基于Keycloak的权限控制

已于 2023-10-30 14:16:21 修改
阅读量856 收藏 1
点赞数
文章标签: java spring boot
于 2023-10-30 14:03:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49294242/article/details/134117739
版权

Keycloak授权介绍

Keycloak提供了一套基于策略的权限控制,主要的控制对象是被保护的资源,通常是一个或者多个URIs。

Keycloak的权限控制通过所谓的PEP(Policy Enforcement Point)即:策略执行点来操作。

Keycloak授权系统的实体对象

如上图所以,把所有授权实体分成了三个大的部分。

最上面的部分,我称之为资源定义,负责设置哪些资源(resource)的那些范围(scope)要被权限控制。资源通常是一个或者一组URI,比如/protected/*,而范围(scope)是一个很灵活的概念,既可以是对资源的CRUD,也可以是具有某一种特质的一组对象。通常,我们可以用scope来标识对资源的CRUD,比如:urn:demo:protected:view,urn:demo:protected:delete等等。

下面的部分,我称之为执行策略,负责设置执行权限的方式。比如,可以根据用户是否属于某个角色来检查权限,或者可以根据时间来检查权限等等,这里我列出了一些常用的执行策略,其实每个策略对应的一个权限模型:

  • 基于角色的权限控制
  • 基于用户的权限控制
  • 基于组的权限控制(组可以有层级关系)
  • 基于时间的权限控制
  • 基于正则表达式的权限控制

中间的部分,我称之为权限关联,负责把执行策略与资源进行绑定。

Keycloak关于授权的设置

在Keycloak中,授权相关的配制,绝大部分都在具体的客户端设置里面。并且必须开启授权开关。

集成Keycloak授权功能

在Keycloak上对资源的权限进行配置以后,就可以通过编程的方式,来利用Keycloak来保护我们的微服务(也称资源服务器)了。

keycloak权限设置

既可以通过keycloak的admin console来设置权限,也可以通过Java客户端来设置权限。无论哪种方式,大致的过程如下:

  • 定义resource和scope
  • 定义policy
  • 根据需要定义角色、组等等
  • 定义permission来关联resource(scope)与policy

通过admin console配置

主要就是理解了资源、scope、policy和permission的概念后,在admin console中依次进行配置即可。

通过Java客户端配置

1)引入依赖

<dependency>
    <groupId>org.keycloak</groupId>
    <artifactId>keycloak-authz-client</artifactId>
     <version>${keycloak.version}</version>
</dependency>

2)编写代码

// 初始化授权客户端对象
AuthzClient authzClient = AuthzClient.create();

// 获取pat对象
ProtectionResource protection = authzClient.protection();

// 创建资源(resource)和scope,这里创建的资源名称为test-res,scope为create-scope,
// URI为/admin/*,类型为test:api
ResourceRepresentation res = new ResourceRepresentation("test-res",
        Set.of(new ScopeRepresentation("create-scope")),
        Set.of("/admin/*"),
        "test:api");
res.setOwnerManagedAccess(true);

ProtectedResource resClient = protection.resource();
ResourceRepresentation existingRes = resClient.findByName(res.getName());
if (existingRes != null) {
    resClient.delete(existingRes.getId());
}

res = resClient.create(res);
String resId = res.getId();

// 为上述资源创建权限
// 注意:这里创建的权限,在admin console上不可见
UmaPermissionRepresentation umaPerm = new UmaPermissionRepresentation();
umaPerm.setRoles(Set.of("user_premium"));
umaPerm.setName("Only premium user can create resources");
umaPerm.setDescription("Allow access to premium users");
umaPerm.setScopes(Set.of("create-scope"));
UmaPermissionRepresentation createdUmaPerm = protection.policy(resId).create(umaPerm);

 

建议

  • 建议通过admin console来管理资源/scope/policy/permission
  • 可以使用Java来管理资源,但是不建议使用Java来管理policy和permission

使用keycloak设置的权限保护资源

在keycloak上配置了资源、策略、权限以后,可以在资源服务器上来通过PEP进行权限控制。以下是步骤:

配置keycloak的enforcer

新增一个json文件,放在resources目录下,内容大致如下:

{
  "realm": "quickstart",
  "auth-server-url": "http://localhost:8180",
  "resource": "authz-servlet",
  "credentials": {
    "secret": "secret"
  },
  "http-method-as-scope": false
}

增加一个Filter来解析上述配置,并拦截用户请求

在Spring Security的FilterChain中,增加ServletPolicyEnforcerFilter来真正执行权限检查。

@Configuration
@EnableWebSecurity
public class OAuth2ResourceServerSecurityConfiguration {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests((authorize) -> authorize
                        .anyRequest().authenticated()
                )
                .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt)
                .addFilterAfter(createPolicyEnforcerFilter(), BearerTokenAuthenticationFilter.class);
        return http.build();
    }

    private ServletPolicyEnforcerFilter createPolicyEnforcerFilter() {
        return new ServletPolicyEnforcerFilter(new ConfigurationResolver() {
            @Override
            public PolicyEnforcerConfig resolve(HttpRequest request) {
                try {
                    return JsonSerialization.readValue(getClass().getResourceAsStream("/policy-enforcer.json"), PolicyEnforcerConfig.class);
                } catch (IOException e) {
                    throw new RuntimeException(e);
                }
            }
        });
    }

