keycloak24整合spring security oauth2

已于 2024-05-30 18:12:17 修改
阅读量1.1k 收藏 27
点赞数 19
文章标签: spring spring boot java
于 2024-05-27 19:17:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/livemegoodboy/article/details/139244331
版权

上一篇文章我们通过rh-sso-7.6以及对应的以及红帽提供的适配器Spring Boot adapter完成对springboot的整合,但是鉴权是不方便的,需要在自己的客户端后台里一个一个把资源路径定义上关联好权限才能完成验证,用的是hm的验证逻辑而不是项目自己的,很不方便,而且支持的springboot版本太低了,keycloak24虽然也有对应的适配器Securing Applications and Services Guide (keycloak.org),但是还是不好维护的。

这里我们把版本升级到最新版24,然后接着用spring security oauth2的方式使用它。

具体步骤如下:

1,下载keycloak24,并改端口8180,配置数据库完成数据本地存储后,正常启动登录到管理控制台,配置可参考

All configuration - Keycloak

db=mysql
db-username=root
db-password=root

db-url=jdbc:mysql://localhost:3306/keycloak
http-port=8180

启动:bin\kc.bat start-dev

2,在SpringBootKeycloak域下创建客服端login-app,具体过程就不说了,这里可以直接导入配置

demo-springboot-keycloak/src/main/resources/realm-export.json at master · stevensu1/demo-springboot-keycloak (github.com)

3,创建springboot项目导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

4,项目配置

### server port
server.port=8080

#ClientRegistration类保存了关于客户端的所有基本信息。Spring自动配置会查找带有schema
# spring.security.oauth2.client.registration.[registrationId]的属性,
# 并注册一个具有OAuth 2.0或OpenID Connect(OIDC)的客户端。
spring.security.oauth2.client.registration.keycloak.client-id=login-app
spring.security.oauth2.client.registration.keycloak.client-secret=K9IfVKjj1H0ujciRWsO8eU9b9dMdHfPh
spring.security.oauth2.client.registration.keycloak.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.keycloak.scope=openid

#Spring Boot应用程序需要与OAuth 2.0或OIDC提供程序进行交互,以处理不同授权类型的实际请求逻辑。
#因此,我们需要配置OIDC提供程序。可以根据属性值使用spring.security.oauth2.client.provider.[provider name]模式进行自动配置。
spring.security.oauth2.client.provider.keycloak.issuer-uri=http://localhost:8180/realms/SpringBootKeycloak
spring.security.oauth2.client.provider.keycloak.user-name-attribute=preferred_username
#Keycloak服务器验证JWT令牌。
spring.security.oauth2.resourceserver.jwt.issuer-uri=http://localhost:8180/realms/SpringBootKeycloak

5,通过创建一个SecurityFilterChain bean来配置HttpSecurity。此外,我们还需要使用http.oauth2Login()来启用OAuth2登录。

/**
 * 我们通过创建一个SecurityFilterChain bean来配置HttpSecurity。
 * 此外,我们还需要使用http.oauth2Login()来启用OAuth2登录。
 * @param httpSecurity
 * @return
 * @throws Exception
 */
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {

    httpSecurity.authorizeHttpRequests(auth -> auth
            .requestMatchers(new AntPathRequestMatcher("/*"))
            .permitAll()
            .anyRequest()
            .authenticated());
    httpSecurity.oauth2ResourceServer((oauth2) -> oauth2
            .jwt(Customizer.withDefaults()));
    httpSecurity.oauth2Login(Customizer.withDefaults())
            .logout(logout -> logout.addLogoutHandler(keycloakLogoutHandler).logoutSuccessUrl("/"));

    return httpSecurity.build();
}

5.1 解析令牌

/**
 * Keycloak返回一个包含所有相关信息的令牌。为了使Spring Security能够根据用户分配的角色做出决策,我们必须解析令牌并提取相关的细节。 然而,Spring
 * Security通常会在每个角色名称前添加“ROLES_”前缀, 而Keycloak发送的是纯角色名称。为了解决这个问题,我们创建一个帮助方法,将从Keycloak检索到的每个角色添加“ROLE_”前缀。
 */
Collection<GrantedAuthority> generateAuthoritiesFromClaim(Collection<String> roles) {

