如何在 Spring Boot 应用程序中使用 Keycloak

最新推荐文章于 2024-06-21 03:13:16 发布
最新推荐文章于 2024-06-21 03:13:16 发布
阅读量1k 收藏 2
点赞数
文章标签: spring boot java 服务器 数据库 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37116560/article/details/130966635
版权

在这篇文章中,我将展示如何在 Spring Boot 应用程序中使用 Keycloak。在我们使用 Keycloak 之前,我们将介绍一些关于 Keycloak 是什么以及我们为什么使用它的基础知识。

要开始前,您需要具备以下条件:

  • 代码编辑器——IntelliJ
  • 数据库——MySQL
  • Keycloak
  • Java 8

什么是Keycloak?

Keycloak是一种用于现代应用程序和服务的开源身份和访问管理解决方案。Keycloak 同时提供 SAML 和 OpenID 协议解决方案。

我们为什么要使用Keycloak?

如前所述,Keycloak 提供身份和访问管理,它也是开源的。SAML 和 OpenID 协议是行业标准。构建与 Keycloak 集成的应用程序只会为您提供更安全和稳定的解决方案。当然还有其他可用的解决方案,如 Gluu、Shibboleth、WSO2。

对于这篇文章,我们将使用 Keycloak。

在Spring Boot 应用程序中使用keycloak

这个演示有两个部分。一个是关于Keycloak。第二个是关于使用 Keycloak 保护 Spring Boot 应用程序。

安装Keycloak

在您的机器上下载Keycloak 。解压缩下载的文件并使用命令提示符下 bin 目录中的以下命令运行服务器(注意 – 我在 Windows 机器上):

standalone.bat -Djboss.socket.binding.port-offset=100

这将在本地计算机上为您的 Keycloak 启动 Wildfly 服务器。我们可以通过执行 URL 来访问服务器http://localhost:8180。如果您只是使用 standalone.bat 执行而没有该参数,则服务器将在端口上运行8080

Keycloak 首屏

启动服务器后,您要做的第一件事就是创建一个管理员用户。我们将创建一个用户 admin 和密码 d#n3q2b 。

现在我们将访问管理控制台并输入我们的用户详细信息。一旦我们以管理员用户身份登录,我们将看到如下第一个屏幕:

钥匙斗篷主屏幕

添加应用程序

初始屏幕显示默认领域。出于演示目的,我们将创建一个新领域SpringBootKeycloakApp。在这个领域中,我们将添加我们的 Spring Boot 应用程序作为客户端。在“客户端”选项卡上创建一个新客户端。我们将我们的客户端应用程序命名为 SpringBootApp。

现在在设置中,我们将为我们的 Spring Boot 应用程序添加重定向 url。这是 Keycloak 将在身份验证后重定向到我们的应用程序的 URL。此外,我们使用 openid connect 作为协议作为此实现的一部分。

密钥斗篷设置

添加用户

现在我们将添加一个我们将用于身份验证的用户。我们将使用此用户登录到我们的示例 Spring Boot 应用程序。

在 Keycloak 的角色选项卡上为该用户添加您想要的角色ROLE_User。完成后,让我们转到“用户”选项卡并添加一个新用户。

添加用户

在 Role Mappings 选项卡上,确保为该用户添加新创建的角色。

创建 Spring Boot 应用程序

现在,我们将创建一个简单的 Spring Boot 应用程序,它将使用 Keycloak 来确保安全。作为此应用程序的一部分,我们将为将通过应用程序进行身份验证的用户显示待办事项列表任务。

要构建此应用程序,我们需要以下依赖项:

dependencies { implementation 'org.springframework.boot:spring-boot-starter-data-jpa' implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'org.springframework.boot:spring-boot-starter-thymeleaf' implementation 'org.springframework.boot:spring-boot-starter-web' implementation 'org.springframework.boot:spring-boot-starter-jdbc' implementation 'org.keycloak:keycloak-spring-boot-starter' runtimeOnly 'mysql:mysql-connector-java' testImplementation('org.springframework.boot:spring-boot-starter-test') { exclude group: 'org.junit.vintage', module: 'junit-vintage-engine' } testImplementation 'org.springframework.security:spring-security-test' }

