在Spring Boot应用中集成Keycloak作认证和鉴权

于 2021-07-16 20:38:27 发布 2362 收藏 8
分类专栏: SpringBoot Keycloak 文章标签: keycloak Spring Security 认证 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nklinsirui/article/details/118821925
版权

文章目录

在Spring Boot应用中集成Keycloak作认证和鉴权

前言

本文描述了在Spring Boot应用中通过Spring Security集成Keycloak来实现用认证和鉴权。

工具和环境:

  • Spring Boot 2.4.0
  • Spring Security
  • Spring Boot Thymeleaf
  • Keycloak 12.0.1

引入依赖

Spring Security依赖

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-test</artifactId>
  <scope>test</scope>
</dependency>
<dependency>
  <groupId>org.keycloak</groupId>
  <artifactId>keycloak-spring-boot-starter</artifactId>
</dependency>

Keycloak依赖

<dependency>
  <groupId>org.keycloak</groupId>
  <artifactId>keycloak-spring-boot-starter</artifactId>
</dependency>

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>org.keycloak.bom</groupId>
      <artifactId>keycloak-adapter-bom</artifactId>
      <version>12.0.1</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>

Thymeleaf依赖

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
  <groupId>org.thymeleaf.extras</groupId>
  <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

安装Keycloak

以Docker方式安装Keycloak:

#!/bin/bash

# Create a user defined network
docker network create keycloak-network

# Start a MySQL instance
docker run --name keycloak-mysql \
  -d \
  --net keycloak-network \
  -v $HOME/keycloak/mysql-data:/var/lib/mysql \
  -e MYSQL_DATABASE=keycloak \
  -e MYSQL_USER=keycloak \
  -e MYSQL_PASSWORD=keycloak123 \
  -e MYSQL_ROOT_PASSWORD=keycloak123 \
  mysql:8.0

# Start a Keycloak instance
docker run --name keycloak \
  -d \
  --net keycloak-network \
  -p 8180:8080 \
  -e DB_VENDOR=mysql \
  -e DB_ADDR=keycloak-mysql \
  -e DB_DATABASE=keycloak \
  -e DB_USER=keycloak \
  -e DB_PASSWORD=keycloak123 \
  -e KEYCLOAK_USER=admin \
  -e KEYCLOAK_PASSWORD=admin \
  quay.io/keycloak/keycloak:12.0.1

# check logs
# docker logs -f keycloak

说明:

  • 采用MySQL来持久化Keycloak配置。
  • 设置Keycloak的端口为8180

参见:

在Keycloak上配置

在Keycloak上新建Realm、Client、Role和User:

  • 创建一个新Realm - xdevops
  • 在该Realm下创建一个Client
    • Client ID - springboot-keycloak-demo
    • Root URL - http://localhost:8080/ (对应的Valid Redirect URL为http://localhost:8080/*)
  • 在该Realm下创建两个Role
    • admin - 管理员
    • user - 普通用户
  • admin 角色下创建william用户,在user角色下创建john用户。

参见:

构建Spring Boot应用

配置Keycloak属性

application.yaml中配置Keycloak属性:

keycloak:
  # the name of the realm, required
  realm: xdevops
  # the client-id of the application, required
  resource: springboot-keycloak-demo
  # the base URL of the Keycloak server, required
  auth-server-url: http://localhost:8180/auth
  # establishes if communications with the Keycloak server must happen over HTTPS
  # set to external, meaning that it's only needed for external requests (default value)
  # In production, instead, we should set it to all. Optional
  ssl-required: external
  # prevents the application from sending credentials to the Keycloak server (false is the default value)
  # set it to true whenever we use public clients instead of confidential
  public-client: true
  # the attribute with which to populate the UserPrincipal name
  principal-attribute: preferred_username

说明:

  • realm 为上面创建的Relam。

  • resource为上面创建的Client ID。

  • auth-server-url 为Keycloak server的auth url。

  • 默认创建的Client的Access Type为public,所以这里设置public-clienttrue

  • principal-attribute: preferred_username 表示用Keycloak User的preferred_username 属性作为Spring Security Principal的name

