咱们在上一篇初步尝试了keycloak,手动建设了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。明天就来尝试一下对应的Spring Boot Adapter,来看看keycloak是如何爱护Spring Boot利用的。
客户端
置信不少同学用过微信开放平台、蚂蚁开放平台。首先咱们须要在这些开放平台上注册一个客户端以获取一套相似用户名和明码的凭证。有的叫appid和secret;有的叫clientid和secret,都是一个意思。其实keycloak也差不多,也须要在对应的realm中注册一个客户端。下图不仅仅清晰地阐明了keycloak中Masterrealm和自定义realm的关系,还阐明了在一个realm中用户和客户端的关系。
咱们须要在felord.cn这个realm中建设一个客户端:
创立结束后你会发现felord.cn的客户端又多了一个:
你能够通过
http://localhost:8011/auth/realms/felord.cn/account/来登录创立的用户。
而后咱们对客户端spring-boot-client进行编辑配置:
为了测试,这里我只填写了设置选项卡中惟一的必填项无效的重定向URI,这个选项的意思就是客户端springboot-client的所有API都会收到权限管控。
角色
基于角色的权限管制是目前支流的权限管制思维,keycloak也采取了这种形式。咱们须要建设一个角色并授予上一篇文章中建设的用户felord。咱们来创立一个简略的角色:
keycloak的角色性能十分弱小,在前面的系列文章中胖哥会和大家深刻学习这个概念。
角色映射给用户
而后咱们把下面创立的角色base_user赋予用户felord:
到这里用户、角色、角色映射都搞定了,就剩下在客户端上定义资源了。
获取和刷新JWT
咱们能够通过上面这个形式获取用户登录的JWT对:
POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1
Host: localhost:8011
Content-Type: application/x-www-form-urlencoded
client_id=springboot-client&username=felord&password=123456&grant_type=password会失去:
{
"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiS 省略",
"expires_in": 300,
"refresh_expires_in": 1800,
"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAi 省略",
"token_type": "Bearer",
"not-before-policy": 0,
"session_state": "2fc7e289-c86f-4f6f-b4d3-1183a9518acc",
"scope": "profile email"
}刷新Token只须要把refresh_token带上,把grant_type改为refresh_token就能够刷新Token对了,上面是申请刷新的报文:
POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1
Host: localhost:8011
Content-Type: application/x-www-form-urlencoded
client_id=springboot-client&grant_type=refresh_token&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJlYWE2MThhMC05Y2UzLTQxZWMtOTZjYy04MGQ5ODVkZjJjMTIifQ.eyJleHAiOjE2MjU3NjI4ODYsImlhdCI6MTYyNTc2MTA4NiwianRpIjoiZjc2MjVmZmEtZWU3YS00MjZmLWIwYmQtOTM3MmZiM2Q4NDA5IiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo4MDExL2F1dGgvcmVhbG1zL2ZlbG9yZC5jbiIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6ODAxMS9hdXRoL3JlYWxtcy9mZWxvcmQuY24iLCJzdWIiOiI0YzFmNWRiNS04MjU0LTQ4ZDMtYTRkYS0wY2FhZTMyOTk0OTAiLCJ0eXAiOiJSZWZyZXNoIiwiYXpwIjoic3ByaW5nYm9vdC1jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiZDU2NmU0ODMtYzc5MS00OTliLTg2M2ItODczY2YyNjMwYWFmIiwic2NvcGUiOiJwcm9maWxlIGVtYWlsIn0.P4vWwyfGubSt182P-vcyMdKvJfvwKYr1nUlOYBWzQks留神:两个申请的
content-type都是application/x-www-form-urlencoded。
Spring Boot客户端
建一个很传统的Spring Boot利用,别忘了带上Spring MVC模块,而后退出keycloak的starter:
<dependency>
<groupId>org.keycloak</groupId>
<artifactId>keycloak-spring-boot-starter</artifactId>
<version>14.0.0</version>
</dependency>以后keycloak版本是
14.0.0。
而后轻易编写一个Spring MVC接口:
/**
* @author felord.cn
* @since 2021/7/7 17:05
*/
@RestController
@RequestMapping("/foo")
public class FooController {
@GetMapping("/bar")
public String bar(){
return "felord.cn";
}
}接下来,咱们申明定义只有felord.cnrealm中蕴含base_user角色的用户能力拜访/foo/bar接口。那么定义在哪儿呢?咱们先在spring boot中的application.yml中动态定义,后续会实现动态控制。配置如下:
keycloak:
# 申明客户端所在的realm
realm: felord.cn
# keycloak受权服务器的地址
auth-server-url: http://localhost:8011/auth
# 客户端名称
resource: springboot-client
# 申明这是一个公开的客户端,否则不能在keycloak外部环境应用,会403
public-client: true
# 这里就是配置客户端的平安束缚,就是那些角色映射那些资源
security-constraints:
# 角色和资源的映射关系。上面是多对多的配置形式 ,这里只配置base_user能力拜访 /foo/bar
- auth-roles:
- base_user
security-collections:
- patterns:
- '/foo/bar'而后启动Spring Boot利用并在浏览器中调用http://localhost:8080/foo/bar,你会发现浏览器会跳转到上面这个地址:
http://localhost:8011/auth/realms/felord.cn/protocol/openid-connect/auth?response_type=code&client_id=springboot-client&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Ffoo%2Fbar&state=20e0958d-a7a9-422a-881f-cbd8f25d7842&login=true&scope=openid
走的是基于OIDC(OAuth 2.0的增强版)的认证受权模式。只有你正确填写了用户名和明码能力失去/foo/bar的正确响应。
总结
请留神:这是系列文章,请点击文章结尾的
#keycloak查看已有章节。
咱们仅仅进行了一些配置就实现了OIDC认证受权,爱护了Spring Boot中的接口,这真是太简略了。不过看了这一篇文章后你会有不少疑难,这是因为你不太理解OIDC协定。这个协定十分重要,大厂都在应用这个协定。下一篇会针对这个协定来给你补补课。本文的DEMO曾经上传到Git,你能够关注公众号:码农小胖哥 回复 keycloak3获取DEMO。多多点赞、再看、转发、评论、有饭恰才是胖哥创作分享的能源。
关注公众号:Felordcn 获取更多资讯
集体博客:https://felord.cn
