Camunda工作流平台与Keycloak的集成

已于 2022-10-02 17:17:37 修改
阅读量1.7k 收藏 2
点赞数 1
分类专栏: 工作流 安全 文章标签: spring boot
于 2022-09-28 17:01:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzroy/article/details/127088810
版权

Camunda是一个流行的工作流平台,其自带了基本的用户管理功能。Keycloak是业界主流的一个提供OAUTH等协议标准的一个用户验证与授权的平台。这里介绍如何把Camunda与Keycloak相集成,以实现通过Keycloak来统一管理用户的鉴权与授权,用户通过从Keycloak获取Token来调用Camunda的API。这篇文章也是参考了Github的这个仓库来写的,并经过实际测试有效:GitHub - camunda-community-hub/camunda-platform-7-keycloak: Camunda Keycloak Identity Provider Plugin

Keycloak的设置

这里采用Keycloak+PG数据库的方式来启动。PG数据库是和Camunda共用的。通过以下Docker命令来启动:

docker run --name pg12 -v /home/roy/data/pgdata:/var/lib/postgresql/data -e POSTGRES_PASSWORD=postgres -p 5432:5432 -d postgres:12

这里采用Docker的方式来启动Keycloak,命令如下:

docker run -p 9090:8080 --name keycloak --link pg12 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=XXXXX quay.io/keycloak/keycloak:18.0.0 start-dev --db-url jdbc:postgresql://pg12:5432/keycloak --db-username postgres --db-password postgres --db=postgres

运行之后就可以访问localhost:9090来进入到Keycloak的设置了。

在Keycloak里面新建一个名为camunda的realm,然后在clients里面新建一个名为camunda-identity-service的client,配置如下:

 为了能使用refresh token,需要在OpenID Connect Compatibility Modes里面开启选项Use Refresh Tokens For Client Credentials Grant, 如下图:

 在Service Account Roles里面添加query-groups, query-users, view-users这3个Role,如下图:

 在这个camunda的realm里面新建一个用户组camunda-admin,如下图:

Keycloak的设置完成之后,我们就可以用Springboot来集成Camunda了

集成Springboot与Camunda

首先我们需要新建一个Springboot的应用,集成Camunda。具体可以参照我之前的文章:Springboot集成Camunda流程引擎_gzroy的博客-CSDN博客 

添加Keycloak插件

在pom.xml文件里面增加以下依赖:

<dependency>
     <groupId>org.camunda.bpm.extension</groupId>
     <artifactId>camunda-platform-7-keycloak</artifactId>
     <version>${camunda.spring-boot.version}</version>
</dependency>

在src目录新建一个plugin的目录,里面新建一个KeycloakIdentityProvider.java,代码如下:

package com.roy.camunda.plugin;

import org.camunda.bpm.extension.keycloak.plugin.KeycloakIdentityProviderPlugin;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;


@Component
@ConfigurationProperties(prefix="plugin.identity.keycloak")
public class KeycloakIdentityProvider extends KeycloakIdentityProviderPlugin {

}

 在application.yml配置文件中添加以下配置:

camunda.bpm:
  authorization:
    enabled: true

plugin.identity.keycloak:
  keycloakIssuerUrl: http://localhost:9090/realms/camunda
  keycloakAdminUrl: http://localhost:9090/admin/realms/camunda
  clientId: camunda-identity-service
  clientSecret: XXXXXXXXXXXXXXXX
  useEmailAsCamundaUserId: false
  useUsernameAsCamundaUserId: true
  useGroupPathAsCamundaGroupId: true
  administratorGroupName: camunda-admin
  disableSSLCertificateValidation: true

