keycloak-鉴权springboot3后端服务

最新推荐文章于 2024-05-27 19:17:19 发布
最新推荐文章于 2024-05-27 19:17:19 发布
阅读量345 收藏 4
点赞数 3
分类专栏: keycloak 文章标签: spring boot 后端 java keycloak
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YSTXDONG/article/details/139134991
版权

一、问题描述

springboot一般都用于后端服务,所以keycloak只需要验证JWT是否满足鉴权即可,此方式在keycloak中客户端配置bear-only方式。然而springboot3不再直接集成keycloak,yml中直接配置keycloak不起作用。那么,springboot3如何集成keycloak鉴权jwt呢?

二、解决方案

2.1 环境描述

springboot:3.0.1

keycloak: 18.0.1

2.2 解决方案

1、pom.xml 引入jar包

集成5个包,包括keycloak两个,security一个,oauth2两个(jwt方式集成keycloak)

        <!-- 集成keycloak所需要的包 - 开始 -->
        <!-- 管理员客户端API   注册和创建client、realm需要用到的 -->
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-admin-client</artifactId>
            <version>18.0.1</version>
        </dependency>
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-spring-boot-starter</artifactId>
            <version>18.0.1</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-client</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
        </dependency>
        <!-- 集成keycloak所需要的包 - 结束 -->

2、application.yml配置

将keycloak鉴权集成到jwt中,springboot已集成了jwt

spring:
  #keycloak 鉴权相关配置
  security:
    oauth2:
      resourceserver:
        jwt:
          # user-login 是我的一个域(realms)
          issuer-uri: https://127.0.0.1:8443/realms/user_login
          jwk-set-uri: https://127.0.0.1:8443//realms/user_login/protocol/openid-connect/certs

至此,已经可以keycloak鉴权了,如果来自前端的请求没有带正确Authorization会被拦截返回401,但是,如何放行部分链接呢?请看第三步

3、注入 securityFilterChain Bean,直接粘贴代码吧

package com.hlxx.finance.config;

import com.hlxx.finance.controller.FinanceController;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.JwtDecoders;
import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter;
import org.springframework.security.oauth2.server.resource.authentication.JwtGrantedAuthoritiesConverter;
import org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationEntryPoint;
import org.springframework.security.oauth2.server.resource.web.access.BearerTokenAccessDeniedHandler;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.security.web.context.SecurityContextPersistenceFilter;

import java.io.IOException;

/**
 * Keycloak对应的Security文件
 * 解决方案来自于 GPT4.0 + 智谱清言
 */
@Configuration
@EnableWebSecurity
public class SecurityConfigKeyCloak {
    private static Logger logger = LoggerFactory.getLogger(SecurityConfigKeyCloak.class);
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .addFilterBefore(new LoggingFilter(), SecurityContextPersistenceFilter.class) // 添加拦截器在Spring Security过滤器链之前
                // 其他安全配置...
                .csrf(csrf -> csrf
                        .ignoringRequestMatchers("/public/**") // 为特定URL禁用CSRF保护
                )
                .authorizeHttpRequests(authorizeRequests -> authorizeRequests
                    .requestMatchers("/public/**").permitAll() // 放行公开的链接
                    .anyRequest().authenticated()
                )
                .oauth2ResourceServer(oauth2 -> oauth2
                    .jwt(jwt -> jwt
//                            .decoder(jwtDecoder())
                            .jwtAuthenticationConverter(jwtAuthenticationConverter())
                    )
                )
                // 使用新的配置器替代 exceptionHandling()
                .exceptionHandling(exceptionHandling -> exceptionHandling
                    .authenticationEntryPoint(new CustomBearerTokenAuthenticationEntryPoint())
                    .accessDeniedHandler(new CustomAccessDeniedHandler())
                );



        return http.build();
    }

//    @Bean
//    public JwtDecoder jwtDecoder() {
//        // 配置 JWT 解码器
//        return JwtDecoders.fromIssuerLocation("http://127.0.0.1:8080/realms/user_login");
//    }

