java中身份验证_Serverside使用Bearer令牌以编程方式在Java中对Keycloak用户进行身份验证...

最新推荐文章于 2023-07-27 15:28:04 发布
最新推荐文章于 2023-07-27 15:28:04 发布
阅读量360 收藏
点赞数
文章标签: java中身份验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33100285/article/details/114762698
版权
本文介绍了如何在Java REST endpoints中使用Keycloak和Bearer令牌进行用户身份验证。用户通过Keycloak登录获取JWT令牌,然后在HTTP请求中携带此令牌。服务器端需要验证接收到的令牌并获取Principal信息,以确定用户权限。目前,1-3步已实现,问题在于第4步,即如何在Java中验证Bearer令牌并获取Principal。尝试了security-constraint和BearerTokenRequestAuthenticator未果,最后通过ServiceSecurityInterceptor类拦截请求,但不清楚如何使用Keycloak公钥来验证令牌。
摘要由CSDN通过智能技术生成

我想使用Keycloak和Bearer令牌在我的Java REST endpoints 中验证用户 .

我想要实现的工作流程如下:

客户端使用用户名和密码登录Keycloak .

Keycloak返回一个Bearer令牌(JWT,如果我没错,我该怎么检查?) .

客户端使用 'Authorization' : 'Bearer ' 标头执行Http请求 .

REST endpoints (用Java编写)检查收到的令牌是否正确,并验证从Keycloak接收Principal的用户(如果我理解正确的话) .

经过身份验证后, endpoints 将检查用户是否有权访问该REST api并发回响应 .

1,2,3和5已经实现并正在工作,但我找不到实现方法4 .

我已经尝试过不同的方法:

我的Java endpoints 在WildFly 10.x上发布的EAR中运行,因此我在 web.xml 中使用 security-constraint 并通过 keycloak.json 配置了Keycloak .

这工作正常,但我需要在同一个Web上下文中保留一些REST endpoints 公开(即使没有'Authorization'标头也可访问),据我所知,我无法过滤安全约束中的某些请求 .

我尝试实现 BearerTokenRequestAuthenticator 但绝对没有成功,即使我不能认为我会因为我的身份验证请求而收到Principal .

现在我已经实现了一种过滤请求的方法,那些需要身份验证的方法被我实现的 ServiceSecurityInterceptor 类拦截 .

在该类中的某个时刻,我检查'Authorization'标头是否包含 Basic 或 Bearer :

User loggedUser = null;

if (authorizationType.equals("Basic")) {

// ... decode Base64 username and password ...

loggedUser = userManagerBean.login(username, password);

} else if (authorizationType.equals("Bearer")) {

String token = ...; // Get token from header

// ... Here is where I need to send the token to Keycloak and receive a Principal with the username ...

loggedUser = userManagerBean.login(username):

}

我在某些地方读到我可能需要一个来自Keycloak领域的公钥,但是一旦我拥有它,我该怎么办?