设置Springboot Security

需要在pom.xml里面添加以下依赖:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

需要新增一个KeycloakAuthenticationProvider来连接Spring security和Camunda。在src里面新建一个目录sso,里面新建一个KeycloakAuthenticationProvider.java文件,内容如下:

package com.roy.camunda.sso;

import java.util.ArrayList;
import java.util.List;

import javax.servlet.http.HttpServletRequest;

import org.camunda.bpm.engine.ProcessEngine;
import org.camunda.bpm.engine.rest.security.auth.AuthenticationResult;
import org.camunda.bpm.engine.rest.security.auth.impl.ContainerBasedAuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.client.authentication.OAuth2AuthenticationToken;
import org.springframework.security.oauth2.core.oidc.user.OidcUser;
import org.springframework.util.StringUtils;

/**
 * OAuth2 Authentication Provider for usage with Keycloak and KeycloakIdentityProviderPlugin. 
 */
public class KeycloakAuthenticationProvider extends ContainerBasedAuthenticationProvider {

    @Override
    public AuthenticationResult extractAuthenticatedUser(HttpServletRequest request, ProcessEngine engine) {

        // Extract user-name-attribute of the OAuth2 token
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (!(authentication instanceof OAuth2AuthenticationToken) || !(authentication.getPrincipal() instanceof OidcUser)) {
			return AuthenticationResult.unsuccessful();
		}
        String userId = ((OidcUser)authentication.getPrincipal()).getName();
        if (!StringUtils.hasLength(userId)) {
            return AuthenticationResult.unsuccessful();
        }

        // Authentication successful
        AuthenticationResult authenticationResult = new AuthenticationResult(userId, true);
        authenticationResult.setGroups(getUserGroups(userId, engine));

        return authenticationResult;
    }

    private List<String> getUserGroups(String userId, ProcessEngine engine){
        List<String> groupIds = new ArrayList<>();
        // query groups using KeycloakIdentityProvider plugin
        engine.getIdentityService().createGroupQuery().groupMember(userId).list()
        	.forEach( g -> groupIds.add(g.getId()));
        return groupIds;
    }

}

保护REST API

我们使用JWT来保护rest API的调用,如以下流程:

  1. 客户端在调用camunda rest API之前需要先从keycloak获取JWT
  2. 客户端在调用API的header里面设置JWT
  3. Camunda验证Token并从token中获取用户id和group id

在application.yml里面增加以下配置:

# Camunda Rest API
rest.security:
  enabled: true
  provider: keycloak
  required-audience: camunda-rest-api

为了能让keycloak在生成的JWT里面包括Camunda期望的audience claim,需要配置一个Client Scope,名称为camunda-rest-api,如下图:

 然后再mappers里面新增一个mapper,类型为Audience,然后配置需要的audience camunda-rest-api,如下图:

最后把这个client scope加到之前创建的client Camunda-Identity-Service中,如下图:

以上的配置可以使得经过Camunda-Identity-Service验证的用户能够访问Camunda的rest API

在src目录下新建一个目录rest,然后新建一个文件RestApiSecurityConfig.java,内容如下,其中configure和jwtDecoder这两个函数中被注释的部分是原代码,我测试了发现无法检验token里面的aud以及对用户的role进行校验,因此需要改造一下。另外还新增了一个函数对Keycloak的token中的Role进行转换,即增加ROLE_的前缀。这个设置可以确保只有用户具有admin的role,并且client的audience是camunda-rest-api的才有权限访问engine-rest/的API:

package com.roy.camunda.rest;

import javax.inject.Inject;

import org.camunda.bpm.engine.IdentityService;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.boot.autoconfigure.security.SecurityProperties;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.ApplicationContext;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.core.convert.converter.Converter;
import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClientService;
import org.springframework.security.oauth2.core.DelegatingOAuth2TokenValidator;
import org.springframework.security.oauth2.core.OAuth2TokenValidator;
import org.springframework.security.oauth2.jwt.Jwt;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.JwtValidators;
import org.springframework.security.oauth2.jwt.NimbusJwtDecoder;
import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter;