如您所见,我们正在使用spring-bootandspring-security以及keycloak-spring-boot-starter依赖项。

keycloak 依赖项包括 Keycloak 客户端适配器。我们将使用这些适配器进行身份验证。它们将取代我们的标准 Spring Security 适配器。为了确保此keycloak-spring-boot-starter依赖项正常工作,我们需要在我们的 gradle 文件中添加一个依赖项,如下所示:

dependencyManagement { imports { mavenBom "org.keycloak.bom:keycloak-adapter-bom:11.0.2" } }

要了解更多相关信息,您可以访问keycloak的官方文档。

我们的 Controller 类将有两个重要的方法,一个是获取任何人都可以访问的主页,另一个是获取任务列表,只有具有 ROLE_User 角色的经过身份验证的用户才能访问这些任务。此 TaskController 的代码如下所示:

``` package com.betterjavacode.keycloakdemo.keycloakdemo.controllers;

import com.betterjavacode.keycloakdemo.keycloakdemo.dto.TaskDto; import com.betterjavacode.keycloakdemo.keycloakdemo.managers.TaskManager; import org.keycloak.KeycloakSecurityContext; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.web.bind.annotation.GetMapping;

import javax.servlet.http.HttpServletRequest; import java.util.List;

@Controller public class TaskController { private final HttpServletRequest request;

@Autowired
public TaskController(HttpServletRequest request)
{
    this.request = request;
}

@Autowired
private TaskManager taskManager;

@GetMapping(value="/")
public String home()
{
    return "index";
}

@GetMapping(value="/tasks")
public String getTasks(Model model)
{
    List tasks = taskManager.getAllTasks();
    model.addAttribute("tasks", tasks);
    model.addAttribute("name", getKeycloakSecurityContext().getIdToken().getGivenName());

    return "tasks";
}

private KeycloakSecurityContext getKeycloakSecurityContext()
{
    return (KeycloakSecurityContext) request.getAttribute(KeycloakSecurityContext.class.getName());
}

} ```

在这个控制器类中,我们用来TaskManager获取所有任务。我会解释 KeyCloakSecurityContext我什么时候会展示SecurityConfig

有没有使用Spring-Security

我们可以利用此应用程序并使用 Keycloak 进行身份验证,无论是否使用Spring-Security. 作为本演示的一部分,我们使用Spring-Security. 要在没有 Spring-Security 的情况下使用相同的应用程序,您只需删除 Spring-Security 依赖并通过application.properties文件添加安全配置。

我们需要以下属性才能application.properties在此应用程序中使用 Keycloak 进行身份验证。

keycloak.auth-server-url=http://localhost:8180/auth keycloak.realm=SpringBootKeycloakApp keycloak.resource=SpringBootApp keycloak.public-client=true keycloak.principal-attribute=preferred_username

如果我们想在没有 Spring-Security 的情况下使用这个应用程序,我们还需要以下两个属性:

keycloak.security-constraints[0].authRoles[0]=ROLE_User keycloak.security-constraints[0].securityCollections[0].patterns[0]=/tasks

由于我们正在使用Spring-Security,所以我们将通过一个 Java 类来配置安全配置SecurityConfig

这个 SecurityConfig 类将扩展KeyCloakWebSecurityConfigurerAdapter.

我们的配置方法如下所示:

@Override protected void configure(HttpSecurity httpSecurity) throws Exception { super.configure(httpSecurity); httpSecurity.authorizeRequests() .antMatchers("/tasks").hasRole("User") .anyRequest().permitAll(); }

基本上任何到达 /tasks 端点的请求都应该具有 ROLEUser 用户角色。此处假定 ROLE 的前缀。除任何其他请求外,未经任何授权将被允许。在这种情况下,我们将调用我们的索引页面。

我们将使用@KeyCloakConfiguration基本上是封面@Configuration@EnableWebSecurity注释的注释。

由于我们的SecurityConfigextends KeycloakWebSecurityConfigurerAdapter,我们必须实施 sessionAuthenticationStrategy 和 httpSessionManager 。我们还必须使用 Spring Security Authentication Manager 注册我们的 idp Keycloak。

所以我们的 SecurityConfig 将如下所示:

