Keycloak简单几步实现对Spring Boot应用的权限控制
我们在上一篇初步尝试了keycloak,手动建立了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。今天就来尝试一下对应的Spring Boot Adapter,来看看keycloak是如何保护Spring Boot应用的。
关注并星标 码农小胖哥,第一时间获取相关干货文章。
客户端
相信不少同学用过微信开放平台、蚂蚁开放平台。首先我们需要在这些开放平台上注册一个客户端以获取一套类似用户名和密码的凭证。有的叫appid和secret;有的叫clientid和secret,都是一个意思。其实keycloak也差不多,也需要在对应的realm中注册一个客户端。下图不仅仅清晰地说明了keycloak中Masterrealm和自定义realm的关系,还说明了在一个realm中用户和客户端的关系。
Realm、client、user关系图
我们需要在felord.cn这个realm中建立一个客户端:
在realm中创建客户端
创建完毕后你会发现felord.cn的客户端又多了一个:
realm的客户端列表
❝
你可以通过
http://localhost:8011/auth/realms/felord.cn/account/来登录创建的用户。
然后我们对客户端spring-boot-client进行编辑配置:
填写重定向URL
为了测试,这里我只填写了设置选项卡中唯一的必填项有效的重定向URI,这个选项的意思就是客户端springboot-client的所有API都会受到权限管控。
角色
基于角色的权限控制是目前主流的权限控制思想,keycloak也采取了这种方式。我们需要建立一个角色并授予上一篇文章中建立的用户felord。我们来创建一个简单的角色:
在keycloak中创建角色
❝
keycloak的角色功能非常强大,在后面的系列文章中胖哥会和大家深入学习这个概念。
角色映射给用户
然后我们把上面创建的角色base_user赋予用户felord:
给realm中的用户赋予角色
到这里用户、角色、角色映射都搞定了,就剩下在客户端上定义资源了。
获取和刷新JWT
我们可以通过下面这个方式获取用户登录的JWT对:
POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1
Host: localhost:8011
Content-Type: application/x-www-form-urlencodedclient_id=springboot-client&username=felord&password=123456&grant_type=password
会得到:
{"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiS 省略","expires_in": 300,"refresh_expires_in": 1800,"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAi 省略","token_type": "Bearer","not-before-policy": 0,"session_state": "2fc7e289-c86f-4f6f-b4d3-1183a9518acc","scope": "profile email"
}
刷新Token只需要把refresh_token带上,把grant_type改为refresh_token就可以刷新Token对了,下面是请求刷新的报文:
POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1
Host: localhost:8011
Content-Type: application/x-www-form-urlencodedclient_id=springboot-client&grant_type=refresh_token&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJlYWE2MThhMC05Y2UzLTQxZWMtOTZjYy04MGQ5ODVkZjJjMTIifQ.eyJleHAiOjE2MjU3NjI4ODYsImlhdCI6MTYyNTc2MTA4NiwianRpIjoiZjc2MjVmZmEtZWU3YS00MjZmLWIwYmQtOTM3MmZiM2Q4NDA5IiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo4MDExL2F1dGgvcmVhbG1zL2ZlbG9yZC5jbiIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6ODAxMS9hdXRoL3JlYWxtcy9mZWxvcmQuY24iLCJzdWIiOiI0YzFmNWRiNS04MjU0LTQ4ZDMtYTRkYS0wY2FhZTMyOTk0OTAiLCJ0eXAiOiJSZWZyZXNoIiwiYXpwIjoic3ByaW5nYm9vdC1jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiZDU2NmU0ODMtYzc5MS00OTliLTg2M2ItODczY2YyNjMwYWFmIiwic2NvcGUiOiJwcm9maWxlIGVtYWlsIn0.P4vWwyfGubSt182P-vcyMdKvJfvwKYr1nUlOYBWzQks
❝
注意:两个请求的
content-type都是application/x-www-form-urlencoded。
Spring Boot客户端
建一个很传统的Spring Boot应用,别忘了带上Spring MVC模块,然后加入keycloak的starter:
<dependency><groupId>org.keycloak</groupId><artifactId>keycloak-spring-boot-starter</artifactId><version>14.0.0</version></dependency>
❝
当前keycloak版本是
14.0.0。
然后随便编写一个Spring MVC接口:
/*** @author felord.cn* @since 2021/7/7 17:05*/
@RestController
@RequestMapping("/foo")
public class FooController {@GetMapping("/bar")public String bar(){return "felord.cn";}}
接下来,我们声明定义只有felord.cnrealm中包含base_user角色的用户才能访问/foo/bar接口。那么定义在哪儿呢?我们先在spring boot中的application.yml中静态定义,后续会实现动态控制。配置如下:
keycloak:
# 声明客户端所在的realmrealm: felord.cn
# keycloak授权服务器的地址auth-server-url: http://localhost:8011/auth
# 客户端名称resource: springboot-client
# 声明这是一个公开的客户端,否则不能在keycloak外部环境使用,会403public-client: true
# 这里就是配置客户端的安全约束,就是那些角色映射那些资源security-constraints:
# 角色和资源的映射关系。下面是多对多的配置方式 ,这里只配置base_user才能访问 /foo/bar- auth-roles:- base_usersecurity-collections:- patterns:- '/foo/bar'
然后启动Spring Boot应用并在浏览器中调用http://localhost:8080/foo/bar,你会发现浏览器会跳转到下面这个地址:
http://localhost:8011/auth/realms/felord.cn/protocol/openid-connect/auth?response_type=code&client_id=springboot-client&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Ffoo%2Fbar&state=20e0958d-a7a9-422a-881f-cbd8f25d7842&login=true&scope=openid
OIDC认证授权登录
走的是基于OIDC(OAuth 2.0的增强版)的认证授权模式。只有你正确填写了用户名和密码才能得到/foo/bar的正确响应。
总结
❝
请注意:这是系列文章,请点击文章开头的
#keycloak查看已有章节。
我们仅仅进行了一些配置就实现了OIDC认证授权,保护了Spring Boot中的接口,这真是太简单了。不过看了这一篇文章后你会有不少疑问,这是因为你不太了解OIDC协议。这个协议非常重要,大厂都在使用这个协议。下一篇会针对这个协议来给你补补课。
本文的DEMO已经上传到Git,你可以关注公众号:码农小胖哥 回复 keycloak3获取DEMO。多多点赞、再看、转发、评论、有饭恰才是胖哥创作分享的动力。
往期推荐
Spring Boot 2.x基础教程:使用@Scheduled实现定时任务
昨晚,B站崩了!看了网友们的评论,我差点笑死...
