什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量817 收藏 12
点赞数 29
分类专栏: 后端 文章标签: java keycloak 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63144319/article/details/138858366
版权

什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?

文章目录


keycloak官方网站: https://www.keycloak.org/

Open Source Identity and Access Management(开源身份和访问管理)

image-20240514140226792

Keycloak是一个开源的身份和访问管理解决方案,它提供了诸如单点登录(SSO)多因素认证用户管理权限管理等功能。Keycloak可以帮助开发人员轻松地集成身份验证和授权功能到他们的应用程序中,而无需自己编写复杂的身份验证和授权逻辑

1、支持的协议:

Keycloak支持多种协议,其中一些主要的协议包括:

  1. OAuth 2.0:OAuth 2.0是一种开放标准的授权框架,用于授权第三方应用访问用户资源。Keycloak使用OAuth 2.0协议来实现授权码授权、密码授权、客户端凭证授权等授权流程。

  2. OpenID Connect:OpenID Connect是建立在OAuth 2.0之上的身份验证协议,用于验证用户身份并提供用户信息。Keycloak支持OpenID Connect协议,可以用于实现身份验证和单点登录。

  3. SAML:Security Assertion Markup Language(SAML)是一种基于XML的标准,用于在身份提供者和服务提供者之间交换认证和授权信息。Keycloak可以充当SAML身份提供者和服务提供者,实现单点登录和身份验证。

  4. LDAP:Lightweight Directory Access Protocol(LDAP)是一种用于访问和维护分布式目录服务的协议。Keycloak可以集成LDAP作为用户存储,实现用户认证和授权。

  5. Kerberos:Kerberos是一种网络身份验证协议,用于在不安全的网络中安全地认证用户和服务。Keycloak可以集成Kerberos,实现基于票据的身份验证。

  6. Social Login:Keycloak还支持社交登录,可以通过集成第三方身份提供者(如Google、Facebook、GitHub等)实现用户身份验证和授权。

它支持多种身份验证方式,包括用户名密码、LDAP、Active Directory、社交登录等。Keycloak还提供了一个直观的管理界面,方便管理员配置和管理用户、角色和权限。

2、安装与部署

官方手册网址:https://www.keycloak.org/guides

image-20240514140335749

在官网中提供了许多的部署方式,文档很详细,可以根据文档进行操作,很方便。

2.1、在windows本地安装

  1. 下载资源:keycloak-24.0.4.zip

  2. 解压到本地,安装即成功。

    image-20240514140901963

  3. 使用命令行启动

    bin\kc.bat start-dev

    image-20240514141052353

  4. 访问http://localhost:8080

    image-20240514141214351

2.2、在docker安装部署

docker部署文档

命令:

docker run -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:24.0.4 start-dev

上述命令就是将docker部署并且进行启动,并设置管理员的用户名和密码都为admin,到时候可以登录查看。

访问http://localhost:8080即可。

3、keycloak使用–登录权限验证

3.1、首先使用管理员账号密码登录

(均为admin,或是自己设置)

image-20240514141737044

3.2、创建realm

image-20240514141842239

我创建的realm名为client

3.3、创建clients

image-20240514142029688

  1. 取名(Client ID)

    image-20240514142140265

    image-20240514142424649

  2. 设置重定向URIs

    image-20240514142711177

然后就可以在Clients list看见刚刚创建的client了

image-20240514142802227

3.4、创建角色

image-20240514142957339

image-20240514143027197

3.5、创建用户

image-20240514143125050

image-20240514143250277

image-20240514143411310

image-20240514143507288

3.6、对象关系映射

image-20240514143746995

image-20240514143807338

image-20240514143824663

4、在springboot项目中整合keycloak

4.1、创建html文件,设置对应的访问权限来访问

文件存在templates中:

image-20240514145308916

admin.html(只有管理员权限才能访问)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>这里是管理员页面,只有admin权限才能访问</h1>
</body>
</html>

index.html(用户,管理员,游客均可访问)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>这里是公共页面!</h1>
</body>
</html>

user.html(只有管理员和用户才能访问)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>这里是用户页面,拥有user、admin可访问!</h1>
</body>
</html>