/**
 * Optional Security Configuration for Camunda REST Api.
 */
@Configuration
@EnableWebSecurity
@Order(SecurityProperties.BASIC_AUTH_ORDER - 20)
@ConditionalOnProperty(name = "rest.security.enabled", havingValue = "true", matchIfMissing = true)
public class RestApiSecurityConfig extends WebSecurityConfigurerAdapter {

	/** Configuration for REST Api security. */
	@Inject
	private RestApiSecurityConfigurationProperties configProps;
	
	/** Access to Camunda's Identity Service. */
	@Inject
	private IdentityService identityService;
	
	/** Access to Spring Security OAuth2 client service. */
	@Inject
	private OAuth2AuthorizedClientService clientService;

	@Inject
	private ApplicationContext applicationContext;
	
	/**
	 * {@inheritDoc}
	 */
	@Override
	public void configure(final HttpSecurity http) throws Exception {
		/*
		String jwkSetUri = applicationContext.getEnvironment().getRequiredProperty(
				"spring.security.oauth2.client.provider." + configProps.getProvider() + ".jwk-set-uri");

		http
    	.csrf().ignoringAntMatchers("/api/**", "/engine-rest/**")
    	.and()
        .antMatcher("/engine-rest/**")
	        .authorizeRequests()
	          .anyRequest().authenticated()
        .and()
        .oauth2ResourceServer()
        	.jwt().jwkSetUri(jwkSetUri)
		;
		*/
		http.authorizeRequests(authorizeRequests -> authorizeRequests
                .antMatchers("/engine-rest/**").hasRole("admin")
                .anyRequest().authenticated()).oauth2ResourceServer(
                oauth2ResourceServer -> oauth2ResourceServer.jwt(
                        jwt -> jwt.jwtAuthenticationConverter(jwtAuthenticationConverter())
                )
        );
	}

	private Converter<Jwt, ? extends AbstractAuthenticationToken> jwtAuthenticationConverter() {
        JwtAuthenticationConverter jwtConverter = new JwtAuthenticationConverter();
        jwtConverter.setJwtGrantedAuthoritiesConverter(new KeycloakRealmRoleConverter());
        return jwtConverter;
    }

	/**
	 * Create a JWT decoder with issuer and audience claim validation.
	 * @return the JWT decoder
	 */
	@Bean
	public JwtDecoder jwtDecoder() {
		/*
		String issuerUri = applicationContext.getEnvironment().getRequiredProperty(
				"spring.security.oauth2.client.provider." + configProps.getProvider() + ".issuer-uri");
		NimbusJwtDecoder jwtDecoder = (NimbusJwtDecoder)
				JwtDecoders.fromOidcIssuerLocation(issuerUri);

		OAuth2TokenValidator<Jwt> audienceValidator = new AudienceValidator(configProps.getRequiredAudience());
		OAuth2TokenValidator<Jwt> withIssuer = JwtValidators.createDefaultWithIssuer(issuerUri);
		OAuth2TokenValidator<Jwt> withAudience = new DelegatingOAuth2TokenValidator<>(withIssuer, audienceValidator);

		jwtDecoder.setJwtValidator(withAudience);
		*/
		String jwkSetUri = applicationContext.getEnvironment().getRequiredProperty(
				"spring.security.oauth2.client.provider." + configProps.getProvider() + ".jwk-set-uri");
		String issuerUri = applicationContext.getEnvironment().getRequiredProperty(
			"spring.security.oauth2.client.provider." + configProps.getProvider() + ".issuer-uri");
		OAuth2TokenValidator<Jwt> audienceValidator = new AudienceValidator(configProps.getRequiredAudience());
		OAuth2TokenValidator<Jwt> withIssuer = JwtValidators.createDefaultWithIssuer(issuerUri);
		OAuth2TokenValidator<Jwt> withAudience = new DelegatingOAuth2TokenValidator<>(withIssuer, audienceValidator);
		NimbusJwtDecoder jwtDecoder = NimbusJwtDecoder.withJwkSetUri(jwkSetUri).build();
		jwtDecoder.setJwtValidator(withAudience);
		return jwtDecoder;
	}
	   