``` package com.betterjavacode.keycloakdemo.keycloakdemo.config;

import org.keycloak.adapters.springsecurity.KeycloakConfiguration; import org.keycloak.adapters.springsecurity.authentication.KeycloakAuthenticationProvider; import org.keycloak.adapters.springsecurity.config.KeycloakWebSecurityConfigurerAdapter; import org.keycloak.adapters.springsecurity.management.HttpSessionManager; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean; import org.springframework.context.annotation.Bean;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.core.authority.mapping.SimpleAuthorityMapper; import org.springframework.security.core.session.SessionRegistryImpl; import org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy; import org.springframework.security.web.authentication.session.SessionAuthenticationStrategy;

@KeycloakConfiguration public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder authenticationManagerBuilder) { SimpleAuthorityMapper simpleAuthorityMapper = new SimpleAuthorityMapper(); simpleAuthorityMapper.setPrefix("ROLE_");

KeycloakAuthenticationProvider keycloakAuthenticationProvider =
            keycloakAuthenticationProvider();
    keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(simpleAuthorityMapper);
    authenticationManagerBuilder.authenticationProvider(keycloakAuthenticationProvider);
}

@Bean
@Override
protected SessionAuthenticationStrategy sessionAuthenticationStrategy ()
{
    return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
}

@Bean
@Override
@ConditionalOnMissingBean(HttpSessionManager.class)
protected HttpSessionManager httpSessionManager()
{
    return new HttpSessionManager();
}

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
{
    super.configure(httpSecurity);
    httpSecurity.authorizeRequests()
            .antMatchers("/tasks").hasRole("User")
            .anyRequest().permitAll();
}

} ```

所以 Spring Security 使用像 ROLEUSER 这样大写的角色,并且总是使用 ROLE 前缀。为了处理这个问题,我在 Keycloak 中添加了一个角色为 ROLE_User 的用户,但我们只会验证一个前缀,因为我们的 http 配置无论如何都会验证该角色。

由于我们将使用 Keycloak 进行身份验证,因此我们需要一个用于用户状态的会话。我们在这里使用RegisterSessionAuthenticationStrategyHttpSessionManager是一个条件 bean,因为 Keycloak 已经实现了那个 bean。

