OAuth2 服务器Keycloak中的Realm

于 2024-06-28 04:53:53 发布
阅读量629 收藏 28
点赞数 9
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85763924/article/details/140030144
版权

前几篇我和大家一起对Keycloak进行了粗略的了解。随着逐步的了解,我发现进入了一个误区,原本以为Spring Security整合Keycloak的重心在于Spring Security这一方面,事实上,我发现Keycloak关于Spring Security的Adapter的几个过滤器并没有可操作的空间,或许需要等弄明白了Keycloak本身之后才能有突破。所以今天我要弄明白的是Keycloak中的Realm

Realm

Realm翻译成中文为领域。用来逻辑隔离一些特定空间,有点多租户的感觉,不同的Realm之间互相隔离,有各自的特色配置,互不影响。

什么时候用到Realm

当特定数量用户之间需要隔离的时候、一系列服务需要统一进行资源管理的时候就用到了Realm。可能我描述的不够全面,至少目前我能感觉到的就是这样。

![](https://img-blog.csdnimg.cn/img_convert/8e912d8c9
f03ee2b77754411f08598e9.png)realm包含的核心概念

比如我们需要开发一个应用,应用部署域名为felord.cn。我们可以这么定义一个名称为felord.cn的Realm,来管理该应用的角色、资源、和客户端,客户端开发可以专注于业务。整个Keycloak就像一个开放平台一样,集中式管理Realm的生命周期,这些Realm之间可以在OIDC协议下互联互通。

Master Realm

如果你看过之前我关于Keycloak的文章,可能会记得第一次启动Keycloak时会接触一个叫Master的Realm。这个是Keycloak内建的Realm,它的作用有点类似Linux中的root用户,主要是管理其它的Realm,Master Realm中的管理员账户有权查看和管理在Keycloak服务器实例上创建的任何其它Realm。

而且你会发现Master Realm创建的领域实际上是Master Realm的一个客户端,甚至它自己都是自己的客户端,而且名称遵循<realm name>-realm

而且你会发现Master Realm中创建的用户可以赋予其独有的两种角色:

  • admin 超级管理员,拥有管理Keycloak服务器上任何realm的完全访问权限。

  • create realm 拥有该角色就可以创建realm并获得该realm的完全管理权。

建议Master Realm用来管理其它Realm而不参与具体的业务。

其它Realm

其它Realm是指用Master创建的Realm。创建其它Realm非常简单,通过Master Realm的管理员即可创建。创建成功会有一些选项可供配置,但是一般情况下使用默认配置即可。

设置Realm管理账户

为前面我初始化的Realmfelord.cn创建独立的管理员账户有两种方式。

使用Master用户管理

我们在Master Realm中建立一个用户,并在其角色映射中剥夺admincreate-realm角色,同时在Client Roles中选中felord.cn-realm 把该客户端的所有角色都赋予建立的用户。例如:

这个用户属于Master的用户,但是管理着felord.cnRealm。你可以通过下面的格式的链接进行控制台管理操作:

http:///auth/admin/master/console/#/realms/{realm-name}

使用领域客户端用户管理

另一种方法是在felord.cn领域下建立一个用户,把其客户端realm-management的所有客户端角色赋予给该用户。这个用户属于felord.cn,因此只能通过以下链接登录管理控制台管理该领域:

http:///auth/admin/{realm-name}/console

一个用户只能从属于一个Realm。

扩展

Keycloak Admin Client是通过API操作管理Realm的一个客户端工具,我在上一篇已经介绍过了。结合本篇的一些概念可能你会更加深刻的理解如果操作管理Realm。

往期推荐

Java 17 将至,可能带来哪些新特性呢?

机械妖姬上门要源码后续结果来了!
重磅消息:Spring 6 和Spring Boot 3
短信验证码登录流程思路及详细步骤
反996,竟反掉了17%的薪水?!而隔壁的房贷还在涨,怎么就越反越糟糕了呢?

最后

小编这些年深知大多数初中级工程师,想要提升自己,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此我收集整理了一份《2024年Java全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你需要这些资料,⬅专栏获取
图片转存中…(img-G7e28BYg-1719521622354)]

[外链图片转存中…(img-1EyNqL0e-1719521622355)]