    /**
     * Registers the REST Api Keycloak Authentication Filter.
     * @return filter registration
     */
    @SuppressWarnings({ "unchecked", "rawtypes" })
	@Bean
    public FilterRegistrationBean keycloakAuthenticationFilter(){
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new KeycloakAuthenticationFilter(identityService, clientService));
        filterRegistration.setOrder(102); // make sure the filter is registered after the Spring Security Filter Chain
        filterRegistration.addUrlPatterns("/engine-rest/*");
        return filterRegistration;
    }
   
}

新增一个文件KeycloakRealmRoleConverter.java,进行Keycloak role的转换,内容如下:

package com.roy.camunda.rest;

import java.util.Collection;
import java.util.Map;
import java.util.stream.Collectors;
import java.util.List;

import org.springframework.core.convert.converter.Converter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.jwt.Jwt;

public class KeycloakRealmRoleConverter implements Converter<Jwt, Collection<GrantedAuthority>> {
    @Override
    public Collection<GrantedAuthority> convert(Jwt jwt) {
        final Map<String, Object> realmAccess = (Map<String, Object>) jwt.getClaims().get("realm_access");
        return ((List<String>)realmAccess.get("roles")).stream()
                .map(roleName -> "ROLE_" + roleName) // prefix to map to a Spring Security "role"
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
    }
}

新建一个文件RestApiSecurityConfigurationProperties.java, 内容如下:

package com.roy.camunda.rest;

import javax.validation.constraints.NotEmpty;

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
import org.springframework.validation.annotation.Validated;

/**
 * Complete Security Configuration Properties for Camunda REST Api.
 */
@Component
@ConfigurationProperties(prefix = "rest.security")
@Validated
public class RestApiSecurityConfigurationProperties {

	/** 
	 * rest.security.enabled:
	 * 
	 * Rest Security is enabled by default. Switch off by setting this flag to {@code false}.
	 */
	private Boolean enabled = true;

	/** 
	 * rest.security.provider:
	 * 
	 * The name of the spring.security.oauth2.client.provider to use
	 */
	@NotEmpty
	private String provider;

	/** 
	 * rest.security.required-audience:
	 * 
	 * Required Audience. 
	 */
	@NotEmpty
	private String requiredAudience;
	
	// ------------------------------------------------------------------------

	/**
	 * @return the requiredAudience
	 */
	public String getRequiredAudience() {
		return requiredAudience;
	}

	/**
	 * @param requiredAudience the requiredAudience to set
	 */
	public void setRequiredAudience(String requiredAudience) {
		this.requiredAudience = requiredAudience;
	}

	/**
	 * @return the enabled
	 */
	public Boolean getEnabled() {
		return enabled;
	}

	/**
	 * @param enabled the enabled to set
	 */
	public void setEnabled(Boolean enabled) {
		this.enabled = enabled;
	}

	/**
	 * @return the provider
	 */
	public String getProvider() {
		return provider;
	}

	/**
	 * @param provider the provider to set
	 */
	public void setProvider(String provider) {
		this.provider = provider;
	} 

}

新增一个文件AudienceValidator.java,校验JWT中是否包括所需的audience,内容如下:

package com.roy.camunda.rest;

import org.springframework.security.oauth2.core.OAuth2Error;
import org.springframework.security.oauth2.core.OAuth2TokenValidator;
import org.springframework.security.oauth2.core.OAuth2TokenValidatorResult;
import org.springframework.security.oauth2.jwt.Jwt;

/**
 * Token validator for audience claims.
 */
public class AudienceValidator implements OAuth2TokenValidator<Jwt> {

	/** The required audience. */
	private final String audience;

