keycloak的access_token解析 用于后端接口鉴权

已于 2023-04-24 11:25:24 修改
阅读量1.3k 收藏 1
点赞数 2
文章标签: 开发语言 keycloak java 认证鉴权
于 2023-04-24 11:19:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dekudekuku/article/details/130338670
版权

keycloak的access_token解析 用于后端接口鉴权

keycloak 获取token

https://{}:{}/auth/realms/{realm}/protocol/openid-connect/token

{
    "access_token": "...",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "...",
    "token_type": "bearer",
    "id_token": "...",
    "not-before-policy": 0,
    "session_state": "53959d20-c80b-4923-82b8-bd32cd31563c",
    "scope": "openid profile email"
}

access_token: 认证token
expires_in:到期时间
refresh_expires_in:刷新token到期时间

获取access_token后 和bearer拼接到header头中

-authorization:Bearer {access_token}

access_token 解析

1.keycloak的token是3分钟刷新一次,不是长效的token

这里我们只需要拿到 access_token 即可

eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwsia2lkIiA6ICI2ZDViYzFETUljRi1xRWcwTkhnQ0U3a1NEaEV3UlNGb3FVakF2RXo0NVE0In0.eyJleHAiOjE2ODIzMDQ5MzUsImlhdCI6MTY4MjMwNDYzNSwiYXV0aF90aW1lIjoxNjgyMzA0NjMxLCJqdGkiOiI4ZGFiODI4OS01MDM0LjAtOWQ5Mi1mNjBkYzdmODUwZDkiLCJpc3MiOiJodHRwOi8vbHl0YXBpLmxvbmd5b3UuZ292LmNuOjg0NDMvYXV0aC9yZWFsbXMvbHl0IiwiYXVkIjpbImF1dGgtYXBpIiwiYWNjb3VudCJdLCJzdWIiOiIwNjZlN2NjZS05ZjI0LTQ1NzUtOTk3MC1hMmQzYjRkMTllZWEiJ0eXAiOiJCZWFyZXIiLCJhenAiOiJtYW4iLCJub25jZSI6ImYNjU5LTk5NzAtNDBkYi05NTI3LWYyYTlkMTZjMTExOCIsInNlc3Npb25fc3RhdGUiOiI1Mzk1OWQyMC1jODBiLTQ5MjMtODJiOC1iZDMyY2QzMTU2M2MiLCJhY3IiOiIwIiwiYWxsb3dlZC1vcmlnaW5zIjpbImh0dHBzOi8venh3eS5sb25neW91Lmdvdi5jbjo4MDk1IiwiaHR0cHM6Ly95dGgubHllZHV5dW4uY29tIiwiaHR0cHM6Ly9seWZ5ZHAubG9uZ3lvdS5nb3YuY246OTQ0MyIsImh0dHBzOi8vcXdnYy5sb25neW91Lmdvdi5jbiIsImh0dHA6Ly9seS1nYXRld2F5Lm1veW9uLmNuIiwiaHR0cDovLzELjIzNS4xNTQ6MTAwMjEiLCJodHRwczovL3pobG4ubG9uZ3lvdS5nb3YuY24iLCJodHRwczovL2x5Y3MuY2hpbmE5NTA1OS5jb20uY246MTY2NjYiLCJodHRwczovL2x5dGFwaS5sb25neW91Lmdvdi5jbiIsImh0dHBzOi8veWxqei5sb25neW91Lmdvdi5jbiIsImh0dHA6Ly9seWZ5ZHAubG9uZ3lvdS5nb3YuY246ODA4NSJdLCJyZWFsbV9hY2Nlc3MiOnsicm9sZXMsib2ZmbGluZV9hY2Nlc3MiLCJ1bWFfYXV0aG9yaXphdGlvbiJdfSwicmVzb3VyY2VfYWNjZXNzIjp7ImF1dGgtYXZSI6Im9wZW5pZCBwcm9maWxlIGVtYWlsIiwiZW1haWxfdmVyaWZpZWQiOmZhbHNlLCJsuYW1lIjoi5aiBIOaxqiIsInByZWZlcnJlZF91c2VybmFtZSI6Ijc4OTg1OTI3QGRnd29yay5jb20iLCJnaXZlbl9uYW1lIjoi5aiBIiwiZmFtaWx5X25hbWUiOiLmsaoiLCJlbWFpbCI6Ijc4OTg1OTI3QGRnd29yay5jbs20ifQ.dP1XA2IOYZUD7E-HmQ-F3FaJr4XAgcFEaARSWpGu2pgRuq7lRqlWStoCEUFNaimb5-513SNpZEPQ-1cYn2iJgQHjGfbHD_gIVI1hKmoGIRqNONHpqiF_ttixF93bCYWQbp-cF09Yu-pQeKtl6z28yPcjF7OsagvRpBStclgOSEgwWrL2OAcQkiBfy8IVBpF20mu7B4Swar0VppQ0Brv0cMJCpLqKRrvoOXgGLGZxMiBRHKEfpOiClq5WN3Gbx_QuSy_JvXVHR-RfSRrHIUJ0eJFyulFKEjMooEWJ6x0eXiPwvFOhtu9rOa6huXr44MRjQN_aKjcZOPwod0xdtHoY4w