要实现 Keycloak Spring Boot 适配器,我们将添加一个KeyCloakSpringBootConfigResolverbean,如下所示:

``` package com.betterjavacode.keycloakdemo.keycloakdemo.config;

import org.keycloak.adapters.springboot.KeycloakSpringBootConfigResolver; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration;

@Configuration public class KeycloakConfig { @Bean public KeycloakSpringBootConfigResolver keycloakSpringBootConfigResolver() { return new KeycloakSpringBootConfigResolver(); } } ```

应用程序演示

运行我们的 keycloak 应用程序,它将在http://localhost:8180上运行。我们的 Spring Boot 应用程序将在http://localhost:8080运行。

我们的 Spring Boot 应用程序的第一个屏幕如下所示:

ToDoList 任务

现在,如果用户点击获取所有任务,他将被重定向到 Keycloak 登录屏幕,如下所示:

钥匙斗篷登录屏幕

现在,我将输入我的用户 betterjavacode 用户名和密码,它将向我们显示我们的任务列表,如下所示:

任务清单

认证流程

当用户单击“获取所有任务”时,用户将被重定向到 Spring Security 的 sso/login 端点,KeycloakSpringBootConfigResolver 处理该端点并向 Keycloak 发送授权代码流请求

http://localhost:8180/auth/realms/SpringBootKeycloakApp/protocol/openid-connect/auth?response_type=code&client_id=SpringBootApp&redirect_uri=http%3A%2F%2Flocalhost%3A8080%2Fsso%2Flogin&state=70bd4e28-89e6-43b8-8bea-94c6d057a5cf&login=true&scope=openid

Keycloak 将处理请求以响应会话代码并显示登录屏幕。

一旦用户输入凭据并且 keycloak 验证了这些凭据,它将使用授权代码进行响应,并将此代码交换为令牌,然后用户登录。

结论

在这篇文章中,展示了如何使用 Keycloak 作为身份提供者来保护您的 Spring Boot 应用程序。这样 一个简单的程序就完成了!

youtian.L
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Boot Web应用集成Keycloak进阶之细粒度权限控制
m0_60721860的博客
03-19 434
其他知识点面试webpack的原理webpack的loader和plugin的区别?怎么使用webpack对项目进行优化?防抖、节流浏览器的缓存机制描述一下二叉树, 并说明二叉树的几种遍历方式?项目类问题技术栈比较搭,基本用过的东西都是一模一样的。快手终面喜欢问智力题,校招也是终面问智力题,大家要准备一下一些经典智力题。如果排列组合、概率论这些基础忘了,建议回去补一下。
embedded-spring-boot-keycloak-server:嵌入在Spring-Boot应用程序Keycloak JAX-RS应用程序
04-01
Spring Boot应用程序运行的嵌入式Keycloak服务器 该项目提供了一个基于和的嵌入式身份验证和授权服务器。 这个想法是有一个的变体,但它基于Spring Boot而不是Quarkus。 通过在Spring-Boot环境托管它的JAX-RS...
使用 Keycloak 轻松保护 Spring Boot 应用程序
justlpf的专栏
05-31 3999
参考文章:使用 Keycloak 轻松保护 Spring Boot 应用程序 尽管安全性是应用程序的一个关键点,但是在开发实施起来确实比较麻烦。更加麻烦的是,这个关键点通常不怎么受重视,实现的效果普遍的 low,而且受到诸多方面的掣肘。而最近安全服务器的出现,就可以将认证和授权方面的业务逻辑外包和分派出去。 在这些服务器,最有希望的是 Keycloak,因为它开放源代码,灵活,而且未来能适合...
使用Keycloak实现安全的SpringBoot微服务
最新发布
2401_85112189的博客
06-21 617
面试前的“练手”还是很重要的,所以开始面试之前一定要准备好啊,不然也是耽搁面试官和自己的时间。我自己是刷了不少面试题的,所以在面试过程才能够做到心有数,基本上会清楚面试过程会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程非常重要的一点。面试前的“练手”还是很重要的,所以开始面试之前一定要准备好啊,不然也是耽搁面试官和自己的时间。
Spring Security 使用Keycloak作为认证授权服务器
程序猿DD
08-07 1184
Keycloak对流行的Java应用提供了适配器。在系列文章的上一篇我们演示了针对Spring Boot的安全保护,用的就是适配器的一种。Keycloak同样提供Spring Securi...
OAuth2授权服务器Keycloak宣布不再适配Spring BootSpring Security
码农小胖哥
02-15 1558
2月14日,????Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团...
