Spring Boot 3.1中如何整合Spring Security和Keycloak

最新推荐文章于 2024-04-16 22:03:30 发布
最新推荐文章于 2024-04-16 22:03:30 发布
阅读量444 收藏 1
点赞数
文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50180963/article/details/131017894
版权

在今年2月14日的时候,Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其中包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团队将不再提供针对Spring Security和Spring Boot的集成方案。但是,如此强大的Keycloak,还要用怎么办呢?本文就来聊聊,在最新的Spring Boot 3.1版本之下,如何将Keycloak和Spring Security一起跑起来。

准备工作

这里所采用的框架与工具版本信息如下:

  • Spring Boot 3.1.0
  • Keycloak 21.1.1

如果您采用的是其他版本,本文内容不一定有效,但可以作为参考。

配置Keycloak

第一步:为Spring Boot应用创建Realm,并在下面创建一个Client

第二步:创建一个SYS_ADMIN角色,并创建一个用户赋予SYS_ADMIN角色

第三步:调用Keycloak接口生成Access Token,可以用下面的curl命令或者其他任何发请求的工具,比如:Postman等。

curl --location 'http://localhost:9090/realms/MyAppRealm/protocol/openid-connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'username=<YOUR_USER_NAME>' \
--data-urlencode 'password=<YOUR_USER_PASSWORD>' \
--data-urlencode 'grant_type=password' \
--data-urlencode 'client_id=My-Awesome-App' \
--data-urlencode 'client_secret=<KEYCLOAK_CLIENT_SECRET>' \
--data-urlencode 'scope=openid'

记住获得到Access Token,后续验证时候要用。

如果您学习过程中如遇困难?可以加入我们超高质量的Spring技术交流群,参与交流与讨论,更好的学习与进步!

配置Spring Boot应用

第一步:创建一个Spring Boot应用,这个很简单,这里不赘述了。如果您还不会,可以看看我的Spring Boot教程

第二步:在pom.xml中添加依赖:

<dependency>
   <groupId>org.springframework.security</groupId>
   <artifactId>spring-security-oauth2-jose</artifactId>
</dependency>

第三步:修改配置文件

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:9090/realms/MyAppRealm
          jwk-set-uri: http://localhost:9090/realms/MyAppRealm/protocol/openid-connect/certs

第四步:创建一个需要鉴权的测试接口

@RequestMapping("/test")
@RestController
public class MySuperSecuredController {

    @GetMapping("/hello")
    public String hello(){
        return "hello";
    }

}

第五步:创建SecurityFilterChain,用来告知Spring Security在JWT令牌中查找角色信息的位置。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {


    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .authorizeHttpRequests(registry -> registry
                        .requestMatchers("/test/**").hasRole("SYS_ADMIN")
                        .anyRequest().authenticated()
                )
                .oauth2ResourceServer(oauth2Configurer -> oauth2Configurer.jwt(jwtConfigurer -> jwtConfigurer.jwtAuthenticationConverter(jwt -> {
                    Map<String, Collection<String>> realmAccess = jwt.getClaim("realm_access");
                    Collection<String> roles = realmAccess.get("roles");
                    var grantedAuthorities = roles.stream()
                            .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                            .toList();
                    return new JwtAuthenticationToken(jwt, grantedAuthorities);
                })))
        ;

        return httpSecurity.build();
    }
}

验证一下

在完成了上面配置所有之后之后,启动Spring Boot应用,同时保证Keycloak也在运行中。

尝试请求/test/hello接口:

  • 当不包含Authorization头信息的时候,将返回401错误
  • 当包含Authorization头信息(前文用调接口获取的Access Token)的时候,才能正确访问到。

小结

虽然Keycloak 团队宣布了不再对Spring Security提供适配,但Spring Security长期以来一直为OAuth和OIDC提供强大的内置支持。所以,只要我们理解Spring Security是如何处理OAuth和OIDC的,那么与Keyloak的集成依然不复杂。好了,今天的分享就到这里!如果您学习过程中如遇困难?可以加入我们超高质量的Spring技术交流群,参与交流与讨论,更好的学习与进步!