直接去用 base64 解密是失败的,

可以用 . 号区分开三段 ,这三段分别代表着不同的信息

第一段解析之后是keycloak 里realm里key的设置

第二段解析之后是登录返回的用户信息及配置信息

{
    "exp":1682304935,
    "iat":1682304635,
    "auth_time":1682304631,
    "jti":"8d234sdf9-5434-4fb0-9d92-f60234v850d9",
    "iss":"http://{}:8443/auth/realms/{realm}",
    "aud":[
        "auth-api",
        "account"
    ],
    "sub":"066e7cce-9f24-4575-9970-a2d3b4d19eea",
    "typ":"Bearer",
    "azp":"client_id",
    "nonce":"f8a8ew659-9970-40db-9527-f2ade34c1118",
    "session_state":"5395crd20-c80b-4923-82b8-bd32ad2d563c",
    "acr":"0",
    "allowed-origins":[
        "https://{{}}:8095"
    ],
    "realm_access":{
        "roles":[
            "offline_access",
            "uma_authorization"
        ]
    },
    "resource_access":{
        "client_id":{
            "roles":[
                "roles"
            ]
        },
        "client_id":{
            "roles":[
                "roles"
            ]
        },
        "client_id":{
            "roles":[
                "roles"
            ]
        }
    },
    "scope":"openid profile email",
    "email_verified":false,
    "name":"test",
    "preferred_username":"test",
    "given_name":"test",
    "family_name":"test",
    "email":"test"
}

exp:到期时间 注意这个时间戳是秒为单位的
preferred_username:用户信息

代码实例

这里使用springboot自带的拦截器实现

package com.hzlh.handler;


/**
 * 基于keycloke的access token 做接口的鉴权   token每分钟刷新一次
 */
@Component
public class KeycloakAuthInterceptor implements HandlerInterceptor {

  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    String authorization = request.getHeader("authorization");
    if (StrUtil.isEmpty(authorization)){
      response.sendError(HttpServletResponse.SC_UNAUTHORIZED,"Invalid authentication token. Please check your token and try again");
      return false;
    }
    authorization=authorization.replace("Bearer ","");
    String[] splitToken = authorization.split("\\.");
    String decodedToken = new String(Base64.getUrlDecoder().decode(splitToken[1]), StandardCharsets.UTF_8);
    JSONObject jsonObject = JSONObject.parseObject(decodedToken);
    //获得用户信息  可做用户校验这边只简单判空
    String preferred_username = jsonObject.getString("preferred_username");
    if (StrUtil.isEmpty(preferred_username)){
      response.sendError(HttpServletResponse.SC_UNAUTHORIZED,"Invalid authentication token. Please check your token and try again");
      return false;
    }
    //令牌过期时间
    String expTime = jsonObject.getString("exp");
    if (StrUtil.isEmpty(expTime)){
      response.sendError(HttpServletResponse.SC_UNAUTHORIZED,"Invalid authentication token. Please check your token and try again");
      return false;
    }
    long l = System.currentTimeMillis()/1000;
    if (l > Convert.toLong(expTime)){
      response.sendError(HttpServletResponse.SC_UNAUTHORIZED,"Invalid authentication token. Please check your token and try again");
      return false;
    }
    return true;
  }
}
  • 拦截器注册
package com.hzlh.config;