如果需要配置Client的Access Type为confidential,则需要在应用配置中设置public-client 为false,并提供Client Secret。
示例如下:

# prevents the application from sending credentials to the Keycloak server (false is the default value)
  # set it to true whenever we use public clients instead of confidential
  # when access type in keycloak is `confidential` must set `public-client: false`
  public-client: false
  # client secret: client id and secret
  # https://www.keycloak.org/docs/latest/securing_apps/index.html#_client_authentication_adapter
  credentials:
    secret: "<client-secret>"

参见:

可以在Keycloak中查看Client Settings,打开Installation页,选择“Keycloak OIDC JSON”格式来查看Keycloak属性:
示例:

{
  "realm": "xdevops",
  "auth-server-url": "http://localhost:8180/auth/",
  "ssl-required": "external",
  "resource": "springboot-keycloak-demo",
  "credentials": {
    "secret": "<client-secret>"
  },
  "confidential-port": 0
}

Keycloak安全配置

创建一个SecurityConfig类:

import org.keycloak.adapters.springboot.KeycloakSpringBootConfigResolver;
import org.keycloak.adapters.springsecurity.KeycloakSecurityComponents;
import org.keycloak.adapters.springsecurity.authentication.KeycloakAuthenticationProvider;
import org.keycloak.adapters.springsecurity.config.KeycloakWebSecurityConfigurerAdapter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.authority.mapping.SimpleAuthorityMapper;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy;
import org.springframework.security.web.authentication.session.SessionAuthenticationStrategy;

@Configuration
@EnableWebSecurity
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http.authorizeRequests()
                    .antMatchers("/manager").hasRole("admin")
                    .antMatchers("/books").hasAnyRole("user", "admin")
                    .anyRequest().permitAll();
    }

    /**
     * Make sure roles are not prefixed with ROLE_.
     * @param builder
     */
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder builder) {
        KeycloakAuthenticationProvider provider = keycloakAuthenticationProvider();
        provider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper());
        builder.authenticationProvider(provider);
    }

    /**
     * Use the Spring Boot application properties file support instead of the default keycloak.json.
     * @return
     */
    @Bean
    public KeycloakSpringBootConfigResolver keycloakConfigResolver() {
        return new KeycloakSpringBootConfigResolver();
    }

    @Override
    protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
        return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
    }

}

说明:

  • 访问控制
    • 配置了只有admin角色时才能访问/manager 端点。
    • 配置了只有useradmin角色时才能访问/books端点。
    • 访问其他端点,不作控制。
  • 注入configureGlobal,不让Spring Security默认在Role前添加ROLE_
  • 注入keycloakConfigResolver,让Spring Boot从application properties/yaml 中读取Keycloak配置,而不是从默认的类路径的key cloak.json中读取配置。

关于httpsecurity的用法参见:

Web层

LibraryController类中定义了两个端点:

  • /books - 普通用户或管理员都可以浏览图书。
  • /manager - 管理员才可以管理图书。
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;

import javax.servlet.http.HttpServletRequest;
import java.security.Principal;

@Controller
public class LibraryController {

    private final BookRepository bookRepository;

    public LibraryController(BookRepository bookRepository) {
        this.bookRepository = bookRepository;
    }

    @GetMapping("/books")
    public String getBooks(Model model, Principal principal) {
        model.addAttribute("books", bookRepository.readAll());
        model.addAttribute("name", principal.getName());
        return "books";
    }

    @GetMapping("/manager")
    public String manageBooks(Model model, HttpServletRequest request) {
        model.addAttribute("books", bookRepository.readAll());
        model.addAttribute("name", SecurityUtils.getIDToken(request).getGivenName());
        return "manager";
    }
}

说明:

  • getBooks 方法演示了直接通过Spring Security Principal获取当前用户的名称,这里是Keycloak User的preferred_username
  • manageBooks 方法演示了通过一个工具类从request中获取Keycloak User的详细信息。

其他获取当前用户信息的方式:

// 在Controller方法中传入Authentication对象
authentication.getName()

// 在Controller方法中传入HttpServletRequest对象
request.getUserPrincipal().getName()

// 通过SecurityContextHolder工具类获取
SecurityContextHolder.getContext().getAuthentication().getName()