    @Bean
    JwtDecoder jwtDecoder(OAuth2ResourceServerProperties properties) {
        return NimbusJwtDecoder.withJwkSetUri(properties.getJwt().getJwkSetUri()).build();
    }
}

Bonus:利用AuthorizationContext判断权限

除了使用ServletPolicyEnforcerFilter来进行权限检查以外,我们还可以利用AuthorizationContext来手动判断当前用户是否对某项资源有访问权限。示例代码如下:

@GetMapping("/protected/premium")
public String premium(@AuthenticationPrincipal Jwt jwt, HttpServletRequest request) {

	// 获取当前的AuthorizationContext对象
	AuthorizationContext context = (AuthorizationContext) request.getAttribute(AuthorizationContext.class.getName());
	// 调用context上的方法进行手动判断
    if (context.hasPermission("Premium Resource", "GET")) {
		// do something intersting...
	}

	return String.format("Hello, %s!", jwt.getClaimAsString("preferred_username"));
}
这种代码,可以用来构建动态菜单。比如,在用户登录以后,通过这种权限判断,来觉得哪些菜单显示/隐藏。

Bonus:利用AuthzClient来操纵资源

通过AuthorizationContext,我们可以获取到AuthzClient,通过它我们就可以创建资源或者进行个别的权限检查...

// 将AuthorizationContext强转成ClientAuthorizationContext
ClientAuthorizationContext clientContext = (ClientAuthorizationContext) context;

// 从clientContext中获取AuthzClient实例,然后调用它上面的方法
AuthzClient client = clientContext.getClient();
ResourceRepresentation resource = client.protection().resource().findByName("Premium Resource");
System.out.println(resource);

Bonus:从JS调用keycloak的API

在JS中,可以通过keycloak提供的keycloak-authz.js的API来进行权限判断。

首先,需要引入keycloak-authz.js文件

<script src="http://.../js/keycloak-authz.js"></script>

然后调用其上的API在JS端进行权限检查和控制。比如:

// prepare a authorization request with the permission ticket
const authorizationRequest = {};
authorizationRequest.ticket = ticket;

// send the authorization request, if successful retry the request
Identity.authorization.authorize(authorizationRequest).then(function (rpt) {
    // onGrant
}, function () {
    // onDeny
}, function () {
    // onError
});