    // 自定义访问被拒绝处理器
    private JwtAuthenticationConverter jwtAuthenticationConverter() {
        System.out.println("被拒绝处理器");
        JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
        converter.setJwtGrantedAuthoritiesConverter(new JwtGrantedAuthoritiesConverter());
        return converter;
    }
    // 自定义访问被拒绝处理器
    private static class CustomBearerTokenAuthenticationEntryPoint implements AuthenticationEntryPoint {
        @Override
        public void commence(HttpServletRequest request, HttpServletResponse response, org.springframework.security.core.AuthenticationException authException) throws IOException, ServletException {
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            response.setContentType(MediaType.APPLICATION_JSON_VALUE);
            response.getWriter().write("{\"code\": 401, \"error\": \"Unauthorized\", \"message\": \"JWT token is invalid or expired\"}");
        }
    }
    // 自定义访问被拒绝处理器
    private static class CustomAccessDeniedHandler implements AccessDeniedHandler {
        @Override
        public void handle(HttpServletRequest request, HttpServletResponse response, org.springframework.security.access.AccessDeniedException accessDeniedException) throws IOException, ServletException {
            response.setStatus(HttpStatus.FORBIDDEN.value());
            response.setContentType(MediaType.APPLICATION_JSON_VALUE);
            response.getWriter().write("{\"code\": 401, \"error\": \"Forbidden\", \"message\": \"Access denied due to invalid credentials\"}");
        }
    }
}

代码中的LoggerFactory是另一个类,用于记录日志调试,代码如下

package com.hlxx.finance.config;

import com.alibaba.fastjson2.JSONObject;
import com.nimbusds.jose.shaded.gson.JsonObject;
import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import java.io.IOException;

@Component
public class LoggingFilter extends OncePerRequestFilter {

    private static final Logger logger = LoggerFactory.getLogger(LoggingFilter.class);
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        try {
            logger.info("Request URL: {}", request.getRequestURL());
            // 其他需要记录的信息
            filterChain.doFilter(request, response);
        } catch (Exception e) {
            // 异常处理
            logger.error("Exception occurred: {}", e.getMessage(), e);
            throw e;
        }
    }
}