@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new KeycloakAuthInterceptor())
                .addPathPatterns(
                        //拦截请求
                );
    }
}

注:本文涉及的密钥都是参了假数据的所以不要尝试解析,以你的数据为准

八月份的天气
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信公众号平台接口开发 获取access_token过程解析
01-19
我们要的得到AccessToken,这是所有接口访问的基础,我们看看官方给出的接口调用文档 很简单明了,grant_type=client_credential,这是固定的不会变 appid与secret就是前面一章我叫大家记起来的那个认证口令数据。 ...
如何基于python对接钉钉并获取access_token
12-20
1.首先注册应用,获取 appkey、... ...def get_token(): # try: res = requests.get(api_url) if res.status_code == 200: str_res = res.text token = (json.loads(str_res)).get('access_token') return token 2
keycloak 使用 postman 获取 token 信息
bubaiyi的博客
08-06 1693
1.post 请求 2.地址 http://ip:端口/auth/realms/域名/protocol/openid-connect/token 3.请求参数选择body 选择 x-www-form-urlencoder 4.参数 grant_type password client_id admin-cli username 你的用户名 password 你的密码
Keycloak获取Token示例及遇到的坑
半斤米粉闯天下的博客
08-31 2万+
一张图,同事提供的,比较清晰的解释了Keycloak的整体结构 Keycloak最顶层是基于realm的,可以理解为领域,命名空间等。每个realm之间没有任何关系,属于相互独立的两个系统。Client对应具体的应用,比如每一个微服务就是一个Client。 对于Keycloak的所有操作都要经过认证,包括访问REST接口,没有携带有效token的话会报401未授权。获取Token主要有两种...
keycloak-通过keycloak服务API操作用户
最新发布
YSTXDONG的专栏
03-04 1161
keycloak版本:23.0.7我的这篇博客中有简单配置方式,不赘述。keycloak有自己的用户体系,但是为第三方服务鉴权时可能会用到第三方服务的用户体系。这时候操作第三方服务的用户体系时可以通过API同步操作到keycloak中。官方文档:API列表。
KeyCloak API调用配置
zccoften的博客
05-16 655
keycloak使用
通过refresh_token进行token的续签,让用户在无感的情况下,持续更新token
weixin_59225080的博客
10-21 1386
登录时将token和refresh_token一同存储到localStorage中 methods: { // 点击登陆按钮事件 async onSubmit (values) { try { // 接收响应内容 const res = await userLoginAPI({ xxx }) console.log(res) // 将token 和 refresh_token 存入localStorage ..
vuekeyclock 集成
Christina0109的博客
11-13 475
vue集成keyclock
基于Keycloak的权限控制
m0_49294242的博客
10-30 791
Keycloak的授权功能负责设置哪些资源(resource)的那些范围(scope)要被权限控制。资源通常是一个或者一组URI,比如/protected/*,而范围(scope)是一个很灵活的概念,既可以是对资源的CRUD,也可以是具有某一种特质的一组对象。通常,我们可以用scope来标识对资源的CRUD,比如:urn:demo:protected:view,urn:demo:protected:delete等等。下面的部分,我称之为执行策略,负责设置执行权限的方式。
Keycloak各种配置及API的使用
热门推荐
wdquan19851029的专栏
01-09 11万+
介绍要完成SSO功能,所需要的keycloak API接口及其介绍。
keycloaktoken 中获取自己想要用户信息
bubaiyi的博客
04-25 4234
1.在UserEntity中添加自己想要的字段 2.在UserAdapter类的getAttributes方法中 3.将用户信息配置到token 中 在Clients->Mappers->Create 选择User Attrubute 按照自己的提示添加 4.在使用的时候解析Token 获取自己想要的值 import com.fasterxml.jackson.annotation.JsonIgnoreProperties; import com.fasterxml.jackson.
Keycloak快速入门及Springboot整合
peihj的博客
09-14 1746