    return roles.stream().map(role -> new SimpleGrantedAuthority("ROLE_" + role)).collect(
            Collectors.toList());
}
/**
 * 解析令牌。首先,我们需要检查令牌是否为OidcUserAuthority或OAuth2UserAuthority的实例。
 * 由于Keycloak令牌可以是任一类型,所以我们需要实现一个解析逻辑。下面的代码会检查令牌的类型,并决定解析机制。
 *
 * @return
 */
@Bean
public GrantedAuthoritiesMapper userAuthoritiesMapperForKeycloak() {

    return authorities -> {
        Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
        var authority = authorities.iterator().next();
        boolean isOidc = authority instanceof OidcUserAuthority;

        if (isOidc) {
            var oidcUserAuthority = (OidcUserAuthority) authority;
            var userInfo = oidcUserAuthority.getUserInfo();

            // Tokens can be configured to return roles under
            // Groups or REALM ACCESS hence have to check both
            if (userInfo.hasClaim("realm_access")) {
                var realmAccess = userInfo.getClaimAsMap("realm_access");
                var roles = (Collection<String>) realmAccess.get("roles");
                mappedAuthorities.addAll(generateAuthoritiesFromClaim(roles));
            } else if (userInfo.hasClaim("groups")) {
                Collection<String> roles = userInfo.getClaim("groups");
                mappedAuthorities.addAll(generateAuthoritiesFromClaim(roles));
            }
        } else {
            var oauth2UserAuthority = (OAuth2UserAuthority) authority;
            Map<String, Object> userAttributes = oauth2UserAuthority.getAttributes();

            if (userAttributes.containsKey("realm_access")) {
                Map<String, Object> realmAccess = (Map<String, Object>) userAttributes.get("realm_access");
                Collection<String> roles = (Collection<String>) realmAccess.get("roles");
                mappedAuthorities.addAll(generateAuthoritiesFromClaim(roles));
            }
        }
        return mappedAuthorities;
    };
}

完整类:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(
        prePostEnabled = true,
        securedEnabled = true,
        jsr250Enabled = true)
public class SecurityConfig {

    private final KeycloakLogoutHandler keycloakLogoutHandler;

    SecurityConfig(KeycloakLogoutHandler keycloakLogoutHandler) {

        this.keycloakLogoutHandler = keycloakLogoutHandler;
    }

    /**
     * 我们通过创建一个SecurityFilterChain bean来配置HttpSecurity。
     * 此外,我们还需要使用http.oauth2Login()来启用OAuth2登录。
     * @param httpSecurity
     * @return
     * @throws Exception
     */
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.authorizeHttpRequests(auth -> auth
                .requestMatchers(new AntPathRequestMatcher("/*"))
                .permitAll()
                .anyRequest()
                .authenticated());
        httpSecurity.oauth2ResourceServer((oauth2) -> oauth2
                .jwt(Customizer.withDefaults()));
        httpSecurity.oauth2Login(Customizer.withDefaults())
                .logout(logout -> logout.addLogoutHandler(keycloakLogoutHandler).logoutSuccessUrl("/"));

        return httpSecurity.build();
    }

    /**
     * Keycloak返回一个包含所有相关信息的令牌。为了使Spring Security能够根据用户分配的角色做出决策,我们必须解析令牌并提取相关的细节。 然而,Spring
     * Security通常会在每个角色名称前添加“ROLES_”前缀, 而Keycloak发送的是纯角色名称。为了解决这个问题,我们创建一个帮助方法,将从Keycloak检索到的每个角色添加“ROLE_”前缀。
     */
    Collection<GrantedAuthority> generateAuthoritiesFromClaim(Collection<String> roles) {

        return roles.stream().map(role -> new SimpleGrantedAuthority("ROLE_" + role)).collect(
                Collectors.toList());
    }

    /**
     * 解析令牌。首先,我们需要检查令牌是否为OidcUserAuthority或OAuth2UserAuthority的实例。
     * 由于Keycloak令牌可以是任一类型,所以我们需要实现一个解析逻辑。下面的代码会检查令牌的类型,并决定解析机制。
     *
     * @return
     */
    @Bean
    public GrantedAuthoritiesMapper userAuthoritiesMapperForKeycloak() {

        return authorities -> {
            Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
            var authority = authorities.iterator().next();
            boolean isOidc = authority instanceof OidcUserAuthority;

            if (isOidc) {
                var oidcUserAuthority = (OidcUserAuthority) authority;
                var userInfo = oidcUserAuthority.getUserInfo();