 

Java秦心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
keyclock单点登陆 --- springboot+springsecurity+keycloak整合
justlpf的专栏
05-29 7938
参考文章:keyclock单点登陆 springboot+springsecurity+keycloak整合 认识JWT 原理简介 Users 是一种可以登录系统的实体,可以拥有一些属性,如email、username、address、phone number等, 可以加入组,成为组成员 可以分配角色 Authentication 识别和验证用户 Authorization...
sp-keycloak1:Spring Boot 2 + Spring Security + Keycloak 4.1演示
04-27
演示 spring boot 2 + keycloak sso 登录
13-SpringSecurity:OpenID与Keycloak
最新发布
2401_84407942的博客
04-16 341
(2) 配置spring:security:oauth2:client:provider:keycloak:keycloak:scope:openidprofileemailserver:port: 8000(3) 启动应用为了看到登录成功后的效果,这里增加一个Controller;然后运行应用。在浏览器键入:,返回一个页面,其包含了Keycloak登录链接:点击Keycloak登录链接,会自动跳转至 我们创建的Keycloak服务认证页:输入在Heartsuit。
Keycloak快速入门及Springboot整合
peihj的博客
09-14 1805
Realm字面意思是领域,指的是在某一个软件业务领域所涉及的用户认证授权管理相关的对象,在这个realm下有用户、角色、会话(session)等等用于认证授权管理的对象。假设我们有两个web服务器,我们需要使用keycloak来对我们的资源进行保护,只有用户登录以后才能访问到这两个服务器的资源,否则就要跳转到登录页面。所以我们要在两个服务之前加一个gateway层,在这一层对用户请求进行拦截,验证用户是否已经登录,如果没有的话,就要引导用户去到keycloak登录页面,认证以后再跳转回到要访问的页面。
Spring Security 使用Keycloak作为认证授权服务器
码农小胖哥
08-03 2342
Keycloak对流行的Java应用提供了适配器。在系列文章的上一篇我们演示了针对Spring Boot的安全保护,用的就是适配器的一种。Keycloak同样提供Spring Secur...
9.0.2 keycloak集成springboot例子
03-31
9.0.2 keycloak集成springboot,数据库用的是mysql8.0.19
spring boot keycloak
07-27
基于spring boot 2.0.3 keycloak 4.0.0最新版本集成
spring-boot-reference.pdf
05-18
Spring Boot Documentation 1. About the Documentation 2. Getting Help 3. First Steps 4. Working with Spring Boot 5. Learning about Spring Boot Features 6. Moving to Production 7. Advanced Topics II. ...
spring boot 项目代码,直接启动本人编写的,里面包含PPT下载地址
09-09
spring boot 项目代码,直接启动,第一部分 点睛Spring 4.x 第1 章 Spring 基础 ..........................................2 1.1 Spring 概述 ............................................. 2 1.2 Spring 项目...
基于SpringBoot3.1SpringSecurity6.1Mybatis-Plus等框架,开发的一套企业级低代码开发平台
10-14
采用SpringBoot3.1SpringSecurity6.1、Mybatis-Plus等框架,开发的一套企业级低代码开发平台,使用门槛极低,且采用MIT开源协议,完全免费开源,可免费用于商业项目等场景,采用组件模式,扩展不同的业务功能,...
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(二)KeycloakSpringBoot集成
mltaozi的博客
10-19 4616
总结一下本章的内容,最重要的还是是yml文件权限的配置,这将直接影响到你的接口校验是否生效。其次就是客户端访问类型的设置和用户权限的问题。访问类型为public是不需要秘钥的。但是当我们选择其他两种访问类型,就需要配置秘钥了!到这里就结束了本章的内容,若有不对之处还请各位大佬指正。有什么问题也可以评论区留言。
keycloak-springsecurity5-sample:Spring Security 5 OAuth2 ClientOIDC与Keycloak示例的集成
01-31
keycloak-springsecurity5样本 Spring Security 5带来了新的OAuth2 / OIDC客户端,而不是旧的Spring Security OAuth子项目的旧客户端支持。 核心项目的新OAuth2伞形模块将替换旧的Spring Security OAuth,Spring Social等。在另外的5.1,计划实施OAuth2授权服务器和资源服务器,检查与。 与Spring Social不同,Spring Security 5 OAuth2客户端内置了对facebook,github,okta,Google等的支持,在此新客户端Spring Security 5提供了用于客户端注册的通用解决方案,因此您可以配置任何OAuth2 / OIDC提供程序而无需代码。 Spring Security源代码添加了一个新的,以演示最新的OAuth2客户端。 在本文,我们将分叉此示例,并尝试启动本地密钥斗篷服务器并将其配置为我们项目的自定义OAuth2 / OIDC提供程序。 设置本地密钥库服务器 为了简化工作,我准备了一个docker-comp
Spring Boot security集成Keycloak
qq_37590149的博客
05-27 768
集成Spring Security pom.xml引入security <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> application.ymlsecurity-constraints可以删除 application.yml
SpringBoot开发Keycloak token的获取以及校验
m0_46267097的博客
05-19 6054
