关于java:Keycloak简单几步实现对Spring-Boot应用的权限控制

咱们在上一篇初步尝试了 keycloak，手动建设了一个名为felord.cn 的realm并在该 realm 下建了一个名为 felord 的用户。明天就来尝试一下对应的 Spring Boot Adapter，来看看keycloak 是如何爱护 Spring Boot 利用的。

置信不少同学用过微信开放平台、蚂蚁开放平台。首先咱们须要在这些开放平台上注册一个客户端以获取一套相似用户名和明码的凭证。有的叫 appid 和secret；有的叫 clientid 和secret，都是一个意思。其实 keycloak 也差不多，也须要在对应的 realm 中注册一个客户端。下图不仅仅清晰地阐明了 keycloak 中Masterrealm和自定义 realm 的关系，还阐明了在一个 realm 中用户和客户端的关系。

咱们须要在 felord.cn 这个 realm 中建设一个客户端：

创立结束后你会发现 felord.cn 的客户端又多了一个：

你能够通过 http://localhost:8011/auth/realms/felord.cn/account/ 来登录创立的用户。

而后咱们对客户端 spring-boot-client 进行编辑配置：

为了测试，这里我只填写了设置选项卡中惟一的必填项 无效的重定向 URI，这个选项的意思就是客户端 springboot-client 的所有 API 都会收到权限管控。

基于角色的权限管制是目前支流的权限管制思维，keycloak也采取了这种形式。咱们须要建设一个角色并授予上一篇文章中建设的用户felord。咱们来创立一个简略的角色：

keycloak的角色性能十分弱小，在前面的系列文章中胖哥会和大家深刻学习这个概念。

而后咱们把下面创立的角色 base_user 赋予用户felord:

到这里用户、角色、角色映射都搞定了，就剩下在客户端上定义资源了。

咱们能够通过上面这个形式获取用户登录的 JWT 对:

 POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1
Host: localhost:8011
Content-Type: application/x-www-form-urlencoded
 
client_id=springboot-client&username=felord&password=123456&grant_type=password

会失去：

 {
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiS 省略",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAi 省略",
    "token_type": "Bearer",
    "not-before-policy": 0,
    "session_state": "2fc7e289-c86f-4f6f-b4d3-1183a9518acc",
    "scope": "profile email"
}

刷新 Token 只须要把 refresh_token 带上，把 grant_type 改为 refresh_token 就能够刷新 Token 对了，上面是申请刷新的报文：

 POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1
Host: localhost:8011
Content-Type: application/x-www-form-urlencoded
 
client_id=springboot-client&grant_type=refresh_token&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJlYWE2MThhMC05Y2UzLTQxZWMtOTZjYy04MGQ5ODVkZjJjMTIifQ.eyJleHAiOjE2MjU3NjI4ODYsImlhdCI6MTYyNTc2MTA4NiwianRpIjoiZjc2MjVmZmEtZWU3YS00MjZmLWIwYmQtOTM3MmZiM2Q4NDA5IiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo4MDExL2F1dGgvcmVhbG1zL2ZlbG9yZC5jbiIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6ODAxMS9hdXRoL3JlYWxtcy9mZWxvcmQuY24iLCJzdWIiOiI0YzFmNWRiNS04MjU0LTQ4ZDMtYTRkYS0wY2FhZTMyOTk0OTAiLCJ0eXAiOiJSZWZyZXNoIiwiYXpwIjoic3ByaW5nYm9vdC1jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiZDU2NmU0ODMtYzc5MS00OTliLTg2M2ItODczY2YyNjMwYWFmIiwic2NvcGUiOiJwcm9maWxlIGVtYWlsIn0.P4vWwyfGubSt182P-vcyMdKvJfvwKYr1nUlOYBWzQks

留神：两个申请的 content-type都是application/x-www-form-urlencoded。

建一个很传统的 Spring Boot 利用，别忘了带上 Spring MVC 模块，而后退出 keycloak 的starter:

         <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-spring-boot-starter</artifactId>
            <version>14.0.0</version>
        </dependency>

以后 keycloak 版本是14.0.0。

而后轻易编写一个 Spring MVC 接口：

 /**
 * @author felord.cn
 * @since 2021/7/7 17:05
 */
@RestController
@RequestMapping("/foo")
public class FooController {@GetMapping("/bar")
    public String bar(){return "felord.cn";}
 