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你需要这些资料,⬅专栏获取

2401_85763924
关注
  • 9
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro集成OAuth2学习体会
香菇猫的博客
09-21 9241
学习OAuth2体会
passport-keycloak-oauth2-oidc:使用 OAuth2OIDC API 使用 Keycloak 进行身份验证的 Passport.js 策略
05-30
安装$ npm install passport-keycloak-oauth2-oidc用法创建应用程序在使用passport-keycloak-oauth2-oidc ,您必须使用passport-keycloak-oauth2-oidc创建一个realm和client 。配置策略Keycloak身份验证策略通过使用...
通过java语言操作keyclak创建realm、client、user等操作
Deschampszzzz的博客
05-02 2033
    在keyclaok管理页面操作创建realm、client等总归是不合适的,所以keycloak为它的使用者提供了代码嵌入。如果你使用的是Java语言,可以参考本文。 第一步,在pom里引入keycloak-admin-client     keycloak为Java用户提供了keycloak-admin-client包用来管理客户端Api,如创建realm、client,注册用户等操作。 <dependency> <groupId>org.keycloak&
基于OAUTH2的统一认证的实例解析
热门推荐
Cowboy
03-28 1万+
非常感谢 http://www.imooc.com/article/10931 OAuth 2.0技术学习 https://www.itkc8.com 在一个单位,可能是存在多个不同的应用,比如学校会有财务的系统会有学生工作的系统,还有图书馆的系统等等,如果每个系统都用独立的账号认证体系,会给用户带来很大困扰,也给管理带来很大不便。所以需要设计一种统一登录的解决方案。比如我登陆了百度账号,进...
Keycloak入门之使用篇(一)
phdbutbachelor的博客
01-03 1234
Keycloak域、用户、分组管理
keycloak压缩包
06-22
2. 认证与授权:Keycloak提供基于OAuth 2.0、OpenID Connect等标准的认证服务。它还支持基于角色的访问控制(RBAC)和资源权限表达式(ABAC)。 3. 单点登录(SSO):Keycloak可以为多个应用提供统一的登录体验,...
keycloak安装服务文件
04-04
配置Keycloak的默认配置文件`standalone.xml`或`standalone-ha.xml`,根据需要调整服务器端口、数据库连接等参数。 5. 启动Keycloak服务: 使用以下命令启动Keycloak服务(请将`x.y.z`替换为您实际的Keycloak版本号...
keycloak资料支持下载
最新发布
05-09
2. 单点登录:Keycloak支持多种协议如OAuth 2.0、OpenID Connect等,允许用户在一个地方登录后,无须再次认证即可访问多个应用系统。 3. 权限管理:Keycloak的权限服务可进行角色分配,实现精细的权限控制,如基于...
spring boot keycloak
07-27
在`application.properties`或`application.yml`,配置Keycloak的相关属性,如服务器地址、Realm、客户端ID和秘钥: ```properties keycloak.realm=your_realm_name keycloak.auth-server-url=...
使用编码方式实现keycloak用户注册、登陆、客户端创建、realm创建
Mzhen1991的博客
12-29 3132
导入maven依赖包 <!-- 认证客户端API 登陆需要用到的 --> <dependency> <groupId>org.keycloak</groupId> <artifactId>keycloak-authz-client</artifactId> <version>${keycloak.version}</version> </dependency> <!
springboot-shiro多realm认证授权集成oauth2+jwt单点
weixin_45623983的博客
04-19 2544
一.第三方授权登录 1.用户在前端页面发起微信登录 2.后端根据clientId和clientSecret以及自定义第三方来源标识组装授权url,让前端重定向该url 3.用户确定授权,第三方回调到后端接口 4.后端获取用户标识与用户信息存表或与系统用户表关联 ...
一款强大的开源认证和访问控制利器:KeyCloak 太牛了!
Java知音
01-18 1177
安装&初始化下载http://www.keycloak.org/downloads.html笔者下载的是“Standalone server distribution” 。安装&启动安装Keycloak非常简单,步骤如下:解压下载下来的安装包将目录切换到KEYCLOAK_PATH/bin ,其KEYCLOAK_PATH是您Keycloak的根目录执行./standalone.sh...
springboot结合oauth2实现权限认证
qq_25460159的博客
09-28 2622
1.什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 2.优点 体积小、传输快 支持跨域授权,因为跨域无法共享cookie 分布
开源认证和访问控制的利器keycloak使用简介
ZL_1618的博客
12-30 1005
上面的例子我们演示了如何配置keycloak,并且创建一个realm供第三方程序使用。还举了一个无侵入的例子来和keycloak对接。当然,有朋友会问了,vanilla程序是怎么和keycloak对接的呢?如果我们要写一个自己的程序,应该怎么做呢?别急,细节我会在后面的文章进行分享,敬请期待。本文作者:flydean程序那些事本文来源:flydean的博客们要写一个自己的程序,应该怎么做呢?别急,细节我会在后面的文章进行分享,敬请期待。本文作者:flydean程序那些事。
【springboot】处理shiro多realm的自定义异常捕获问题
dan339811953的专栏
03-11 2904
前言 1、基于springboot前后端分离项目,基于shiro做权限校验 2、多个realm:1)userRealm:校验登陆验证码; 2) OauthRealm:校验登陆后请求token 3、springboot版本 2.1.1 shiro版本 1.3.2 4、急着处理问题的可以直接看最下面解决的 O(∩_∩)O~ 问题描述 Realm自定义自定义的异常无法正常捕获,均捕获为“A...
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(三)基于springboot&keycloak+vue的前后端分离项目
mltaozi的博客
03-13 3435
本文将介绍如何使用Spring Boot、Keycloak和Vue构建一个具有前后端分离架构的Web应用程序。通过将前端与后端完全独立开发和部署,我们可以实现更高效的团队协作和灵活的技术选型。Spring Boot提供了一个稳定可靠的后台框架,Keycloak提供了身份验证和授权的解决方案,而Vue作为一种灵活易用的前端框架,使我们能够快速开发出优秀的用户界面。这样就实现了一个通过keycloak鉴权的简单前后端分离项目,当springboot版本太高(3.0)的话,也可以集成。
通过管理API管理OAuth2 认证授权服务器Keycloak