	/**
	 * Creates a new audience validator
	 * @param audience the required audience
	 */
	public AudienceValidator(String audience) {
		this.audience = audience;
	}

	/**
	 * {@inheritDoc}
	 */
	@Override
	public OAuth2TokenValidatorResult validate(Jwt jwt) {
		if (jwt.getAudience().contains(audience)) {
			return OAuth2TokenValidatorResult.success();
		}
		return OAuth2TokenValidatorResult.failure(
			new OAuth2Error("invalid_token", "The required audience is missing", null));
	}
}

新增一个文件KeycloakAuthenticationFilter.java,其作用是注册一个过滤器到Spring security的过滤器链的末尾,把验证过的user id和group id发送给Camunda的IdentityService,内容如下:

package com.roy.camunda.rest;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.camunda.bpm.engine.IdentityService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClientService;
import org.springframework.security.oauth2.client.authentication.OAuth2AuthenticationToken;
import org.springframework.security.oauth2.core.oidc.user.OidcUser;
import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationToken;
import org.springframework.util.StringUtils;

/**
 * Keycloak Authentication Filter - used for REST API Security.
 */
public class KeycloakAuthenticationFilter implements Filter {

	/** This class' logger. */
	private static final Logger LOG = LoggerFactory.getLogger(KeycloakAuthenticationFilter.class);
	
	/** Access to Camunda's IdentityService. */
	private IdentityService identityService;
	
	/** Access to the OAuth2 client service. */
	OAuth2AuthorizedClientService clientService;
	
	/**
	 * Creates a new KeycloakAuthenticationFilter.
	 * @param identityService access to Camunda's IdentityService
	 */
	public KeycloakAuthenticationFilter(IdentityService identityService, OAuth2AuthorizedClientService clientService) {
		this.identityService = identityService;
		this.clientService = clientService;
	}

	/**
	 * {@inheritDoc}
	 */
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {

	    // Extract user-name-attribute of the JWT / OAuth2 token
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		String userId = null;
		if (authentication instanceof JwtAuthenticationToken) {
			userId = ((JwtAuthenticationToken)authentication).getName();
		} else if (authentication.getPrincipal() instanceof OidcUser) {
			userId = ((OidcUser)authentication.getPrincipal()).getName();
		} else {
			throw new ServletException("Invalid authentication request token");
		}
        if (StringUtils.isEmpty(userId)) {
        	throw new ServletException("Unable to extract user-name-attribute from token");
        }

        LOG.debug("Extracted userId from bearer token: {}", userId);

        try {
        	identityService.setAuthentication(userId, getUserGroups(userId));
        	chain.doFilter(request, response);
        } finally {
        	identityService.clearAuthentication();
        }
	}

    /**
     * Queries the groups of a given user.
     * @param userId the user's ID
     * @return list of groups the user belongs to
     */
    private List<String> getUserGroups(String userId){
        List<String> groupIds = new ArrayList<>();
        // query groups using KeycloakIdentityProvider plugin
        identityService.createGroupQuery().groupMember(userId).list()
        	.forEach( g -> groupIds.add(g.getId()));
        return groupIds;
    }
}

测试

现在我们可以在这个Springboot项目中输入mvn clean install,以及mvn spring-boot:run来运行Camunda引擎了。

在Keycloak中创建一个新的用户并加入到之前创建的camunda-admin组里面,新建一个client,例如名称为test-client,在Setting里面的Implicit Flow Enabled设置为ON,client scopes里面把camunda-rest-api赋予到assigned default client scopes。

在Keycloak里面创建一个名为admin的role,并把这个role赋予给camunda-admin。

之后我们在浏览器访问以下URL:http://localhost:9090/realms/camunda/protocol/openid-connect/auth?response_type=token&client_id=test-client&redirect_uri=http://localhost:9090/login

