偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Keycloak簡單幾步實現(xiàn)對Spring Boot應(yīng)用的權(quán)限控制

作者: 碼農(nóng)小胖哥
開發(fā) 架構(gòu)
我們在上一篇初步嘗試了keycloak,手動建立了一個名為felord.cn的realm并在該realm下建了一個名為felord的用戶。今天就來嘗試一下對應(yīng)的Spring Boot Adapter,來看看keycloak是如何保護Spring Boot應(yīng)用的。

[[410301]]

我們在上一篇初步嘗試了keycloak,手動建立了一個名為felord.cn的realm并在該realm下建了一個名為felord的用戶。今天就來嘗試一下對應(yīng)的Spring Boot Adapter,來看看keycloak是如何保護Spring Boot應(yīng)用的。

關(guān)注并星標(biāo) 碼農(nóng)小胖哥,第一時間獲取相關(guān)干貨文章。

客戶端

相信不少同學(xué)用過微信開放平臺、螞蟻開放平臺。首先我們需要在這些開放平臺上注冊一個客戶端以獲取一套類似用戶名和密碼的憑證。有的叫appid和secret;有的叫clientid和secret,都是一個意思。其實keycloak也差不多,也需要在對應(yīng)的realm中注冊一個客戶端。下圖不僅僅清晰地說明了keycloak中Masterrealm和自定義realm的關(guān)系,還說明了在一個realm中用戶和客戶端的關(guān)系。

Realm、client、user關(guān)系圖

我們需要在felord.cn這個realm中建立一個客戶端:

在realm中創(chuàng)建客戶端

創(chuàng)建完畢后你會發(fā)現(xiàn)felord.cn的客戶端又多了一個:

realm的客戶端列表

你可以通過http://localhost:8011/auth/realms/felord.cn/account/來登錄創(chuàng)建的用戶。

然后我們對客戶端spring-boot-client進(jìn)行編輯配置:

填寫重定向URL

為了測試,這里我只填寫了設(shè)置選項卡中唯一的必填項有效的重定向URI,這個選項的意思就是客戶端springboot-client的所有API都會受到權(quán)限管控。

角色

基于角色的權(quán)限控制是目前主流的權(quán)限控制思想,keycloak也采取了這種方式。我們需要建立一個角色并授予上一篇文章中建立的用戶felord。我們來創(chuàng)建一個簡單的角色:

在keycloak中創(chuàng)建角色

keycloak的角色功能非常強大,在后面的系列文章中胖哥會和大家深入學(xué)習(xí)這個概念。

角色映射給用戶

然后我們把上面創(chuàng)建的角色base_user賦予用戶felord:

給realm中的用戶賦予角色

到這里用戶、角色、角色映射都搞定了,就剩下在客戶端上定義資源了。

獲取和刷新JWT

我們可以通過下面這個方式獲取用戶登錄的JWT對:

  1. POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1 
  2. Host: localhost:8011 
  3. Content-Type: application/x-www-form-urlencoded 
  4.  
  5. client_id=springboot-client&username=felord&password=123456&grant_type=password 

會得到:

  2.     "access_token""eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiS 省略"
  3.     "expires_in": 300, 
  4.     "refresh_expires_in": 1800, 
  5.     "refresh_token""eyJhbGciOiJIUzI1NiIsInR5cCIgOiAi 省略"
  6.     "token_type""Bearer"
  7.     "not-before-policy": 0, 
  8.     "session_state""2fc7e289-c86f-4f6f-b4d3-1183a9518acc"
  9.     "scope""profile email" 

刷新Token只需要把refresh_token帶上,把grant_type改為refresh_token就可以刷新Token對了,下面是請求刷新的報文:

  1. POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1 
  2. Host: localhost:8011 
  3. Content-Type: application/x-www-form-urlencoded 
  4.  
  5. client_id=springboot-client&grant_type=refresh_token&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJlYWE2MThhMC05Y2UzLTQxZWMtOTZjYy04MGQ5ODVkZjJjMTIifQ.eyJleHAiOjE2MjU3NjI4ODYsImlhdCI6MTYyNTc2MTA4NiwianRpIjoiZjc2MjVmZmEtZWU3YS00MjZmLWIwYmQtOTM3MmZiM2Q4NDA5IiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo4MDExL2F1dGgvcmVhbG1zL2ZlbG9yZC5jbiIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6ODAxMS9hdXRoL3JlYWxtcy9mZWxvcmQuY24iLCJzdWIiOiI0YzFmNWRiNS04MjU0LTQ4ZDMtYTRkYS0wY2FhZTMyOTk0OTAiLCJ0eXAiOiJSZWZyZXNoIiwiYXpwIjoic3ByaW5nYm9vdC1jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiZDU2NmU0ODMtYzc5MS00OTliLTg2M2ItODczY2YyNjMwYWFmIiwic2NvcGUiOiJwcm9maWxlIGVtYWlsIn0.P4vWwyfGubSt182P-vcyMdKvJfvwKYr1nUlOYBWzQks 