keycloak24整合spring security oauth2
livemegoodboy的博客
05-27 761
keycloak24整合spring security oauth2
【安全设计】10种保护Spring Boot应用程序的绝佳方法
全网:架构师研究会
04-30 1658
Spring Boot极大地简化了Spring应用程序的开发。它的自动配置和启动器依赖关系减少了启动应用程序所需的代码和配置量。Spring Boot于2014年首次发布,自那以后发生了很多变化。就像代码质量和测试一样,安全性已经成为开发人员关注的问题。如果您是一名开发人员,并且不关心安全性,那么您可能认为您应该关心安全性。本文的目的是向您介绍如何创建更安全的Spring...
Spring Boot 3.1如何整合Spring Security和Keycloak
程序猿DD
06-01 692
在今年2月14日的时候,Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团队将不再提供针对Spring Security和Spring Boot的集成方案。但是,如此强大的Keycloak,还要用怎么办呢?本文就来聊聊,在最新的Spring Boot 3.1版本之下,如何将KeycloakSpring Security一起跑起来。
Spring Boot整合Keycloak OpenID Connect(OIDC)
canduecho的专栏
08-13 1248
这些步骤仅提供了一个基本的整合指南。确保在整合Keycloak OIDC时,参考KeycloakSpring Boot的官方文档,以便获得更详细的信息和最佳实践。- 在Spring Boot的配置文件,添加Keycloak相关的配置,包括Realm、Client ID、Client Secret等。- 在Keycloak管理员控制台创建一个新的Realm,用于管理你的应用程序的身份验证和授权。- 在你的应用程序,你可以使用Spring Security的注解来保护需要认证的资源。
spring-boot-blueprint:使用Keycloak和Vue.js的Spring Boot蓝图
02-06
该项目旨在为使用Spring Boot和Vue.js构建和部署全栈Web应用程序提供一个非常少见但具有现代功能的完整蓝图。 该蓝图对于希望使用合理的默认值开始构建Web应用程序但又希望保持灵活性的人们很有用。 因此,此蓝图...
Spring Boot/Angular整合Keycloak实现单点登录功能
08-25
首先,为了在Spring Boot项目使用Keycloak,我们需要下载并安装KeycloakKeycloak基于WildFly应用服务器构建,可以从官方网站获取Standalone服务器分发包,解压缩后运行`bin/standalone.sh`启动服务。默认情况下...
spring boot keycloak
07-27
Keycloak定义角色,然后在Spring Boot应用使用`@PreAuthorize`或`@Secured`注解来限制只有拥有特定角色的用户才能访问某些资源。 ### 7. 用户认证与授权 一旦配置完成,Keycloak将处理用户的登录、登出和...
keycloak-spring-vaadin-demo:使用Spring BootKeycloak的Vaadin演示应用程序
02-04
展示了如何使用Gradle,Spring Boot设置和使用Keycloak保护Vaadin应用程序的方法。 它基于。 该演示的主要目的是了解完整的构建和配置过程,以允许不同的技术一起工作。 依存关系 该演示已通过以下依赖项进行了测试...
keycloak-springboot-demo:Spring BootKeycloak SSO集成演示
01-30
描述简洁明了,确认了该示例主要涉及Spring Boot应用程序Keycloak的SSO集成。这意味着项目将包含配置和代码示例,帮助开发者了解如何在自己的Spring Boot应用设置和使用Keycloak进行用户认证和授权。 **标签...
Spring Boot应用程序同时支持HTTP和HTTPS协议的实现方法
08-25
Spring Boot 应用程序同时支持 HTTP 和 HTTPS 协议是企业级应用程序的常见场景,本文探讨如何让 Spring Boot 应用程序同时支持 HTTP 和 HTTPS 协议。 知识点一:生成 Certificate Keystore 为了使用 HTTPS 连接器...
cloud-security:带有Spring 5的OWASP安全性。使用Keycloak作为身份提供者的研究项目,研究了Spring Boot的新功能
03-13
Spring Boot客户端应用程序 Spring Boot的版本设置为2.4.3,Spring Cloud依赖项设置为2020.0.1 注意:Hoxton与Spring Boot 2.4不兼容,这就是为什么Spring Cloud Version设置为2020.0.1的原因。 对于Spring Boot &...
Spring Boot集成Keycloak
07-11
3. 创建Keycloak配置类:创建一个Keycloak配置类,用于将KeycloakSpring Boot应用程序集成。例如: ```java @Configuration @EnableWebSecurity @ComponentScan(basePackageClasses = KeycloakSecurityComponents...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

youtian.L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值