参见:

Keycloak工具类

import org.keycloak.KeycloakSecurityContext;
import org.keycloak.representations.IDToken;

import javax.servlet.http.HttpServletRequest;

public final class SecurityUtils {

    private SecurityUtils() {

    }

    public static KeycloakSecurityContext getKeycloakSecurityContext(HttpServletRequest request) {
        return (KeycloakSecurityContext) request.getAttribute(KeycloakSecurityContext.class.getName());
    }

    public static IDToken getIDToken(HttpServletRequest request) {
        return SecurityUtils.getKeycloakSecurityContext(request).getIdToken();
    }
}

说明:

  • getIDToken 方法返回了Keycloak security context,其中包含当前登录的Keycloak User的详细信息。

测试访问页面

在浏览器中访问http://localhost:8080

  • 全部用户都可以访问Home页。
  • 只有普通用户和管理员都可以访问Browse Books页,看到图书列表。
  • 只有管理员才可以访问Manage Library页,看到一张图书馆照片。
  • 访问Browse Books页和Manage Library页时,如果用户还未登录,则会跳转到Keycloak的登录页面。

Tips: 在Chrome浏览器中按F12, 在Console菜单中勾选“Disable Cache”来方便调试页面时不受缓存影响。

小结

本文的完整代码示例:

参考文档

nklinsirui
关注
  • 1
    点赞
  • 8
    收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
keycloak-api-key:使用API​​Key授权的Keycloak模块
04-09
密钥斗篷ApiKey身份验证 该模块扩展了 的相关文章是[ ( ) 它在Keycloak启用ApiKey验证,当验证失败时,它会发出LOGIN_ERROR事件,否则会发出LOGIN 。 与使用时,这很酷 改进之处 通过会话上下文发现领域 抽奖活动 运行示例 运行: mvn package -Drelease.version=0.1 && docker-compose up --build
Oauth2.0登录鉴权验证
02-24
Oauth2.0,第三方登录鉴权验证教程。
focus:focus,用shiro和springboot构建的权限管理系统,用户,角色,资源管理授权,细粒度到权限码
03-23
#focus权限管理系统,学习springboot和shiro [访问地址] 账号:melo密码:12345678 一。采用框架 前端:jquery,bootstrap前端:springboot,shiro,mybatis,redisson,swagger数据库:mysql jdk:1.8 二。编程记录 [我的博客记录了基本的构建过程] [访问地址] 账号:melo密码:12345678 三。部署过程 1.建立名为focus的数据库,执行项目的sql文件2.更改应用程序数据库和redis的用户名密码3.如果不用redis的朋友,可以将配置文件,configclass,安全管理器,和resouceserviceredis业务注释掉即可4.访问localhost:8080账号:melo密码:12345678
java web - springboot集成Keycloak + 前端开发环境
wdquan19851029的专栏
01-13 2492
这篇文章将会包括建立一个Keycloak server,springboot怎样连接Keycloak,以及怎样跟Spring Security搭配使用。 1.什么是Keycloak? Keycloak是一个面向现代应用和服务的开源的身份和访问管理解决方案。Keycloak提供了诸如单点登录(SSO)、身份代理和社交登录、用户联合、客户端适配器、管理控制台和帐户管理控制台等功能。想了解更多关于Keycloak的信息,请访问官方页面https://www.keycloak.org/。 本文将使用管理控制台
SpringBoot集成Keycloak简单实例
m0_46267097的博客
05-13 8377
SpringBoot集成Keycloak简单实例下载Keycloak安装Keycloak启动Keycloak准备工Keycloak创建realm创建client配置Client创建Role创建User分配User的角色配置Client和Role映射SpringBoot创建一个简单的SpringBoot项目添加依赖配置文件添加代码开始测试 下载Keycloak 下载地址:Keycloak10.0.1 CSDN资源链接:Keycloak10.0.1 安装Keycloak 解压即可 启动Keycloak 找到
keycloak接入Springboot
m0_46527847的博客
01-29 1329
keycloak之接入方案前言单点登录(SSO)Keycloak是什么Keycloak常用核心概念介绍Keycloak服务安装及配置安装Keycloak创建Realm创建客户端创建前端应用客户端创建后端应用客户端关于客户端的访问类型(Access Type)创建用户和角色创建角色创建用户绑定用户和角色给admin用户分配角色ROLE_ADMIN给customer用户分配角色ROLE_CUSTOMERVue应用集成Keycloak简明指南创建vue项目添加官方Keycloak js适配器main.jsHell
Keycloak简单几步实现对Spring Boot应用的权限控制
码农小胖哥
07-09 1204
我们在上一篇初步尝试了keycloak,手动建立了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。今天就来尝试一下对应的Spring Boot Ad...
SpringBoot整合Keycloak实现单点登录
liu320yj的博客
03-20 5086
Keycloak是一个开源的身份和权限访问管理工具,轻松为应用程序和安全服务添加身份验证,无需处理储存用户或者验证用户,其提供用户联合、强健的身份验证、用户管理和细粒度授权等功能。 搭建Keycloak服务器 本文使用docker compose安装keycloak,因为keycloak依赖数据库,在安装keycloak之前需要先安装数据库,本文使用mysql,具体的compose配置如下: version: '3.7' services: mysql: container_name: my
[Keycloak] - 基于Spring Boot框架的,内嵌式的服务
06-19 535
Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案,点击这里进入官方网站。Keycloak支持单独部署,也支持内嵌的方式集成Spring Boot 项目,使用keycloak-dependencies-server-all包,可以很方便的实现。使用版本:在这里,不详细列举代码,请参考代码keycloak,下面具体介绍如何运行调试项目。下载后项目图如下:​ 本篇文章重点介绍springboot-embedded-server项目,你将学习到如何配置,运行项目。修.........
Springboot 集成keycloak admin-cli api
浦江之猿的博客
03-20 1614
Springboot 集成keycloak admin-cli api 前言keycloak配置安装keycloak创建realm创建client配置角色Springboot 项目的配置:spring-boot 配置文件配置文件映射类keycloak客户端配置类 ) 前言 本文适合有keycloak的基础的同学参考。 语言: java 框架: spring-boot 运行环境: docker 最近在做一个项目,使用keycloak鉴权服务,公司的安全策略要求keycloak本身提供的master re
keycloak-phone-provider:一个Keycloak提供者,可以通过电话和短信
05-23