                // Tokens can be configured to return roles under
                // Groups or REALM ACCESS hence have to check both
                if (userInfo.hasClaim("realm_access")) {
                    var realmAccess = userInfo.getClaimAsMap("realm_access");
                    var roles = (Collection<String>) realmAccess.get("roles");
                    mappedAuthorities.addAll(generateAuthoritiesFromClaim(roles));
                } else if (userInfo.hasClaim("groups")) {
                    Collection<String> roles = userInfo.getClaim("groups");
                    mappedAuthorities.addAll(generateAuthoritiesFromClaim(roles));
                }
            } else {
                var oauth2UserAuthority = (OAuth2UserAuthority) authority;
                Map<String, Object> userAttributes = oauth2UserAuthority.getAttributes();

                if (userAttributes.containsKey("realm_access")) {
                    Map<String, Object> realmAccess = (Map<String, Object>) userAttributes.get("realm_access");
                    Collection<String> roles = (Collection<String>) realmAccess.get("roles");
                    mappedAuthorities.addAll(generateAuthoritiesFromClaim(roles));
                }
            }
            return mappedAuthorities;
        };
    }
}

6:我们需要处理来自Keycloak的注销。为此,我们添加KeycloakLogoutHandler类:

@Component
public class KeycloakLogoutHandler implements LogoutHandler {

    private static final Logger logger = LoggerFactory.getLogger(KeycloakLogoutHandler.class);
    private final RestTemplate restTemplate;

    public KeycloakLogoutHandler(RestTemplate restTemplate) {
        this.restTemplate = restTemplate;
    }

    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication auth) {
        logoutFromKeycloak((OidcUser) auth.getPrincipal());
    }

    private void logoutFromKeycloak(OidcUser user) {
        String endSessionEndpoint = user.getIssuer() + "/protocol/openid-connect/logout";
        UriComponentsBuilder builder = UriComponentsBuilder
          .fromUriString(endSessionEndpoint)
          .queryParam("id_token_hint", user.getIdToken().getTokenValue());

        ResponseEntity<String> logoutResponse = restTemplate.getForEntity(builder.toUriString(), String.class);
        if (logoutResponse.getStatusCode().is2xxSuccessful()) {
            logger.info("Successfulley logged out from Keycloak");
        } else {
            logger.error("Could not propagate logout to Keycloak");
        }
    }

}

7:使用注解控制权限“:@PreAuthorize("hasRole('user-role11')")

@Controller
@RequestMapping("/web")
public class WebController {

    // http://127.0.0.1:8080/web/index
    @ResponseBody
    @GetMapping(path = "/index")
    @PreAuthorize("hasRole('user-role11')")
    public String index() {
        return "index";
    }

    // http://127.0.0.1:8080/web/logout
    @GetMapping("/logout")
    public String logout(HttpServletRequest request) throws Exception {
        request.logout();
        return "redirect:/";
    }

    // http://127.0.0.1:8080/web/customers
    @GetMapping(path = "/customers")
    @ResponseBody
    public String customers(Principal principal, Model model) {
        return "customers";
    }
}

到此就完了,跑起来后访问首页进入登录页面:http://127.0.0.1:8080/web/index

登录后成功返回带有权限控制的数据。

把权限改成别的则是不能访问

到此到此呢我们的整合就算是成功了,但是其他微服务模块要通过Feign调用这个接口又怎么处理,以及注意什么我们后面在看吧,今天就到这,先出帖代码:stevensu1/demo-springboot-keycloak (github.com)