码农小胖哥
08-21 1819
在使用Keycloak的时候可能有同学都注意到用户的管理都是通过Keycloak提供的UI来进行的,虽然很方便但是很多时候并不适合在开发使用。比如注册总不能让终端用户直接去Keycloa...
keycloak与istio结合demo
wenwenxiong的专栏
05-16 1659
参考网址:https://github.com/kameshsampath/istio-keycloak-demo 部署keycloak与istio结合的demo 下载源码 git clone https://github.com/kameshsampath/istio-keycloak-demo 部署 keycloak oc apply -f istio-keycloak-...
oauth2服务器搭建
12-16
为了搭建OAuth2服务器,您可以使用现有的OAuth2服务器实现,例如Authlib或OAuthlib。以下是使用Authlib搭建OAuth2服务器的步骤: 1.安装Authlib ```shell pip install authlib ``` 2.创建一个Flask应用程序 ```python from flask import Flask app = Flask(__name__) ``` 3.配置应用程序 ```python from authlib.integrations.flask_oauth2 import AuthorizationServer from authlib.integrations.sqla_oauth2 import create_query_client_func from flask_sqlalchemy import SQLAlchemy app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///oauth2.db' app.config['SQLALCHEMY_TRACK_MODIFICATIONS'] = False app.config['SECRET_KEY'] = 'secret-key' app.config['OAUTH2_REFRESH_TOKEN_GENERATOR'] = True db = SQLAlchemy(app) class User(db.Model): id = db.Column(db.Integer, primary_key=True) username = db.Column(db.String(40), unique=True) password = db.Column(db.String(100)) class Client(db.Model): id = db.Column(db.Integer, primary_key=True) client_id = db.Column(db.String(40), unique=True) client_secret = db.Column(db.String(55), nullable=False) client_name = db.Column(db.String(100), nullable=False) is_confidential = db.Column(db.Boolean) def get_client_id(self): return self.client_id def get_client_secret(self): return self.client_secret def check_redirect_uri(self, redirect_uri): return True def has_user_consent(self, user, scope): return True def get_default_redirect_uri(self): return 'http://localhost:5000/authorized' class OAuth2Client(db.Model): id = db.Column(db.Integer, primary_key=True) client_id = db.Column(db.String(40), db.ForeignKey('client.client_id')) user_id = db.Column(db.Integer, db.ForeignKey('user.id')) user = db.relationship(User) client = db.relationship(Client) token_type = db.Column(db.String(40)) access_token = db.Column(db.String(255)) refresh_token = db.Column(db.String(255)) expires_at = db.Column(db.DateTime) query_client = create_query_client_func(db.session, Client) authorization = AuthorizationServer(app, query_client=query_client) ``` 4.实现授权和令牌端点 ```python from flask import jsonify, request from authlib.oauth2 import OAuth2Error from authlib.oauth2.rfc6749 import grants @app.route('/oauth/token', methods=['POST']) def issue_token(): grant_type = request.form.get('grant_type') if grant_type == 'password': return grants.ResourceOwnerPasswordCredentialsGrant().create_token_response() elif grant_type == 'client_credentials': return grants.ClientCredentialsGrant().create_token_response() elif grant_type == 'refresh_token': return grants.RefreshTokenGrant().create_token_response() raise OAuth2Error('unsupported_grant_type') @app.route('/oauth/authorize', methods=['GET', 'POST']) def authorize(): if request.method == 'GET': try: grant = authorization.validate_consent_request(end_user=User.query.get(1)) return grant.prompt except OAuth2Error as error: return jsonify(dict(error.get_body())) if request.method == 'POST': if request.form['confirm']: grant_user = User.query.get(1) return authorization.create_authorization_response(grant_user=grant_user) return jsonify({'error': 'User denied authorization'}) ``` 5.运行应用程序 ```shell export FLASK_APP=app.py flask run ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值