Keycloak电话提供商 电话支持,如电子邮件 通过电话进行OTP 用手机注册 电话认证 短信语音电话一键登录 使用此提供程序,您可以基于发送到用户手机的验证令牌来实施身份验证策略。 当前,有Twilio和TotalVoice以及YunTongXun SMS发件人服务的实现。 也就是说,很高兴地注意到,由于采用了模块化,可以轻松使用更多服务,实际上,没有什么可以阻止您实现TTS呼叫或WhatsApp消息的发送者。 这是您现在可以做的: 检查电话号码的所有权(表单和HTTP API) 在2FA方法(浏览器流程)将SMS用第二要素 通过电话重置密码(测试) 通过电话认证(HTTP API) 通过电话对所有人进行身份验证,并在Grant(HTTP API)上自动创建用户 用手机注册 仅注册电话(用户名是电话号码) 使用redirect_uri参数注册添加用户属性 此提供程序
springboot-keycloak-demo:学习使用keycloak,并记录一些学习资料
02-05
springboot-密钥斗篷演示 第一步:部署keycloak的单机模式服务器 下载keycloak-2.5.1.Final.tar.gz包,和解压 cd keycloak-2.5.1.Final/keycloak 启动数据库mysql 创建数据库create database keycloak; bin / add-user-keycloak.sh -r master -u用户名-p密码 在Standalone / configuration / standalone.xml文件加入 <datasource jndi-name="java:jboss/d
embedded-spring-boot-keycloak-server:嵌入在Spring-Boot应用程序Keycloak JAX-RS应用程序
04-01
Spring Boot应用程序运行的嵌入式Keycloak服务器 该项目提供了一个基于和的嵌入式身份验证和授权服务器。 这个想法是有一个的变体,但它基于Spring Boot而不是Quarkus。 通过在Spring-Boot环境托管它的JAX-RS应用程序来嵌入Keycloak。 兼容性 下表显示了嵌入式Keycloak服务器版本使用的Keycloak版本。 嵌入式Keycloak服务器 钥匙斗篷 1.xy 9.0.3 2.3.y 10.0.2 2.4.y 11.0.2 模组 嵌入式Keycloak服务器弹簧启动支持 该模块包含将Keycloak服务器嵌入Spring Boot应用程序所需的位。 嵌入式密钥斗篷服务器弹簧启动启动器 该模块包含用于嵌入式Keycloak服务器的Spring Boot启动器。 嵌入式密钥斗篷服务器平原 这是一个示例模块,显示了在没有其他自
Spring Boot Web应用集成Keycloak进阶之细粒度权限控制
weixin_47083537的博客
06-28 2040
本文讲述Spring Boot的Web应用如何集成Keycloak实现细粒度权限控制。 Keycloak核心权限概念综述 Keycloak支持细粒度权限控制策略,可以组合使用如下不同的访问控制机制: Attribute-based access control (ABAC) Role-based access control (RBAC) User-based access control (UBAC) Context-based access control (CBAC) Rule-based acce
spring-boot-blueprint:使用Keycloak和Vue.js的Spring Boot蓝图
02-06
Spring Boot Starter蓝图 :rocket: 该项目旨在为使用Spring Boot和Vue.js构建和部署全栈Web应用程序提供一个非常少见但具有现代功能的完整蓝图。 该蓝图对于希望使用合理的默认值开始构建Web应用程序但又希望保持灵活性的人们很有用。 因此,此蓝图仅包含开始构建所需的库和配置,不提供任何有助于构建Web应用程序的应用程序代码或结构。 为此,您可以访问,其提供了许多有用的示例。 产品特点 具有集成的 :key: 使用迁移 :file_folder: 使用 + 数据库设置 :file_folder: 在构建时将前端嵌入到jar :card_index: 用于对存储库和其他基础进行集成测试的测试 集成,用于对象和声明某些行为 本地运行所
springboot整合keycloak
qq690452074的专栏
03-31 1875
1. Keycloak是什么? Keycloak是一种面向现代应用程序和服务的开源的IAM(身份识别与访问管理)解决方案。 Keycloak提供了单点登录(SSO)、Identity Brokering和社交账号登录、User Federation、客户端适配器、管理控制台和帐户管理控制台等特性。想了解更多关于Keycloak的信息,请访问官方页面。 在本教程,我们将使用Keycloak...
Keycloak实现手机验证码登录
austindev的博客
07-23 3120
背景说明 使用Keycloak为账号体系的项目,经常会被问到Keycloak如何实现手机验证码登录,Keycloak有没有内置的基于短信的登录实现SMS-based two-/multi-factor-authentication (2FA/MFA) ; Keycloak目前只内置一种基于 Google Authenticator 的 2FA 选项。 这篇主要讨论实现上述的需求的几种方案,以及相应的优缺点: 定制 Authentication SPI,实现Keycloak统一的浏览器手机验证码登录
Keycloak服务开发-认证服务SPI
最新发布
JosephThatwho的博客
07-26 1998
keycloak认证服务提供接口
keycloak 微服务认证_Java架构-使用Keycloak实现安全的SpringBoot微服务「巴分巴秒」...
weixin_39633089的博客
12-02 320
引言Keycloak是RedHat的开源身份和访问管理解决方案,本文介绍如何在我们的微服务安全模块使用keycloak,特别是基于SpringBoot的微服务。Keycloak它提供了身份和访问管理的有用功能:单点登录(SSO),身份代理和社交登录用户联合客户端适配器管理控制台和帐户管理控制台。虽然安全性是任何应用程序的一个重要方面,但安全性的实现部分是复杂和困难的。通常,它在代码经常被忽略或...
(八)keycloak 设置客户端访问类型 confidential
07-19 714
设置keycloak的客户端访问类型为 confidential
springboot mybatis 整合druid
laow的博客
07-26 293
springboot mybatis整合druid 添加依赖 <!-- 事务管理aop、jdbc依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency&

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nklinsirui

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值