shiro 方法级别细粒度权限控制_Spring Boot Web应用集成Keycloak进阶之细粒度权限控制...

最新推荐文章于 2023-03-25 03:01:09 发布
最新推荐文章于 2023-03-25 03:01:09 发布
阅读量258 收藏
点赞数
文章标签: shiro 方法级别细粒度权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39863631/article/details/111625721
版权

本文讲述Spring Boot的Web应用如何集成Keycloak实现细粒度权限控制。

Keycloak核心权限概念综述

Keycloak支持细粒度权限控制策略,可以组合使用如下不同的访问控制机制:

  • Attribute-based access control (ABAC)
  • Role-based access control (RBAC)
  • User-based access control (UBAC)
  • Context-based access control (CBAC)
  • Rule-based access control
  • Time-based access control

Keycloak授权处理流程

如果要使用Keycloak的细粒度权限控制,主要有3个流程需要了解:

  • 资源管理(Resoucre Management)
  • 权限和策略管理(Permission and Policy Management)
  • 策略执行(Policy Enforcement)

资源管理

资源管理主要用来定义资源服务器的哪些对象需要被保护

faf9a72065c89ed3f97d57df67d9df47.png

其中资源服务、资源、范围(Scope)关系如下:

c66cce58065792a6a23481aae2d5a51a.png

权限和策略管理(Permission and Policy Management)

策略是来定义满足哪些条件才可以访问资源,不过策略本身并不与资源关联。要想策略实际作用在相应的资源上,就需要配置权限,将要保护的资源及策略进行关联。

590ab9b2e4b58c3e62145ccbe596ce6a.png

策略执行

策略执行需要在资源服务内集成一个 Policy Enforcement Point (PEP,资源执行点),以便与Keycloak服务进行通信获取相关的权限信息等,从而决定哪些资源可以被访问。

c7bc2dd89c7f175d1f3d1e8cf1f79b59.png

Keycloak细粒度权限控制后台配置

要想启用Keycloak的细粒度权限控制,需要先创建相应的客户端,并启用授权服务。然后根据上面的授权处理流程,进行资源管理、权限和策略管理的配置。本文模拟如下场景来进行配置,以便更好的理解配置内容。

场景如下:

  • 需要被保护的应用有 /admin 、 /customer/view 、 /customer/delete 三个主要资源
  • 拥有 ROLE_ADMIN 角色的用户可以访问所有资源
  • 拥有 ROLE_CUSTOMER 角色的用户仅可以访问 /customer/view ,其他资源不能访问

接下来便看下针对如上模拟的场景,在Keycloak后台具体要如何配置。

创建角色及用户

  1. 创建3个角色,其中 ROLE_USER 给所有用户都进行绑定
  2. 创建2个用户并绑定角色

创建客户端并启用授权服务

  1. 新建客户端
  2. 设置 confidential 访问类型,并启用授权

配置资源、策略及权限

在客户端的 Authorization Tab下,有很多子的选项卡,可以对资源、策略及权限进行配置。

Settings选项卡配置

Settings选项卡下的是关于授权的一些全局默认配置

6f3b53c8cc1cfb0c91011e8aca01fd2f.png

这里说明下Settings下面的2个重要配置

  • Policy Enforcement Mode:指定授权服务器接受到请求时策略如何执行Enforcing:当资源没有配置关联的策略时,请求默认被拒绝访问,这也是默认的选项Permissive:当资源没有配置关联的策略时,请求允许访问Disabled:禁用所有资源的所有访问策略
  • Decision Strategy:表示权限最终是如何计算的策略,以决定相应的资源是否能获得授权Affirmative :至少一个权限计算做出正向决定Unanimous:所有的权限计算都要做出正向决定

Resources选项卡配置

Resoucres选项卡主要是用来配置需要保护的资源。本示例中配置如下几个资源,注意下Scopes的设置

346e4d6a1769763c051e1498f5712bbc.png
893d1a60fca4adc00116f679e31ae438.png
d206f66524fce0d5c00a11487821bdc5.png
7c3681a8bf8fce5366e93264cde67d9b.png