这时会去到Keycloak的页面,输入之前创建的用户名和密码,验证通过之后在返回的网页中,URL里面会包括了access token,拷贝这个token。

然后我们测试调用camunda的API,例如我们调用create deployment的API,创建一个工作流的部署,http://localhost:8080/camunda/engine-rest/deployment/create,直接调用会返回401 unauthorized的错误。在headers里面加入Authorization: Bearer token之后再调用,这是返回了403的错误,消息是没有对Deployment这个resource进行create的Permission。这是我就纳闷了,按照正常设置,用户已经是在camunda-admin这个组里面了,而且在Camunda启动的时候也看到日志显示这个用户组已经获得了所有Resource的ALL Permission,为什么还会出现问题呢?网上搜索了很久也没找到答案,后来我在application.xml里面增加了两行配置,打印DEBUG的日志:

logging.level.org.camunda.bpm.extension.keycloak: DEBUG
logging.level.org.springframework.web.client.RestTemplate: DEBUG

重新启动Camunda,按照之前的流程再次调用创建deployment的API,这次我从日志中看到了以下信息:

2022-10-02 16:38:41.381 DEBUG 14471 --- [nio-8080-exec-6] o.c.b.e.k.rest.KeycloakRestTemplate      : HTTP GET http://localhost:9090/admin/realms/camunda/users?username=b9b42747-01df-4f8c-9520-847de7fa7893
2022-10-02 16:38:41.382 DEBUG 14471 --- [nio-8080-exec-6] o.c.b.e.k.rest.KeycloakRestTemplate      : Accept=[text/plain, application/json, application/*+json, */*]
2022-10-02 16:38:41.408 DEBUG 14471 --- [nio-8080-exec-6] o.c.b.e.k.rest.KeycloakRestTemplate      : Response 200 OK
2022-10-02 16:38:41.408 DEBUG 14471 --- [nio-8080-exec-6] o.c.b.e.k.rest.KeycloakRestTemplate      : Reading to [java.lang.String] as "application/json"
2022-10-02 16:38:41.412 DEBUG 14471 --- [nio-8080-exec-6] org.camunda.bpm.extension.keycloak       : KEYCLOAK-01050 Keycloak group query results: []

感觉camunda调用keycloak的API来查这个用户的信息,但是查到的结果为空。我进keycloak看了一下,发现Camunda调用keycloak API的usename参数其实对应的是keycloak的用户ID,这样是查不到数据的,如果把这个参数改为对应的keycloak的用户名,则能查到数据。看来定位到问题了。再回到这个Camunda的keycloak插件的描述中,可以看到对于useUsernameAsCamundaUserId这个选项的描述是:

Whether to use the Keycloak username attribute as Camunda's user ID. Default is false. In the default case the plugin will use the internal Keycloak ID as Camunda's user ID.

按字面理解,我原来以为如果设置为true则表示用keycloak的用户名来作为Camunda的用户ID,但是我现在设置了true,Camunda还是用keycloak的用户ID来查询,和我的理解不一样。我把这个选项设置为false,再次测试,发现这次就可以了,没有再报403错误了。

最后总结一下,按照本文的设置,如果需要设置用户访问Camunda的权限,那么需要以下步骤的设置:

  1. 在Keycloak里面配置用户,赋予用户对应的role,把用户加到camunda-admin的组里
  2. 用户调用Keycloak的API来获取token,这里需要用有camunda-rest-api client role的client来获取token