livemetee
关注
使用Spring OAuth2 Login连接Keycloak
m0_49294242的博客
10-24 777
Keycloak是一个开源的IAM(Identity and Access Management),支持OIDC以及SAML协议。通常我们可以直接将它作为用户认证中心。而Spring提供的OAuth2 Login,则支持直接使用配置的方式接入符合OIDC和OAuth2协议的认证服务。本文的重点是介绍如何使用Spring OAuth2 Login来连接配置好的Keycloak,以及它是如何做的。
Spring Security整合KeyCloak保护Rest API
weixin_34306593的博客
02-18 1073
今天我们尝试Spring Security整合Keycloak,并决定建立一个非常简单的Spring Boot微服务,使用Keycloak作为我的身份验证源,使用Spring Security处理身份验证和授权。 设置Keycloak 首先我们需要一个Keycloak实例,让我们启动Jboss提供的Docker容器: docker ru...
使用 Spring BootKeycloakOAuth2 快速指南
sdwxy的博客
02-27 1652
我们将使用 Keycloak 作为 OpenID 提供程序。我们可以将其视为负责身份验证和用户数据(角色、配置文件、联系信息等)的用户服务。它是最完整的 OpenID Connect (OIDC) 实现之一,具有以下功能: - 单点登录 (SSO) 和单点注销(Back-Channel Logout) - 身份代理、社交登录和用户联合 - 用于服务器管理和用户帐户管理的用户界面 - 可通过编程方式控制一切的管理员 REST API
Spring Security 中使用Keycloak作为认证授权服务器
码农小胖哥
08-03 2499
Keycloak对流行的Java应用提供了适配器。在系列文章的上一篇我们演示了针对Spring Boot的安全保护,用的就是适配器的一种。Keycloak同样提供Spring Secur...
keycloak-24.0.4整合spring security oauth2spring-cloud-alibaba2022.0.0
livemegoodboy的博客
05-30 1075
keycloak-24.0.4整合spring security oauth2spring-cloud-alibaba2022.0.0
Keycloak实现开源SSO oauth2登陆权限系统(1)—— 安装keycloak并配置 oauth clienntid 和 nginx-ingress配置oauth-proxy2授权登陆跳转
weixin_43041894的博客
07-21 1813
它允许创建独立的应用程序和用户组。master 是keycloak 中默认的 realm,master 是专用于管理 keycloak的,不建议用于自己的应用程序。要应用于自己的应用程序时,一般建立一个指定名称的 realm。3、在右侧 Add realm 界面的 Name 处填写自己相应建立的 realm 的名称,例如: myrealm。2、点击左侧的 Clients,在右侧的弹出界面点击 Create 按钮,得到 Add Client 界面。1、在出现界面点击 Credentials,出现如下界面。
Keycloak Oauth2.0流程 --- Angular前端 + Django后端 + Keycloak 实现SSO功能
wdquan19851029的专栏
01-07 6135
前言: 一个企业往往拥有多个应用系统,如果每个应用都有独立的用户认证和授权管理功能,这不仅需要运维人员维护多套用户管理系统,用户使用每个系统时都要登录一次,非常不方便。如果能够将所有应用系统的用户集中管理,用户就使用一套用户名登录所有系统,这将会大大改善用户体验。本文前端Angular, 后端Django,基于Keycloak搭建单点登录系统。 前端代码部署到nginx, 前后端代码分开部署 前端Angular集成Keycloak: 前端要怎样集成Keycloak呢? 本文提供两种方式 ...
Spring Security 5与Keycloak集成:OAuth2 Client与OIDC示例教程
示例项目`keycloak-springsecurity5-sample`旨在演示如何将Spring Boot应用程序与Keycloak集成,使用Spring Security 5实现OAuth2和OIDC客户端功能。这个示例项目允许用户创建一个本地Keycloak服务器实例,将其配置...
sp-keycloak1:Spring Boot 2 + Spring Security + Keycloak 4.1演示
04-27
5. **集成流程**: 整合Spring Boot 2Keycloak通常涉及以下步骤:安装和配置Keycloak服务器、创建Realm(域)、定义客户端、配置Spring SecurityKeycloak配置、以及实现登录和登出逻辑。 6. **认证流程**: 用户...
Spring Boot 整合 Keycloak
rgrgrwfe的博客
01-21 1027
本文介绍了如何如何设置了 Keycloak 服务器,以及如何在 Spring Boot 中使用 Spring Security OAuth2.0 结合 Keycloak 实现认证和授权。
使用 Spring BootKeycloakOAuth2 快速指南-结合Postman的一些操作
最新发布
02-27
本文将带领读者快速掌握如何在Spring Boot项目中整合Keycloak来实现OAuth2认证,并结合Postman这一强大的API测试工具,指导大家如何进行相关操作。 首先,我们需要了解OAuth2是一个开放标准,它允许用户授权第三方...