SpringBoot开发Keycloak token的获取以及校验通过Keycloak的登录页跳转Client方式获取tokenclient开发查看token获取token通过接口校验token校验tokenKeycloak依赖包如下 通过Keycloak的登录页跳转Client方式获取token client开发 client的demo开发参考:SpringBoot集成Keycloak简单实例 查看token 我们在后台的Controller打上断点。 当我们登陆成功后,断点被触发,我们可以找到toke
Keycloak获取Token信息
qq_37597428的博客
08-27 888
获取Keycloak更高级别的权限,可以控制Keycloak的一些高级行为,例如清除缓存(Xxx.java)包括: accessToken、refreshToken、idToken。获取普通用户的token信息(Xxx.java
SpringBoot集成security(3)|(security的自定义登录以及异常处理)
Oaklkm的博客
12-05 753
上一章节我们介绍了springboot基于security的用户配置,权限配置,资源配置。但是实际发现,认证用的是默认的login表单登录,且认证授权异常的报错都比较粗暴直接放回一串JSON,这样很不友好,基于这个我们本节来介绍实现前后端分离自定义登录以及相应处理
Spring Security 6.x 系列【50】授权服务器篇之Spring Boot 3.1自动配置
记录知识、锤炼自我
06-02 987
Spring Boot 3.1添加了Oauth2授权服务器Spring Authorization Server支持。
SpringBoot集成security(1)|(security入门)
Oaklkm的博客
11-18 714
本系列文章将会介绍springsecurit从入门到深入了解,并能够在项目实际运用。本系列文章大致分为几个阶段,第一阶段了解security,第二阶段实现在springboot集成登录,第三阶段接入Oauth2、JWT,第四阶段实现第三方授权登录等。到此springboot集成security,并且security已经能够安全的保护我们的接口不被无认证请求访问,而且还能配置用户密码。
使用Keycloak实现安全的SpringBoot微服务
weixin_33816821的博客
03-22 2671
Keycloak是RedHat的开源身份和访问管理解决方案,本文介绍如何在我们的微服务安全模块使用keycloak,特别是基于SpringBoot的微服务。 Keycloak 它提供了身份和访问管理的有用功能: 单点登录(SSO),身份代理和社交登录 用户联合 客户端适配器 管理控制台和帐户管理控制台。 虽然安全性是任何应用程序的一个重要方面,但安全性的实现部分是复杂和困难的。通常,它在代码...
springsecurity整合jwt具体代码
05-18
好的,下面是Spring Security整合JWT的具体代码: 1. 引入依赖 在pom.xml文件引入以下两个依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> ``` 2. 配置WebSecurityConfigurerAdapter 在WebSecurityConfigurerAdapter配置JWT认证,如下: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private UserDetailsService jwtUserDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated().and(). exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 3. 编写JwtUserDetailsService JwtUserDetailsService实现了UserDetailsService接口,用于根据用户名从数据库或其他数据源获取用户信息,如下: ```java @Service public class JwtUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList<>()); } } ``` 4. 编写JwtAuthenticationEntryPoint JwtAuthenticationEntryPoint实现了AuthenticationEntryPoint接口,用于处理认证异常,如下: ```java @Component public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint, Serializable { private static final long serialVersionUID = -7858869558953243875L; @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); } } ``` 5. 编写JwtRequestFilter JwtRequestFilter继承了OncePerRequestFilter,用于拦截请求并验证JWT令牌,如下: ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired private JwtTokenUtil jwtTokenUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String requestTokenHeader = request.getHeader("Authorization"); String username = null; String jwtToken = null; if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) { jwtToken = requestTokenHeader.substring(7); try { username = jwtTokenUtil.getUsernameFromToken(jwtToken); } catch (IllegalArgumentException e) { logger.error("Unable to get JWT Token"); } catch (ExpiredJwtException e) { logger.error("JWT Token has expired"); } } else { logger.warn("JWT Token does not begin with Bearer String"); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.jwtUserDetailsService.loadUserByUsername(username); if (jwtTokenUtil.validateToken(jwtToken, userDetails)) { UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); usernamePasswordAuthenticationToken .setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } } chain.doFilter(request, response); } } ``` 6. 