Realm字面意思是领域,指的是在某一个软件业务领域中所涉及的用户认证授权管理相关的对象,在这个realm下有用户、角色、会话(session)等等用于认证授权管理的对象。假设我们有两个web服务器,我们需要使用keycloak来对我们的资源进行保护,只有用户登录以后才能访问到这两个服务器的资源,否则就要跳转到登录页面。所以我们要在两个服务之前加一个gateway层,在这一层对用户请求进行拦截,验证用户是否已经登录,如果没有的话,就要引导用户去到keycloak登录页面,认证以后再跳转回到要访问的页面。
Keycloak服务授权
JosephThatwho的博客
09-28 4089
1. 概述 keycloak支持细粒度的授权策略,并且可以和不同的访问控制机制结合,比如: 基于属性的访问控制 ABAC 基于角色的访问控制 RBAC 基于用户的访问控制 UBAC 基于上下文的访问控制 CBAC 基于规则的访问控制 基于时间的访问控制 通过策略服务的SPI自定义访问控制策略 keycloak通过一组管理界面和RESTful接口提供创建权限的必要方法,这些权限用户保护资源和作用域,把权限和鉴权策略绑定,就可以在应用或服务中执行鉴权。 资源服务器(应用或者服务)通常会基于一些信息来决定使用
微信公众平台开发-如何保证access_token长期有效
05-06
博客教程《微信公众平台开发教程第22篇-如何保证access_token长期有效》的配套代码,教程地址如下: http://blog.csdn.net/lyq8479/article/details/25076223
详解微信开发access_token之坑
08-26
access_token分类一是普通access_token,二是网页授权access_token。这篇文章主要介绍了详解微信开发access_token之坑,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Keycloak获取Token信息
qq_37597428的博客
08-27 843
获取Keycloak更高级别的权限,可以控制Keycloak的一些高级行为,例如清除缓存(Xxx.java)包括: accessToken、refreshToken、idToken。获取普通用户的token信息(Xxx.java
keycloak基于servlet的用户身份认证
weixin_42786532的博客
11-12 945
keycloak基于servlet的用户身份认证 servlet基于AuthenticatorBase的安全认证 一个servlet通过一个叫authenticator的阀门(valve)来支持安全性限制。当容器启动的时候,authenticator被添加到容器的流水线上(一整条流水线:StandardEngineValve->StandardHost->ErroReportValve->StandardContextValve->AuthenticatorValve->Sta
java 获取保存的id_java – 使用Keycloak获取id_token
weixin_42360703的博客
03-02 549
谁知道如何使用Keycloak获取id_token?我一直在使用Java中的Keycloak(Spring,JEE)和邮递员.基础工作正常,但我需要id_token,因为有些声称它们不存在于access_token中,但它们存在于id_token中.使用keycloak-core库我可以获得Keycloak上下文,但id_token属性始终为null.有些想法?解决方法:如果您使用的是keyclo...
java动态令牌验证_Serverside使用Bearer令牌以编程方式在Java中对Keycloak用户进行身份验证...
weixin_39997695的博客
02-27 158
我想使用Keycloak和Bearer令牌在我的Java REST端点中对用户进行身份验证.我想要实现的工作流程如下:>客户端使用用户名和密码登录Keycloak.> Keycloak返回一个Bearer令牌(JWT,如果我没错,我该怎么检查?).>客户端使用’授权’执行Http请求:’承载‘头.> REST端点(用Java编写)检查收到的令牌是否正确,并验证从Keyclo...
access_token = '[调用鉴权接口获取的token]'有没有具体的例子
06-13
当你调用某些需要鉴权接口时,需要先获取一个access_token。具体的例子如下: ```python import requests # 请求参数 grant_type = 'client_credential' # 固定值,表示使用客户端密钥方式获取access_token appid = '你的应用ID' secret = '你的应用密钥' # 请求url url = f'https://api.weixin.qq.com/cgi-bin/token?grant_type={grant_type}&appid={appid}&secret={secret}' # 发送请求 response = requests.get(url) # 解析响应结果 result = response.json() access_token = result.get('access_token') print(access_token) # 打印获取到的access_token ``` 上面的代码实现了通过微信公众号开发的方式获取access_token,其他接口的获取方式可能会有所不同,但大体流程是类似的。注意:在实际使用中,应该使用自己的应用ID和应用密钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值