Boot 如何快速集成 Redis 哨兵?
RedisSentinel介绍RedisSentinel:哨兵,放哨,看中文名字就知道它是一种Redis高可用解决方案,主要是针对Redis主从模式实现主从节点监控、故障自动切换。

2020-09-02 17:28:26

Spring Boot Redis集成
优雅至极!Spring Boot 3.3 ObjectMapper 的最佳实践!
在本文中,我们展示了如何在SpringBoot3.3中配置并优雅地使用ObjectMapper​,并通过前后端配合实现了一个简单的JSON数据展示示例。通过自定义ObjectMapper的配置,我们可以更灵活地处理JSON格式数据,使代码更加简洁和可维护。

2024-10-11 11:46:40

优雅Spring Boot处理日志的敏感数据
本篇文章,我将详细介绍如何使用Logback隐藏日志中的敏感数据。虽然这种方法是日志文件的最后一道防线,但它并不是解决问题的最终方案。敏感数据是指任何需要防止未经授权访问的信息。这可能包括任何个人身份信息,如社会安全号码、银行信息、登录凭据、地址、电子邮件等。

2024-09-27 12:27:31

如何优雅的实现 Spring Boot 接口参数加密解密?
加密解密本身并不是难事,问题是在何时去处理定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。

2021-03-09 13:18:53

加密解密参数
Spring Boot如何优雅提高接口数据安全性
因为流对应的是数据,数据放在内存中,有的是部分放在内存中。read一次标记一次当前位置(markposition),第二次read就从标记位置继续读(从内存中copy)数据。

2023-11-01 08:58:10

如何优雅的实现 Spring Boot 接口参数加密解密?
加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。

2022-06-04 12:25:10

解密加密过滤器
Spring Boot 优雅处理 JSON动态属性
有时我们需要处理具有未知属性的动态JSON对象,这些对象的结构可能在运行时有所不同,超出了预定义数据结构的范围。在这种情况下,我们就需要采用一些特殊的技术或策略来灵活地处理这些动态JSON对象。

2025-02-07 09:11:04

JSON对象策略
Spring Boot 3.3 集成 Zipkin 全面追踪 RESTful API 性能
通过本文的演示,我们成功地将Zipkin集成到了SpringBoot3项目中,监控RESTfulAPI的性能表现。Zipkin作为一款强大的分布式追踪工具,能够在微服务架构下帮助开发者快速定位系统瓶颈,优化服务性能。

2024-10-08 09:27:04

SpringRESTfulAPI
Spring Boot如何快速集成Mybatis和Thymeleaf
有时候做方案,需要模拟一些业务上的一些场景来验证方案的可行性,基本上每次都是到处百度如何集成springboot+mybatis+thymeleaf这些东西的集成平时基本上一年也用不了一次,虽然比较简单,奈何我真得记不住详细的每一步,因此每次都是从零开始,我一直在想,把时间浪费在这种重复的事情是没有意义的,所以这篇文章记录一下,以后再也不到处百度来接拼凑了。

2024-01-16 08:17:29

Mybatis验证业务
全面梳理 Spring Boot 日志体系
说到Java日志,很多初学者可能都比较懵,因为这里涉及到太多东西了:ApacheCommonsLogging、Slf4j、Log4j、Log4j2、Logback、JavaUtilLogging等等,这些框架各自有什么作用?他们之间有什么区别?

2022-05-12 11:38:26

Java日志Slf4j
Spring Boot如何集成Security实现安全认证
前面介绍了SpringBoot使用JWT实现Token验证,其实SpringBoot有完整的安全认证框架:SpringSecurity。接下来我们介绍如何集成Security实现安全验证。

2021-12-28 11:13:05

安全认证 Spring Boot
强大又优雅Spring Boot RestTemplate 的最佳实践详解
我们将详细演示如何使用RestTemplate​进行POST请求,包括如何设置请求头和请求体、如何构建和传递复杂数据,以及如何处理返回的响应。

2024-11-06 11:33:09

Spring Boot 3 集成 Jasypt详解,你学会了吗?
Jasypt作为一个简单而强大的加密工具,为Java应用程序提供了便捷的数据保护方案。通过与SpringBoot的集成,开发者可以在应用程序中轻松地加密和解密敏感信息。

2024-01-02 07:04:23

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服