4.2、创建Controller接口类

package com.pzhu.keycloak;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class HomeController {

    @GetMapping("/publicPage")
    public String home() {
        return "index";
    }

    @GetMapping("/user")
    public String user() {
        return "user";
    }

    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }
}

4.3、applicaiotn.yml配置文件

在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。

server:
  port: 8081

keycloak:
  realm: client  #域名
  resource: kc-springboot  #客户端id
  auth-server-url: http://localhost:8080 #对应的是keycloak的路径
  ssl-required: external
  public-client: false  #非public访问类型
  credentials:
    secret: bY7DnihsW2cMMLhnYQjyhLS0xk7479j5 #秘钥(来源于Client)
  securityConstraints:
    - auth-roles:  # 公共页面 无权限可访问
      security-collections:
        - name: any
        - patterns:
            - /publicPage

    - auth-roles: # 要user或者admin权限才可访问
        - user
        - admin
      security-collections:
        - name: user page
        - patterns:
            - /user

    - auth-roles: # 需要admin权限才能访问
        - admin
      security-collections:
        - name: admin
        - name: admin
          patterns:
            - /admin
spring:
  application:
    name: keycloak

其中,secret密钥来源于:

image-20240514145848247

5、启动项目

5.1、访问公共页面

image-20240514150454489

5.2、访问用户页面

访问路径http://localhost:8081/user就可以进入user页面,但是此页面只有用户和管理员身份才能访问,现在就跳转到keycloak的登录页面进行登录验证,输入我们的用户名(使用上述创建的user02用户和密码)。

image-20240514151109140

登录之后:image-20240514151152292

将路径切换为http://localhost:8081/admin来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)

image-20240514151901630

5.3、访问admin页面

必须使用admin权限的用户才能访问admin页面

访问admin页面:http://localhost:8081/admin

使用创建,并具有admin角色的用户登录:

image-20240514152047802

可以访问:

image-20240514152206468

项目整合参考文章:https://blog.csdn.net/mltaozi/article/details/128033902

项目源码:https://pan.baidu.com/s/1Lxn1R1PtRFcxyD8Biw_2Pg?pwd=axqo

6、踩坑!!!

根据网上博主的分享和官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。

网页报错

image-20240514154243790

控制台报错

2023-12-18 16:23:10,874 ERROR [org.wildfly.security.http.oidc] (default task-6) status from server: 400
2023-12-18 16:23:10,874 ERROR [org.wildfly.security.http.oidc] (default task-6)    {"error":"invalid_grant","error_description":"Incorrect redirect_uri"}

于是找了很久,去github上看了看,发现了问题:文章链接https://github.com/keycloak/keycloak/discussions/25684

那个大佬是这样说的:

image-20240514154043996

翻译:是的!这是iss,如果你看到两个redirect_uri只是因为iss参数而不同。转到您的客户端,在“高级”选项卡中将“从身份验证响应中排除颁发者”设置为“打开”。

这个问题与redirect_uri验证中的更改无关,而是与规范引入的新iss参数有关。您的客户端不会将其从uri中删除。

然后我就**在“高级”选项卡中将“从身份验证响应中排除颁发者”设置为“打开”**然后就可以访问了。

  1. 选择clients:

    image-20240514154630089

  2. 选择advanced:

    image-20240514154745925

  3. 打开“从身份验证响应中排除颁发者”

    image-20240514154850124

现在就可以登录拉!困扰很久的WTF!