注意:兩個請求的 content-type都是application/x-www-form-urlencoded。

Spring Boot客戶端

建一個很傳統(tǒng)的Spring Boot應(yīng)用,別忘了帶上Spring MVC模塊,然后加入keycloak的starter:

  1. <dependency> 
  2.        <groupId>org.keycloak</groupId> 
  3.        <artifactId>keycloak-spring-boot-starter</artifactId> 
  4.        <version>14.0.0</version> 
  5.    </dependency> 

當(dāng)前keycloak版本是14.0.0 。

然后隨便編寫一個Spring MVC接口:

  1. /** 
  2.  * @author felord.cn 
  3.  * @since 2021/7/7 17:05 
  4.  */ 
  5. @RestController 
  6. @RequestMapping("/foo"
  7. public class FooController { 
  8.  
  9.     @GetMapping("/bar"
  10.     public String bar(){ 
  11.         return "felord.cn"
  12.     } 
  13.  

接下來,我們聲明定義只有felord.cnrealm中包含base_user角色的用戶才能訪問/foo/bar接口。那么定義在哪兒呢?我們先在spring boot中的application.yml中靜態(tài)定義,后續(xù)會實現(xiàn)動態(tài)控制。配置如下:

  1. keycloak: 
  2. # 聲明客戶端所在的realm 
  3.   realm: felord.cn 
  4. # keycloak授權(quán)服務(wù)器的地址 
  5.   auth-server-url: http://localhost:8011/auth 
  6. # 客戶端名稱 
  7.   resource: springboot-client 
  8. # 聲明這是一個公開的客戶端,否則不能在keycloak外部環(huán)境使用,會403 
  9.   public-client: true 
  10. # 這里就是配置客戶端的安全約束,就是那些角色映射那些資源 
  11.   security-constraints: 
  12. # 角色和資源的映射關(guān)系。下面是多對多的配置方式 ,這里只配置base_user才能訪問 /foo/bar 
  13.     - auth-roles: 
  14.         - base_user 
  15.       security-collections: 
  16.         - patterns: 
  17.             - '/foo/bar' 

然后啟動Spring Boot應(yīng)用并在瀏覽器中調(diào)用http://localhost:8080/foo/bar,你會發(fā)現(xiàn)瀏覽器會跳轉(zhuǎn)到下面這個地址:

  1. http://localhost:8011/auth/realms/felord.cn/protocol/openid-connect/auth?response_type=code&client_id=springboot-client&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Ffoo%2Fbar&state=20e0958d-a7a9-422a-881f-cbd8f25d7842&login=true&scope=openid 

OIDC認(rèn)證授權(quán)登錄

走的是基于OIDC(OAuth 2.0的增強版)的認(rèn)證授權(quán)模式。只有你正確填寫了用戶名和密碼才能得到/foo/bar的正確響應(yīng)。

總結(jié)

請注意:這是系列文章,請點擊文章開頭的#keycloak查看已有章節(jié)。

我們僅僅進(jìn)行了一些配置就實現(xiàn)了OIDC認(rèn)證授權(quán),保護了Spring Boot中的接口,這真是太簡單了。不過看了這一篇文章后你會有不少疑問,這是因為你不太了解OIDC協(xié)議。這個協(xié)議非常重要,大廠都在使用這個協(xié)議。下一篇會針對這個協(xié)議來給你補補課。本文的DEMO已經(jīng)上傳到Git,你可以關(guān)注公眾號:碼農(nóng)小胖哥 回復(fù) keycloak3獲取DEMO。多多點贊、再看、轉(zhuǎn)發(fā)、評論、有飯恰才是胖哥創(chuàng)作分享的動力。

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」,可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。

 

責(zé)任編輯:武曉燕 來源: 碼農(nóng)小胖哥
Spring Boot應(yīng)用Keycloak
相關(guān)推薦

2017-04-25 10:46:57

Spring BootRESRful API權(quán)限

2023-12-08 12:12:21

2024-01-15 08:21:12

Android應(yīng)用方式

2025-02-18 07:37:21

2021-11-05 13:35:35

Spring BooK8SJava

2022-02-09 20:39:52

Actuator應(yīng)用監(jiān)控

2025-03-13 07:33:46

Spring項目開發(fā)

2022-01-07 07:29:08

Rbac權(quán)限模型

2022-08-30 08:55:49

Spring權(quán)限控制

2022-08-30 08:36:13

Spring權(quán)限控制

2022-08-15 08:45:21

Spring權(quán)限控制

2022-08-30 08:43:11

Spring權(quán)限控制

2022-08-15 08:42:46

權(quán)限控制Spring

2010-07-19 21:31:42

2022-08-30 08:50:07

Spring權(quán)限控制

2022-02-15 07:35:12

服務(wù)器KeycloakOAuth2

2010-09-17 20:28:29

2020-05-07 10:18:06

JavaScript前端技術(shù)

2023-01-13 08:11:24

2017-09-20 09:46:38

Spring BootSpring Clou內(nèi)存
點贊
收藏

51CTO技術(shù)棧公眾號