编写JwtTokenUtil JwtTokenUtil用于生成和验证JWT令牌,如下: ```java @Component public class JwtTokenUtil implements Serializable { private static final long serialVersionUID = -2550185165626007488L; public static final long JWT_TOKEN_VALIDITY = 5 * 60 * 60; @Value("${jwt.secret}") private String secret; // retrieve username from jwt token public String getUsernameFromToken(String token) { return getClaimFromToken(token, Claims::getSubject); } // retrieve expiration date from jwt token public Date getExpirationDateFromToken(String token) { return getClaimFromToken(token, Claims::getExpiration); } public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) { final Claims claims = getAllClaimsFromToken(token); return claimsResolver.apply(claims); } // for retrieveing any information from token we will need the secret key private Claims getAllClaimsFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } // check if the token has expired private Boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } // generate token for user public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return doGenerateToken(claims, userDetails.getUsername()); } // while creating the token - // 1. Define claims of the token, like Issuer, Expiration, Subject, and the ID // 2. Sign the JWT using the HS512 algorithm and secret key. // 3. According to JWS Compact Serialization(https://tools.ietf.org/html/draft-ietf-jose-json-web-signature-41#section-3.1) // compaction of the JWT to a URL-safe string private String doGenerateToken(Map<String, Object> claims, String subject) { return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis())) .setExpiration(new Date(System.currentTimeMillis() + JWT_TOKEN_VALIDITY * 1000)) .signWith(SignatureAlgorithm.HS512, secret).compact(); } // validate token public Boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } } ``` 7. 编写控制器 在控制器实现JWT认证,如下: ```java @RestController public class JwtAuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private JwtUserDetailsService userDetailsService; @RequestMapping(value = "/authenticate", method = RequestMethod.POST) public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtRequest authenticationRequest) throws Exception { authenticate(authenticationRequest.getUsername(), authenticationRequest.getPassword()); final UserDetails userDetails = userDetailsService .loadUserByUsername(authenticationRequest.getUsername()); final String token = jwtTokenUtil.generateToken(userDetails); return ResponseEntity.ok(new JwtResponse(token)); } private void authenticate(String username, String password) throws Exception { try { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password)); } catch (DisabledException e) { throw new Exception("USER_DISABLED", e); } catch (BadCredentialsException e) { throw new Exception("INVALID_CREDENTIALS", e); } } } ``` 以上就是Spring Security整合JWT的具体代码,希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值