如果需要更进一步细化用户的权限管理,可以参考Camunda文档中关于Authorization的描述,赋予用户更细的控制力度。

gzroy
关注
专栏目录
jeecgbootspringboot整合camunda工作流
csweldn520的专栏
02-09 1852
jeecgboot整合camunda 文章目录一、pom二、resources1、process.bpmn2、application.yaml3、resources下新建文件 一、pom <!--流程--> <dependency> <groupId>org.camunda.bpm.springboot</groupId> <artifactId>camunda-bpm-spri
camunda-keycloak-docker:具有Keycloak身份验证的Dockerized Camunda服务
03-27
camunda-keycloak-docker 具有Keycloak身份验证的Dockerized Camunda服务 该项目运行Postgres,PGadmin和Camunda的实例。 这里使用Camunda映像的版本,并将复制到构建过程中的配置目录中。 先决条件 码头工人 Keycloak的正在运行的实例,被配置为描述与 客户端的访问类型设置为“ Confidential 为客户端启用的服务帐户,并分配了以下服务角色(从master-realm或从realm-management ) query-users query-groups view-users 创建了一个名为camunda-admin 配置 docker-compose文件将两个文件复制到Camunda容器conf/default.yml和conf/production.yml 。 这些文件都需要为身份服务器
工作流camunda
bianfu2008zhi的专栏
04-20 1373
最近还是要跟spring源码与低代码的相关技术-工作流硬杠。 1、idea安装插件 maven archeType 2、添加JFrog 3、创建project,找到 camunda-springboot,创建工程。 4、h2改mysql数据源,报错数据库表不存在,问题是 mysql connector的版本不匹配(8.x),要改成5.x。 5、启动工程 localhost:8080端口。 下载 camunda moder工具,画流程图。加油。 ......
Spring Boot 优雅集成 Camunda 7 工作流引擎
最新发布
java专栏
09-16 1000
通过使用 BPM 引擎,我们可以将业务规则和流程逻辑抽象出来,使其独立于具体的应用程序逻辑。Camunda 提供了一个完整的解决方案,包括流程建模、执行、监控等功能,非常适合集成到现有的 Spring Boot 应用中。通过简单的几行代码,我们就实现了在 Spring Boot 应用中集成 Camunda 工作流引擎。如果你对这个话题还有更多好奇的地方,或者在实践中遇到了问题,记得随时提问哦!此外,如果需要更复杂的业务流程,可以考虑扩展 Camunda 的高级功能。接下来,我们需要创建一个简单的业务流程。
camunda系列教程2(集成实践)
weixin_44213308的博客
10-06 7410
snowy开源版本拉取: Snowy: ????Snowy基于SpringBoot+AntDesignVue的前后分离全新RBAC权限管理系统,适配国产数据库(金仓、达梦)、主流数据库Mysql、Oracle、Mssql、Postgresql,小诺一致追求简洁干净,一套代码搞定!支持国产中间件部署、麒麟操作系统、Windows、Linux部署使用,另外支持saas多租户、flowable工作流、多数据源、支付模块等,更多插件正在扩展中。https://gitee.com/xiaonuobase/snowy
springBoot(若依)集成camunda
。度的博客
07-12 1924
关键字段:包括ID_(执行实例ID),PROC_INST_ID_(关联的流程实例ID),PROC_DEF_ID_(流程定义ID),ACT_ID_(当前活动ID,如果有的话),以及状态相关的字段如SUSPENSION_STATE_(挂起状态)、ACTUAL_START_TIME_(实际开始时间)等。关键字段:包括ACTIVITY_ID_(活动ID),PROC_INST_ID_(关联的流程实例ID),START_TIME_和END_TIME_(活动开始和结束时间),以及DURATION_(活动执行时长)等。
camunda系列教程1(集成思路)
weixin_44213308的博客
08-03 6910
关于工作流的介绍,我再此不进行赘述,网上有很多的资料。对于企业信息化的建设来说,工作流引擎基本上就是核心的业务,想要绕开基本上不可能。根据调研的结果来看,大的方向基本分成两派,一派是自己写流程引擎,对于一般的技术团队来说,这基本上不太可能,当然国内有几家再做,但是目前的使用效果来说,不是很好;另一派,则是集成开源的工作流引擎,就Java而言目前世界上比较认可的有三个项目,activiti、flowable、camunda。当然各有千秋,但就集成的难度来说,个人比较看好camunda,原因很简单,camund