龙鹤鹿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Spring Boot Web应用集成Keycloak进阶之细粒度权限控制
m0_60721860的博客
03-19 374
其他知识点面试webpack的原理webpack的loader和plugin的区别?怎么使用webpack对项目进行优化?防抖、节流浏览器的缓存机制描述一下二叉树, 并说明二叉树的几种遍历方式?项目类问题技术栈比较搭,基本用过的东西都是一模一样的。快手终面喜欢问智力题,校招也是终面问智力题,大家要准备一下一些经典智力题。如果排列组合、概率论这些基础忘了,建议回去补一下。
Keycloak简单几步实现对Spring Boot应用的权限控制
jfgkjhghfdgf的博客
04-09 528
笔者已经把面试题和答案整理成了面试专题文档《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!19)][外链图片转存中…(img-YKV44j6G-1712643674219)][外链图片转存中…(img-hqdd5xuv-1712643674219)][外链图片转存中…(img-9y6VhWK7-1712643674219)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
keycloak 认证服务
热门推荐
刘毅的博客
11-16 1万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
keycloak管理用户权限
weixin_33800593的博客
01-18 4899
一、在keycloak中定义基础数据 1、realm       如果多个模块使用不同的用户权限,就分realm       如果多个模块共用一套用户权限,就顶一个一个realm 2、每个模块是一个client-app 3、用户组、用户、角色、权限定义       用户组支持扩展属性,加入组的用户自动继承 二、客户端应用需要指定 1、keycloak服务端地址 keycloak.auth-serv...
spring-boot-react-keycloak:演示为Spring Boot Rest服务配置Keycloak SSO身份验证权限
05-22
弹簧启动React钥匙斗篷 堆 开启JDK 11 Maven 3.6.3 Spring Boot 2.4.0 钥匙斗篷12.0 邮编11.0 还: Docker Desktop-用于构建映像和运行容器 Keycloak安装 要将Keycloak作为服务安装在docker上,请在终端中执行以下命令: docker run -p 7070:8080 -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=admin jboss/keycloak 或者,您可以使用docker docker-compose up命令通过docker compose来启动keycloak服务。 # docker-compose.yaml version : ' 3 ' services : postgres : image : postgres:11.
Minio集成keycloak权限管理
qq276726581的博客
05-19 1096
minio 单机安装 #!/bin/bash docker stop minio docker rm minio docker run -d --name minio \ --network=host \ --restart=always \ -e "MINIO_ROOT_USER=minioadmin" \ -e "MINIO_ROOT_PASSWORD=minioadmin" \ quay.io/minio/minio server \ --address ":32001" \ --conso
Keycloak+React+Umi+Antd 设置权限 显示动态路由 及 页面按钮权限
Cvory
01-12 2427
需求: 可配置一级模块,二级页面,页面button权限 权限控制,颗粒度到页面的按钮权限 大致如下: 程序框架: 登录是使用的 keyclock 前端项目使用的是的 react+umi+antd 思路 录入所有页面及button在keyclock后台中: 集成的keyclock有对应的后台管理页面 所有的一级模块,二级页面,button都要记录在后台里 页面级别储存在resource中 button储存在Permissions 中 登录后返回当前账号所对应的资源及权限 button权限:拿到所
Keycloak服务授权
JosephThatwho的博客
09-28 4121
1. 概述 keycloak支持细粒度的授权策略,并且可以和不同的访问控制机制结合,比如: 基于属性的访问控制 ABAC 基于角色的访问控制 RBAC 基于用户的访问控制 UBAC 基于上下文的访问控制 CBAC 基于规则的访问控制 基于时间的访问控制 通过策略服务的SPI自定义访问控制策略 keycloak通过一组管理界面和RESTful接口提供创建权限的必要方法,这些权限用户保护资源和作用域,把权限和鉴权策略绑定,就可以在应用或服务中执行鉴权。 资源服务器(应用或者服务)通常会基于一些信息来决定使用
keycloak资料支持下载
05-09
keycloak资料支持下载
keycloak压缩包
06-22
keycloak压缩包
使用keycloak配置单点登录
06-07
使用开源keycloak配置单点登录,对接zabbix、jumpserver等平台
keycloak安装服务文件
04-04
keycloak安装服务文件
aspnetcore-keycloak
05-17
keycloak客户端设置: 客户端协议= openid-connect 访问类型=机密保存后,客户机密将显示在“凭据”下 有效的重定向URI = 用于ASP.Net Core身份验证中间件 + 用于自定义html登录 Web Origins = *(否则/ ...
什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?
最新发布
m0_63144319的博客
05-14 821
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享和官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
keycloak的access_token解析 用于后端接口鉴权
dekudekuku的博客
04-24 1401
获取access_token后 和bearer拼接到header头中。
一款强大的开源认证和访问控制利器:KeyCloak
z_ssyy的博客
06-26 844
我们可参考这两套主题的代码,编写我们自己的主题。上文,我们创建的Client都是public 类型的,而现在,其实只有Zuul需要对外,其他服务都是经过Zuul或者Feign传递Token的。Keycloak利用policy的概念,以及如何通过提供聚合policy的概念来定义它们,您可以在其中构建“policy 中的 policy”,并仍然控制评估的行为。当然,也可以不创建Realm,直接用 Master 这个Realm,不过一般来说,为了资源的隔离,以及更好的安全性不太建议与管理员共用Realm。
springboot 集成keycloak完成基于角色的权限认证
05-30
Spring Boot 集成 Keycloak 可以实现基于角色的权限认证。下面是一个简单的步骤: 1. 在 pom.xml 文件中添加 Keycloak 依赖: ```xml <dependency> <groupId>org.keycloak</groupId> <artifactId>keycloak-spring-boot-starter</artifactId> <version>${keycloak.version}</version> </dependency> ``` 2. 在 application.properties 文件中添加 Keycloak 配置: ```properties keycloak.realm=your-realm keycloak.auth-server-url=http://localhost:8080/auth keycloak.ssl-required=external keycloak.resource=your-client-id keycloak.credentials.secret=your-client-secret keycloak.use-resource-role-mappings=true ``` 3. 创建一个 Keycloak 配置类: ```java @Configuration @EnableWebSecurity @ComponentScan(basePackageClasses = KeycloakSecurityComponents.class) public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider(); keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper()); auth.authenticationProvider(keycloakAuthenticationProvider); } @Bean public KeycloakSpringBootConfigResolver keycloakConfigResolver() { return new KeycloakSpringBootConfigResolver(); } @Override protected void configure(HttpSecurity http) throws Exception { super.configure(http); http.authorizeRequests() .antMatchers("/admin/**").hasRole("admin") .anyRequest().permitAll(); } } ``` 4. 创建一个 Controller: ```java @RestController public class HomeController { @GetMapping("/") public String home() { return "Welcome!"; } @GetMapping("/admin") public String admin() { return "Welcome, admin!"; } } ``` 现在,当用户访问 /admin 路径时,只有拥有 admin 角色的用户才能访问该路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值