曼诺尔雷迪亚兹
关注
  • 29
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Boot Web应用集成Keycloak进阶之细粒度权限控制
m0_60721860的博客
03-19 372
其他知识点面试webpack的原理webpack的loader和plugin的区别?怎么使用webpack对项目进行优化?防抖、节流浏览器的缓存机制描述一下二叉树, 并说明二叉树的几种遍历方式?项目类问题技术栈比较搭,基本用过的东西都是一模一样的。快手终面喜欢问智力题,校招也是终面问智力题,大家要准备一下一些经典智力题。如果排列组合、概率论这些基础忘了,建议回去补一下。
cypress-keycloak-commands:赛普拉斯使用Keycloak登录的命令
05-02
经过Keycloak 4.8、5、6、7和8的测试 用法 正在安装 使用npm安装软件包: npm i -D cypress-keycloak-commands 或纱线: yarn add -D cypress-keycloak-commands 将软件包导入文件cypress/support/commands.js ...
Spring Boot/Angular整合Keycloak实现单点登录功能
08-25
Keycloak新的发行版命名为Quarkus,专为GraalVM和OpenJDK HotSpot量身定制的一个Kurbernetes Native Java框架,计划2019年底正式发布。这篇文章主要介绍了Spring Boot/Angular整合Keycloak实现单点登录,需要的朋友可以参考下
使用keycloak配置单点登录
06-07
使用开源keycloak配置单点登录,对接zabbix、jumpserver等平台
一款强大的开源认证和访问控制利器:KeyCloak
z_ssyy的博客
06-26 844
我们可参考这两套主题的代码,编写我们自己的主题。上文,我们创建的Client都是public 类型的,而现在,其实只有Zuul需要对外,其他服务都是经过Zuul或者Feign传递Token的。Keycloak利用policy的概念,以及如何通过提供聚合policy的概念来定义它们,您可以在其中构建“policy 中的 policy”,并仍然控制评估的行为。当然,也可以不创建Realm,直接用 Master 这个Realm,不过一般来说,为了资源的隔离,以及更好的安全性不太建议与管理员共用Realm。
探索Keycloak:统一身份认证与访问管理的新维度
gitblog_00013的博客
04-19 237
探索Keycloak:统一身份认证与访问管理的新维度 项目地址:https://gitcode.com/jboss-dockerfiles/keycloak Keycloak 是一个开源的身份和访问管理解决方案,由Red Hat开发并维护。它提供了一整套功能,包括单点登录(SSO)、身份验证、用户注册、社交登录和精细权限控制等,帮助企业或组织轻松地保护在线服务的安全性。 项目概述 Keycloak...
keycloak介绍:docker版本使用示例与用户登录超时时间设置
闫玉林的博客
05-18 1452
Keycloak的docker/docker-compose版本使用,超时时间保活时间设置。Keycloak是一款由Red Hat开源社区开发的开放源代码的身份和访问管理解决方案,它提供了安全的单点登录(SSO)、多因素身份验证、社交登录和基于角色的访问控制等功能Keycloak基于OAuth 2.0和OpenID Connect协议,并支持SAML 2.0,可与多种身份验证和授权方案集成。Keycloak提供了RESTful API,可与其他应用程序集成,以实现强大的身份验证和访问控制功能
SpringBoot整合Keycloak实现单点登录
liu320yj的博客
03-20 6847
Keycloak是一个开源的身份和权限访问管理工具,轻松为应用程序和安全服务添加身份验证,无需处理储存用户或者验证用户,其提供用户联合、强健的身份验证、用户管理和细粒度授权等功能。 搭建Keycloak服务器 本文使用docker compose安装keycloak,因为keycloak依赖数据库,在安装keycloak之前需要先安装数据库,本文使用mysql,具体的compose配置如下: version: '3.7' services: mysql: container_name: my
Keycloak实现手机验证登录
austindev的博客
07-23 4857
背景说明 使用Keycloak作为账号体系的项目中,经常会被问到Keycloak如何实现手机验证登录Keycloak有没有内置的基于短信的登录实现SMS-based two-/multi-factor-authentication (2FA/MFA) ; Keycloak目前只内置一种基于 Google Authenticator 的 2FA 选项。 这篇主要讨论实现上述的需求的几种方案,以及相应的优缺点: 定制 Authentication SPI,实现Keycloak统一的浏览器手机验证登录