camunda camunda工作流实战
09-10
全部课程IT·互联网Java开发Java进阶【系列】camunda工作流实战 收藏 分享 免费试学 【系列】camunda工作流实战 JavaEE JavaWeb 架构师 实战项目 零基础入门 145 节课程 23 小时 70% 好评 190 人最近购买 支付...
camunda工作流平台官方汉化方法7.14
03-29
**camunda工作流平台官方汉化方法7.14** Camunda是一款开源的工作流程管理和业务自动化平台,专注于帮助企业实现流程的高效管理。在版本7.14中,它提供了丰富的功能,包括流程建模、执行、监控以及集成能力。本文将...
Camunda工作流引擎与数据库集成最佳实践
Camunda是一个用于业务过程管理(BPM)的开源平台,它提供了一个灵活且可扩展的工作流引擎,用于执行流程、决策和案例管理。Camunda支持业务流程建模、执行流程实例、任务分配和管理、监控和优化流程性能等功能。 #...
应用开发平台集成工作流系列之1——技术选型与方案选择
学海无涯,行者无疆
07-10 1028
工作流是应用开发平台的重要组成部分,用来实现业务系统的流程处理功能。一般来说,包括三部分,一是工作流引擎,二是流程建模,三是衍生辅助,包括发起流程、我的待办、我的已办、结束单据等。
camunda-template:具有Spring Boot Camunda BPM集成的模板项目
02-08
camunda-template:具有Spring Boot Camunda BPM集成的模板项目
camunda流程引擎——Java集成Camunda(上)(笔记)
weixin_46949627的博客
12-15 3327
Java集成Camunda
Spring Boot 项目集成camunda流程引擎
02-25 5213
使用camunda开源工作流引擎有:通过docker运行、使用springboot集成、部署camunda发行包、基于源代码编译运行等多种方式。 其中,通过源代码编译运行的方式最为复杂,具体参考:https://lowcode.blog.csdn.net/article/details/136206057 文本重点介绍如何在Spring Boot应用程序中如何集成Camunda Platform开源流程平台,这也是项目中最为常见的一种使用方式。
【流程引擎】--Camunda基础及sprringboot简单集成Camunda
寻梦友的博客
08-19 2730
目前市场上有常见的流程引擎:JBPM、Activiti、Camunda、Flowable、CompileFlow。它们的发展史如下:Camunda 官方首页:https://camunda.com/Camunda 官方文档:https://docs.camunda.org/get-started/quick-start/Camunda 中文翻译文档:http://camunda-cn.shaochenfeng.com/
Camunda 2、Camunda工作流-SpringBoot集成 Camunda 流程引擎
zxstrive的专栏
09-28 4468
Spring Boot 集成 Camunda 流程引擎 引入 spring-boot-start 在 maven pom.xml 文件中加入以下配置: <dependency> <groupId>org.camunda.bpm.springboot</groupId> <artifactId>camunda-bpm-spring-boot-starter</artifactId> <version>7.13.0&lt
Camunda学习-工作流
CentOS
05-17 993
下载安装Camunda Modeler 详见。安装好流程设计软件后就可以设计流程图了。
Camunda 1、Camunda工作流-介绍
zxstrive的专栏
09-28 3711
下载 前提条件: camunda 是使用 java 语言开发的,因此在下载 camunda 之前,请确保本地已经安装了Java运行时环境。 下载Camunda发行版: Camunda 是一个非常灵活的框架,基于你想要如何使用它,它能够根据不同的使用环境选择不同的发行版本。 社区版与企业版区别 Camunda 为社区和企业订阅用户分别提供了不同的发行版本: 社区版下载页面 企业版下载页面 也可以将Camunda BPM 运行在 SpringBoot 或 docker 容器中。 完整发行版 .
2、camunda工作流介绍
leyoliu的博客
09-07 6034
camunda工作流,最适合分布式,微服务,低代码平台工作流
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gzroy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值