某友善的微笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java获取authorization_如何在 Headers 和响应使用'Authorization Bearer'?
weixin_39927408的博客
12-19 2814
Check this below service code.import { Injectable } from '@angular/core';import { Http, Response, Headers, RequestOptions, URLSearchParams } from '@angular/http';import { Observable } from 'rxjs/Rx';i...
java 发送Bearer token请求
houxian1103的博客
01-07 6779
问题: 在与其他系统进行交互时,客户的服务端需要这样认证,没有办法,只能java 来拼凑了。 java 代码实现如下: HttpHeaders httpHeaders = new HttpHeaders(); httpHeaders.add("Accept", "application/json"); **httpHeaders.add("Authorization", propertyUtils.getDeviceTreeToken());** String result = getRequest(p
java动态令牌验证_Serverside使用Bearer令牌编程方式JavaKeycloak用户进行身份验证...
weixin_39997695的博客
02-27 176
我想使用KeycloakBearer令牌在我的Java REST端点用户进行身份验证.我想要实现的工作流程如下:>客户端使用用户名和密码登录Keycloak.> Keycloak返回一个Bearer令牌(JWT,如果我没错,我该怎么检查?).>客户端使用’授权’执行Http请求:’承载‘头.> REST端点(用Java编写)检查收到的令牌是否正确,并验证从Keyclo...
(七)keycloak 使用客户端访问类型 bearer-only 保护我们的api接口
07-18 2133
keycloak 利用 bearer-only 类型 保护系统的restful api
Bearer ${Token},放置在HTTP头发送
weixin_67210784的博客
08-22 1578
HTTP头部的token的get,post请求
Node.js-Node.jsExpress.js身份验证API样板
08-10
CSRF Tokens用于防止这类攻击,它通常是一个随机的、一次性使用的字符串,客户端在表单提交时必须携带此令牌,服务器端验证令牌的有效性,以确认请求确实来源于用户而非第三方。 **Express.js身份验证实现** ...
rack-bearer_auth:在机架应用程序使用RFC 6750承载身份验证间件
04-12
Rack :: BearerAuth是在Rack应用使用承载身份验证间件。 安装 将此行添加到您的应用程序的Gemfile: gem 'rack-bearer_auth' 然后执行: $ bundle 或将其自己安装为: $ gem install rack-bearer_auth ...
Java_这个存储库是用来分享我博客文章的源代码的,我在博客文章解释了如何使用JSON web tokensJWT为.zip
最新发布
05-23
JWT在安全领域扮演着重要角色,因为它允许服务端以令牌的形式安全地传递信息,而无需存储会话状态。下面将详细阐述JWT的工作原理以及如何在Java实现JWT。 JWT由三部分组成:头部(Header)、载荷(Payload)和...
jwtDemo:使用Spring和JWT进行基于令牌的API身份验证
05-22
在Spring框架,JWT可以被用来创建基于令牌的API身份验证系统。Spring Security是Spring的一个模块,专门处理安全性问题,它支持多种认证和授权策略,包括JWT。下面我们将深入探讨如何在Spring项目实现JWT身份...
详解vue项目使用token的身份验证的简单实践
10-17
本篇文章将深入探讨如何在Vue项目使用Token进行身份验证。 Token身份验证是一种常见的安全机制,它允许用户在验证身份后访问受保护的资源。通常,这种验证方式使用JSON Web Token (JWT)。JWT包含了用户信息和过期...
Bearer token Java怎么解析
weixin_35749545的博客
12-28 407
Java 解析 bearer token 需要使用 JWT (JSON Web Token) 库。您可以使用第三方库,如 JJWT 和 Nimbus JOSE + JWT,也可以使用 Java 标准库java.util.Base64 类来解码 token。 使用第三方库 首先,您需要在项目添加对应的依赖。例如,使用 Maven 时您可以在 pom.xml 添加以下依赖: &lt...
java bearer token_如何正确使用Bearer令牌
weixin_30783981的博客
03-02 4256
1.提高安全性,因为如果令牌未在url发送的标头发送,它将被网络系统记录,服务器日志....2.获得Bearer令牌的良好功能/*** Get header Authorization* */function getAuthorizationHeader(){$headers = null;if (isset($_SERVER['Authorization'])) {$headers = tr...
HTTP基本认证(Basic Authentication)的JAVA示例
顾传龙
06-05 2441
本文转自:http://blog.csdn.net/kkdelta/article/details/28419625
Java HttpPost请求,并且是Bearer验证
kuyz1的专栏
07-27 1387
【代码】Java HttpPost请求,并且是Bearer验证。
java 令牌_WEB API - 使用Bearer令牌进行身份验证
weixin_35457696的博客
02-16 634
我创建了一个允许外部认证/注册的MVC应用程序 . 它创建了所有必要的组件(Owin,EF,Regiter,Login,Logout),我能够在应用程序执行所有基本活动 .现在,我想将Web应用程序与我的移动应用程序将使用的WEB API集成 . 我坚持使用web api调用身份验证(使用从Web应用程序收到的持有者令牌) .我看到了创建启用了OWIN间件的WEB API项目的示例 . 但...
接收Request请求Bearer令牌参数
PHPer技术栈
06-18 1756
接收Request请求Bearer令牌参数
Bearer Token的相关定义与使用方法
热门推荐
陈琪琪的技术博客
09-05 5万+
原文地址:http://www.haomou.net/2014/08/13/2014_bare_token/来龙去脉诸如Ember,Angular,Backbone之类的前端框架类库正随着更加精细的Web应用而日益壮大。正因如此,服务器端的组建也正正在从传统的任务解脱,转而变的更像API。API使得传统的前端和后端的概念解耦。开发者可以脱离前端,独立的开发后端,在测试上获得更大的便利。这种途径也使
http请求添加Authorization验证
papasnowboy的专栏
12-16 2万+
接触java一年有余,如今第一次动手写相关博客。以往都是在各为前辈的文章里寻求帮助,现在我来分享一些自己遇到的问题。 问题的经过是这样,我写的一个小程序要去公司的一台服务器上抓取一个页面数据,这台服务器前段时间因为故障重启了一下,不知为何再去抓取的时候会报io异常,信息代码401,在网上查了一下,是需要Authorization验证。和同事问到了验证的用户密码,但是不知道怎样在请求时添加认
通过在环境变量设置令牌进行身份验证
03-26
通过在环境变量设置访问令牌,可以简化身份验证过程。这种方法通常用于自动化脚本或应用程序,因为无需重复输入用户名和密码即可进行身份验证。 下面是一个用 Flask 框架编写的 Python 应用程序示例,它使用环境变量的访问令牌进行身份验证: ``` import os from flask import Flask, request app = Flask(__name__) # 获取环境变量的访问令牌 access_token = os.environ.get('ACCESS_TOKEN') # 定义需要身份验证的路由 @app.route('/api/v1/secure') def secure_endpoint(): # 检查访问令牌 token = request.headers.get('Authorization') if token != 'Bearer ' + access_token: return 'Unauthorized', 401 # 如果通过身份验证,执行操作 return 'Hello, World!' if __name__ == '__main__': app.run() ``` 在本例,只有包含正确访问令牌的请求才会通过身份验证。要设置访问令牌,请将其作为环境变量传递给应用程序,例如: ``` export ACCESS_TOKEN=1234567890abcdef python app.py ``` 现在,每次发出包含有效令牌的请求时都会通过身份验证,否则会返回“未经授权”的错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值