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(一)Keycloak的下载与使用
mltaozi的博客
11-22 8541
接触keycloak已经半个多月了,主要是为了用来集成现已有的项目,也是弄得头大,代码不负脱发人,也是有点小成果了,在这里把自己的这点小小经验分享给大家!
keycloak登录密码设置导致的弱口令安全漏洞
闫玉林的博客
06-18 2220
Keycloak是一个开源的身份认证和授权管理系统,它提供了多种身份认证方式(例如:用户名/密码、OAuth、OpenID Connect、SAML 2.0等)和授权策略,为应用程序和服务提供了安全的用户结构和访问控制Keycloak被广泛应用于企业系统中,尤其是在支持多种身份验证单点登录的应用程序中,也可以与常用的开发框架(例如:Spring、React等)集成Keycloak易于使用并提供了可扩展性和灵活性,可适用于各种应用场景,保障应用程序的信息安全和用户数据隐私。
keycloak-sso:自定义帐户管理模板,keycloak身份验证和授权
01-29
keycloak-springbootsecurity支持对安全应用程序的OpenIdConnect协议,该协议使用Spring Boot和Spring Security。 keycloak-react支持安全应用程序使用的OpenIdConnect协议,该协议使用keycloak javascript适配器...
raincatcher-keycloak-theme:为Keycloak登录屏幕创建自定义主题以使用移动应用程序
02-04
raincatcher-keycloak-theme:为Keycloak登录屏幕创建自定义主题以使用移动应用程序
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(二)Keycloak与SpringBoot的集成
mltaozi的博客
10-19 4481
总结一下本章的内容,最重要的还是是yml文件权限的配置,这将直接影响到你的接口校验是否生效。其次就是客户端访问类型的设置和用户权限的问题。访问类型为public是不需要秘钥的。但是当我们选择其他两种访问类型,就需要配置秘钥了!到这里就结束了本章的内容,若有不对之处还请各位大佬指正。有什么问题也可以评论区留言。
Keycloak 梳理
热门推荐
帷幄庸者的博客
10-29 1万+
Keycloak [top] Keycloak为Web应用和Restful服务提供了一站式的单点登录解决方案。它的目标就是让应用的安全管理变得简单,让开发人员可以轻松地保护他们的应用程序和服务。并且Keycloak登录、注册、用户管理提供了可视化管理界面,你可以借助于该界面来配置符合你需要的安全策略和进行用户管理。 主要功能 Keycloak实现了业内常见的认证授权协议和通用的安全技术,主要有: 浏览器应用程序的单点登录(SSO)。 OIDC认证授权。 OAuth 2.0。 SAML。 多租户支持。 身
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 864
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1190
Spring 是一款主流的 Java EE 轻量级开源框架 ,Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 480
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
docker keycloak
04-02
Docker Keycloak是一个基于Docker容器的开源身份和访问管理解决方案。它提供了一套完整的身份验证和授权功能,可以用于保护Web应用程序、API和其他资源的访问。 Keycloak是一个独立的身份和访问管理服务器,它支持OpenID Connect、OAuth 2.0和SAML等标准协议。通过使用Docker容器化部署Keycloak,可以方便地在不同的环境中进行部署和管理。 使用Docker Keycloak可以实现以下功能: 1. 用户认证和授权:Keycloak提供了用户管理、身份验证和授权功能,可以轻松地集成到应用程序中,实现用户登录权限控制。 2. 单点登录(SSO):Keycloak支持单点登录,用户只需要登录一次,就可以访问多个受保护的应用程序。 3. 多租户支持:Keycloak可以支持多个租户,每个租户都有自己的用户、角色和权限。 4. 客户端适配器:Keycloak提供了各种客户端适配器,可以轻松地集成到不同的应用程序中,包括JavaJavaScript、Node.js等。 5. 可扩展性和高可用性:通过使用Docker容器化部署Keycloak,可以实现水平扩展和高可用性,以满足不同规模和需求的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曼诺尔雷迪亚兹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值