oauth2-keycloak
03-31
Keycloak OAuth 2.0客户端提供程序的包装 安装 要安装,请使用作曲家: composer require yangze/oauth2-keycloak 用法 在里面 $ passport = Passport :: init ([ 'authServerUrl' => 'http://127.0.0.1:8080/auth' , 'realm' => 'xxxx' , 'clientId' => 'backend' , 'clientSecret' => 'xxxxx' , 'redirectUri' => 'http://127.0.0.1:8003/auto' , 'periodNoCheck' => 3600 , 'periodCheck' => 180 , ]); 登录 $
passport-keycloak-oauth2-oidc:使用 OAuth2OIDC API 使用 Keycloak 进行身份验证的 Passport.js 策略
05-30
护照-keycloak-oauth2-oidc 使用 OAuth2/OIDC API 使用进行身份验证的策略。 此模块允许您在 Node.js 应用程序中使用 Keycloak 进行身份验证。 通过插入 Passport,Keycloak 身份验证可以轻松且不引人注目地集成到任何支持式中间件(包括应用程序或框架中。 安装 $ npm install passport-keycloak-oauth2-oidc 用法 创建应用程序 在使用passport-keycloak-oauth2-oidc ,您必须使用passport-keycloak-oauth2-oidc创建一个realm和client 。 配置策略 Keycloak身份验证策略通过使用OpenID Connect(OIDC / OAuth 2.0)协议委派给您的Keycloak服务器来对请求进行身份验证。 使用此策略时,它的
Spring Boot 3.1 中如何整合Spring SecurityKeycloak
程序猿DD
06-01 1118
在今年2月14日的时候,Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其中包括Spring SecuritySpring Boot的适配器,这意味着今后Keycloak团队将不再提供针对Spring SecuritySpring Boot的集成方案。但是,如此强大的Keycloak,还要用怎么办呢?本文就来聊聊,在最新的Spring Boot 3.1版本之下,如何将K...
13-SpringSecurity:OpenID与Keycloak
2301_82244343的博客
04-29 353
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!(2) 配置 spring:security:oauth2:client:provider:keycloak:issuer-uri: http://localhost:8080/auth/realms/heartsuitregistration:keycloak:client-id: springsecurityclient-secret: 6b532289-4c11-4e62-acc0-5c67e13e47
KeyCloakOAuth2Spring Boot、client_credentials整合
klaokai的冥想空间
08-08 4225
doc https://www.keycloak.org/docs/latest/getting_started/index.html 创建一个域和一个用户 Keycloak广利控制台的第一个用途是创建领域并在该领域中创建用户。 您使用该用户登录到新领域,并访问所有用户都可以访问的内置账户控制台。 域和用户 当你登录管理员控制台,你将在一个域内工作,这是一个你可以管理对象的空间。 有两种域: Master realm:主域。这个域会在你第一次启动Keycloak就会为你创建好, 它包含了你第一次登录时创建的
OAuth2 服务器Keycloak中的Realm
码农小胖哥
08-29 1947
前几篇我和大家一起对Keycloak进行了粗略的了解。随着逐步的了解,我发现进入了一个误区,原本以为Spring Security整合Keycloak的重心在于Spring Securit...
轻松实现单点登录(SSO):基于 Keycloak 的 OIDC 与 OAuth 2.0 完整指南
文浩(楠搏万)的博客
01-08 3587
Keycloak 是一款强大的开源身份与访问管理工具,广泛支持 OIDC(OpenID Connect)和 OAuth 2.0 协议,提供统一认证与授权服务。本指南详细讲解了 Keycloak 在 OIDC 和 OAuth 2.0 场景下的登录流程,包括授权码模式、客户端模式、Token 刷新与验证,以及使用 Token 查询用户信息的完整示例。还深入分析了 OIDC 和 OAuth 的区别,如何处理多系统间登录兼容问题,并提供了丰富的 Keycloak API 实践案例,是构建安全、高效认证系统的必备教程
Spring Security 6.x 系列【57】认证篇之集成Keycloak SAML 2.0登录
记录知识、锤炼自我
06-14 1502
在上一篇文档,我们安装并简单了解了开源的IAM系统Keycloak,国内也有对应的开源,比如Maxkey、Casdoor。 他们都提供了OAuth 2.0、OIDC和 SAML 2.0 协议支持,关于OAuth 2.0、OIDC之前介绍并实现案例的文档已经很多了,所以本篇文档使用Spring Security整合Keycloak SAML 2.0登录。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值