至此,问题解决

三、仍然存在的问题

1、放行的链接,如果前端不带Authorization会直接放行,但是带了错误的Authorization还是会拦截。

2、错误的Authorization会返回response为空。

以上两个问题尝试未果,然后通过调整前端去解决了,有遇到的请留言解决方案,感谢。

ystxdong
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot keycloak
07-27
基于spring boot 2.0.3 keycloak 4.0.0最新版本集成。
keycloak-springboot2-adapter
05-17
#Spring Boot 2 + Spring Security + Keycloak 3.4.3 + Keycloak适配器 Keycloak中的第一个导入文件import-realm.json我的keycloak在端口9090中运行 我的Spring Boot应用程序正在运行 密钥斗篷配置位于文件{...
SpringBoot 集成 Keycloak 并获用户和取授权信息
CodingDemo
07-06 1059
Spring boot 集成 keycloak ,获取 授权用户的具体信息
使用Keycloak实现安全的SpringBoot服务
weixin_33816821的博客
03-22 2677
Keycloak是RedHat的开源身份和访问管理解决方案,本文介绍如何在我们的微服务安全模块中使用keycloak,特别是基于SpringBoot的微服务Keycloak 它提供了身份和访问管理的有用功能: 单点登录(SSO),身份代理和社交登录 用户联合 客户端适配器 管理控制台和帐户管理控制台。 虽然安全性是任何应用程序的一个重要方面,但安全性的实现部分是复杂和困难的。通常,它在代码...
spring boot 3.2 整合 keycloak
随便写写
12-08 1688
以上操作完成后,可以访问 spring boot 项目,会自动跳转到 keycloak 登录页面,登录成功后重定向到 spring boot 项目页面。
Spring Security整合KeyCloak保护Rest API
weixin_34306593的博客
02-18 1013
今天我们尝试Spring Security整合Keycloak,并决定建立一个非常简单的Spring Boot服务,使用Keycloak作为我的身份验证源,使用Spring Security处理身份验证和授权。 设置Keycloak 首先我们需要一个Keycloak实例,让我们启动Jboss提供的Docker容器: docker ru...
Spring Boot security集成Keycloak
qq_37590149的博客
05-27 772
集成Spring Security pom.xml引入security <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> application.yml中security-constraints可以删除 application.yml
Spring Boot 3.1中如何整合Spring Security和Keycloak
程序猿DD
06-01 676
在今年2月14日的时候,Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其中包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团队将不再提供针对Spring Security和Spring Boot的集成方案。但是,如此强大的Keycloak,还要用怎么办呢?本文就来聊聊,在最新的Spring Boot 3.1版本之下,如何将KeycloakSpring Security一起跑起来。
使用Spring OAuth2 Login连接Keycloak
m0_49294242的博客
10-24 418
Keycloak是一个开源的IAM(Identity and Access Management),支持OIDC以及SAML协议。通常我们可以直接将它作为用户认证中心。而Spring提供的OAuth2 Login,则支持直接使用配置的方式接入符合OIDC和OAuth2协议的认证服务。本文的重点是介绍如何使用Spring OAuth2 Login来连接配置好的Keycloak,以及它是如何做的。
keycloak-springboot-demo:Spring BootKeycloak SSO集成演示
01-30
"keycloak-springboot-demo" 这个标题表明这是一个示例项目,展示了如何在Spring Boot应用中整合Keycloak实现单点登录(Single Sign-On, SSO)功能。Keycloak是一款开源的身份管理和访问控制服务,它提供身份验证、...
9.0.2 keycloak集成到springboot中例子
03-31
9.0.2 keycloak集成到springboot,数据库用的是mysql8.0.19
keycloak-springboot-helloworld:用于Springboot 1.5.14的Keycloak-3.4.3示例
05-15
"keycloak-springboot-helloworld" 是一个项目名称,表明这是一个与Keycloak集成的Spring Boot应用的示例。它特别指出适用于Spring Boot版本1.5.14,而Keycloak版本为3.4.3。Keycloak是一款开源的身份管理和访问控制...
keycloak-angular:为Angular应用程序轻松设置Keycloak
01-31
一个Keycloak服务,它包装了要在Angular中使用的keycloak-js方法,为原始函数提供了额外的功能,并添加了新方法以使其更易于被Angular应用程序使用。 通用AuthGuard实现,因此您可以自定义自己的AuthGuard逻辑,以...
keycloak-radius-plugin:将Radius服务器作为Keycloak SSO的一部分
04-13
对嵌入式RADIUS服务器使用keycloak身份验证和授权 使用否则,使用Keycloak Radius凭据或OTP 使用Kerberos / ldap凭据(仅当Radius客户端使用PAP授权时) 可以作为半径代理 支持Radsec协议(基于TLS的Radus ) 将...
springboot2集成oauth2和keycloak以及admin rest api
程序员涂小哥的技术博客
08-07 9815
前言 以keycloak作为sso认证中心服务端,springboot2的客户端集成方式有很多种,例如仅集成keycloak的jar包方式、集成spring security的方式、以及security+oauth2的方式等。 上述三种方式,从实现以及功能上来说均是一个比一个复杂。 另外,springboot作为普通客户端的同时,也可以进行更多的集成,进而实现对keycloak服务端的操作,这就涉...
Keycloak宣布不再适配Spring BootSpring Security
程序猿DD
02-15 492
2月14日,????Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其中包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团...
keycloak24整合spring security oauth2
最新发布
livemegoodboy的博客
05-27 708
keycloak24整合spring security oauth2
keycloak18.0.0==前后端分离项目中使用,前端react后端springboot
hebian1994的博客
03-10 1045
这里,后端会从keycloak获取公钥并保存,然后用公钥来验证前端发来的token。新建两个client,一个用于前端,一个用于后端。新建一个realm,名字叫test1。在两个client下分别创建role。启动keycloak18。
keycloak17.0.0+springboot+security 如何自定义keycloak登录回调前端,前后端分离
05-25
您可以使用 KeycloakJavaScript Adapter 来自定义登录回调前端。以下是一些步骤: 1. 安装 `keycloak-js` 包: ``` npm install keycloak-js ``` 2. 在您的前端应用程序中初始化 Keycloak: ```javascript import Keycloak from 'keycloak-js' const keycloak = new Keycloak({ url: 'http://localhost:8080/auth', realm: 'your-realm', clientId: 'your-client-id' }) keycloak.init({ onLoad: 'login-required' }).then(authenticated => { if (authenticated) { console.log('User is authenticated') } else { console.log('User is not authenticated') } }) ``` 3. 在您的登录页面中,使用 Keycloak 的 `login` 方法: ```javascript keycloak.login({ redirectUri: window.location.href // 登录成功后将重定向到当前页面 }) ``` 4. 在 Keycloak 中配置您的回调 URL: - 在 Keycloak 管理控制台中,选择您的客户端 - 转到 “Settings” 选项卡 - 将 “Valid Redirect URIs” 设置为您的前端应用程序的回调 URL 现在,当用户登录时,他们将被重定向到 Keycloak 登录页面。一旦他们进行身份验证并被重定向回您的应用程序,您可以在 `keycloak` 对象中访问用户的令牌和其他信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值