这些 IDEA 的优化设置赶紧安排起来,效率提升不是一点点!
服务发布或重启,发生抖动怎么办?
什么?超过60%的开发者都开始从Java 8 升级到 Java 11了?
Keycloak简单几步实现对Spring Boot应用的权限控制相关推荐
- Keycloak简单几步实现对Spring Boot应用的权限控制,程序员Java基础案例教程
关注并星标 码农小胖哥,第一时间获取相关干货文章. 客户端 === 相信不少同学用过微信开放平台.蚂蚁开放平台.首先我们需要在这些开放平台上注册一个客户端以获取一套类似用户名和密码的凭证.有的叫app ...
- SpringBoot 精通系列-如何使用Spring Boot Security进行权限控制
导语 如何设计一个高效健全的安全策略是保证企业数据安全的的关键,笔者见过设计的比较优秀的安全管理策略也见过设计的比较Low的安全管理策略.如何保证高效的安全策略,在Java中Spring官方提供了 ...
- 无返回值_只需一步,在Spring Boot中统一Restful API返回值格式与处理异常
统一返回值 在前后端分离大行其道的今天,有一个统一的返回值格式不仅能使我们的接口看起来更漂亮,而且还可以使前端可以统一处理很多东西,避免很多问题的产生. 比较通用的返回值格式如下: public cl ...
- springboot http status 404 – not found_使用枚举简单封装一个优雅的 Spring Boot 全局异常处理!...
这篇文章鸽了很久,我在这篇文章 <用好 Java 中的枚举,真的没有那么简单!> 中就提到要分享.还是昨天一个读者提醒我之后,我才发现自己没有将这篇文章发到公众号.说到这里,我发现自己一个 ...
- spring boot入门(九) springboot的过滤器filter。最完整、简单易懂、详细的spring boot教程。
关于过滤器和拦截器的区别,已经spring boot入门(七)中说明.下面举个过滤器的应用场景,比如用户信息页只有再用户登录后才可以进入,没有登录的用户是无法进入的,此时便可以采用过滤器来讲没有登录的 ...
- spring boot集成mybatis+事务控制
一下代码为DEMO演示,采用注解的方式完成Spring boot和Mybatis的集成,并进行事物的控制 数据源的配置: 1 spring.datasource.url=jdbc:mysql://lo ...
- spring security 认证与权限控制
目录 1. 使用授权和认证的必要性 2. spring security 与 shiro 与 过滤器,拦截器 3. 具体配置使用 项目地址: https://github.com/sevenyoung ...
- Spring Security实现登录权限控制,记住我等功能
文章目录 1.Spring Security简介 2.登录权限控制 2.1.基本功能 2.2.登录和未登录导航栏显示 2.3.根据权限显示不同页面功能 3.定制登录页和记住我功能 3.1.定制登录页 ...
- Spring Boot项目设置权限拦截器和过滤器
参考博文:https://blog.csdn.net/qq_30745307/article/details/80974407 目录 过滤器 Filter 作用 生命周期 示例代码 拦截器 Inter ...
最新文章
- JGG:青岛大学苏晓泉团队利用条件致病菌指数评估环境微生物风险
- python爬虫教程下载-Python爬虫文件下载图文教程
- webservice 之 Java CXF实战效果 RS WS(二)
- 【Qt】 XML流读写XML
- bzoj2733永无乡
- oracle 触发器更新视图,关于UPDATE触发器的详细介绍
- 3D旋转(CSS3)
- 2019-11-25 编写cmake 脚本注意事项
- 【Axure原型分享】自动编号的中继器表格
- Ant Design 与 Ant Design Pro
- 优锘科技:森模型插件上新:BIM秒变轻量化,模板任选效果
- 【西语】【1】Te amor 我爱你
- 某酒店App sign、appcode签名解析(一) 带壳分析 r0tracer
- JavaScript---网络编程(8)-DHTML技术演示(1)
- 2023年基建工程(设计规划施工)经验分享,超多干货
- 日常编程笔记 | 2022.10.1 | 归并排序_一无序列
- OpenGL十二讲代码
- 微信公众平台如何给粉丝分组打标签?
- vue启动报错Module build failed: Error: ENOENT: no such file or directory
- 如何将Nginx的版本号隐藏