}

接下来，咱们申明定义只有 felord.cnrealm 中蕴含 base_user 角色的用户能力拜访 /foo/bar 接口。那么定义在哪儿呢？咱们先在 spring boot 中的 application.yml 中动态定义，后续会实现动态控制。配置如下：

 keycloak:
# 申明客户端所在的 realm
  realm: felord.cn
# keycloak 受权服务器的地址
  auth-server-url: http://localhost:8011/auth
# 客户端名称
  resource: springboot-client
# 申明这是一个公开的客户端，否则不能在 keycloak 外部环境应用，会 403
  public-client: true
# 这里就是配置客户端的平安束缚，就是那些角色映射那些资源
  security-constraints:
# 角色和资源的映射关系。上面是多对多的配置形式，这里只配置 base_user 能力拜访 /foo/bar
    - auth-roles:
        - base_user
      security-collections:
        - patterns:
            - '/foo/bar'

而后启动 Spring Boot 利用并在浏览器中调用http://localhost:8080/foo/bar，你会发现浏览器会跳转到上面这个地址：

http://localhost:8011/auth/realms/felord.cn/protocol/openid-connect/auth?response_type=code&client_id=springboot-client&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Ffoo%2Fbar&state=20e0958d-a7a9-422a-881f-cbd8f25d7842&login=true&scope=openid

走的是基于 OIDC(OAuth 2.0 的增强版) 的认证受权模式。只有你正确填写了用户名和明码能力失去 /foo/bar 的正确响应。

请留神：这是系列文章，请点击文章结尾的 #keycloak 查看已有章节。

咱们仅仅进行了一些配置就实现了 OIDC 认证受权，爱护了 Spring Boot 中的接口，这真是太简略了。不过看了这一篇文章后你会有不少疑难，这是因为你不太理解 OIDC 协定。这个协定十分重要，大厂都在应用这个协定。下一篇会针对这个协定来给你补补课。本文的 DEMO 曾经上传到 Git，你能够关注公众号：码农小胖哥 回复 keycloak3 获取 DEMO。多多点赞、再看、转发、评论、~~有饭恰~~ 才是胖哥创作分享的能源。

关注公众号：Felordcn 获取更多资讯

集体博客：https://felord.cn

关于java:Keycloak简单几步实现对Spring-Boot应用的权限控制

客户端

角色

角色映射给用户

获取和刷新 JWT

Spring Boot 客户端

总结

Just My Socks（注册教程内含优惠码）

	POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1
	Host: localhost:8011
	Content-Type: application/x-www-form-urlencoded

	client_id=springboot-client&username=felord&password=123456&grant_type=password

	{
	"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiS 省略",
	"expires_in": 300,
	"refresh_expires_in": 1800,
	"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAi 省略",
	"token_type": "Bearer",
	"not-before-policy": 0,
	"session_state": "2fc7e289-c86f-4f6f-b4d3-1183a9518acc",
	"scope": "profile email"
	}

	<dependency>
	<groupId>org.keycloak</groupId>
	<artifactId>keycloak-spring-boot-starter</artifactId>
	<version>14.0.0</version>
	</dependency>

	/**
	* @author felord.cn
	* @since 2021/7/7 17:05
	*/
	@RestController
	@RequestMapping("/foo")
	public class FooController {@GetMapping("/bar")
	public String bar(){return "felord.cn";}

	}

	keycloak:
	# 申明客户端所在的 realm
	realm: felord.cn
	# keycloak 受权服务器的地址
	auth-server-url: http://localhost:8011/auth
	# 客户端名称
	resource: springboot-client
	# 申明这是一个公开的客户端，否则不能在 keycloak 外部环境应用，会 403
	public-client: true
	# 这里就是配置客户端的平安束缚，就是那些角色映射那些资源
	security-constraints:
	# 角色和资源的映射关系。上面是多对多的配置形式，这里只配置 base_user 能力拜访 /foo/bar
	- auth-roles:
	- base_user
	security-collections:
	- patterns:
	- '/foo/bar'

关于java:Keycloak简单几步实现对Spring-Boot应用的权限控制

客户端

角色

角色映射给用户

获取和刷新 JWT

Spring Boot 客户端

总结

Just My Socks（注册教程 内含优惠码）

Just My Socks（注册教程内含优惠码）