Authorization Scopes选项卡配置

3e6be4239fe16045b7b83a76ac29766e.png

Policies选项卡配置

Policies下主要配置哪些策略,配置的策略用来在权限设置中与资源进行关联,Keycloak本身支持很多策略,详细的策略说明可参考官方文档,本示例中使用最常使用的基于角色(Role Based)的策略

f83ce1b1eca357697210d9d173d24286.png
40f522b9ae84851b1f9494d3fae3f9e4.png
5cf1a300eb2f16dba4d37cf32995b329.png

Permissions选项卡配置

Permission下就是用来配置资源、策略如何进行关联,并且在有多个策略关联时采用何种策略(Decision Strategy)最终决定资源是否能被授权,Decision Strategy的配置项与上文Settings下的意义相同,在此不再赘述

1841659c78e0004d2d916ba53e4439bc.png
e84bd755dd6012aa7177bcebe42820c0.png
6f46a206944637cd506215f9a2d9bf8f.png
d193b6b68475b8fe9f38a3bc68f300ed.png

Spring Boot项目集成Keycloak代码配置示例

application.yml Keycloak配置

keycloak:  realm: demo  auth-server-url: http://127.0.0.1:8080/auth  resource: spring-boot-authz-keycloak-web  ssl-required: external  credentials:    secret: dede7fd6-2817-491c-b7e5-27f65bbb5fc7  use-resource-role-mappings: false  bearer-only: false  autodetect-bearer-only: false  security-constraints:    - authRoles:        - ROLE_USER      securityCollections:        - name: all          patterns:            - /*  policy-enforcer-config:    on-deny-redirect-to: /accessDenied复制代码

配置文件说明可参考之前的文章,这里主要说下,有 policy-enforcer-config 配置项,表明当前应用启用细粒度权限控制, on-deny-redirect-to 表示当访问被拒绝时跳转的地址

Controller示例代码

@RequestMapping(value = "/customer/view", method = {RequestMethod.GET})public String customerView(Model model, HttpServletRequest request) {    KeycloakSecurityContext keycloak = (KeycloakSecurityContext) request.getAttribute(KeycloakSecurityContext.class.getName());    model.addAttribute("authz", keycloak.getAuthorizationContext());    return "customer/view";}@RequestMapping(value = "/customer/delete", method = {RequestMethod.GET, RequestMethod.POST})public String customerDelete(Model model, HttpServletRequest request) {    KeycloakSecurityContext keycloak = (KeycloakSecurityContext) request.getAttribute(KeycloakSecurityContext.class.getName());    model.addAttribute("authz", keycloak.getAuthorizationContext());    return "customer/delete";}@RequestMapping(value = "/admin", method = {RequestMethod.GET, RequestMethod.POST})public String admin(Model model, HttpServletRequest request) {    KeycloakSecurityContext keycloak = (KeycloakSecurityContext) request.getAttribute(KeycloakSecurityContext.class.getName());    model.addAttribute("authz", keycloak.getAuthorizationContext());    return "admin/view";}@RequestMapping(value = "/admin/delete", method = {RequestMethod.GET, RequestMethod.POST})public String adminDelete(Model model, HttpServletRequest request) {    KeycloakSecurityContext keycloak = (KeycloakSecurityContext) request.getAttribute(KeycloakSecurityContext.class.getName());    model.addAttribute("authz", keycloak.getAuthorizationContext());    return "admin/delete";}@RequestMapping(value = "/accessDenied", method = {RequestMethod.GET, RequestMethod.POST})public String accessDenied() {    return "access_denied";}复制代码

示例Controller主要是将Keycloak的授权上下文传给model,并指定相应的视图渲染

customer/view.ftl页面示例代码

Customer View

delete #if>
复制代码

页面使用freemarker,都比较简单,当然也可以使用其他视图引擎,此处仅贴出这一个页面的示例代码,只有拥有 delete Scope的权限才能够看到delete链接

项目效果演示

customer用户访问效果

访问/customer/view页面,看不到delete链接

4793b3b5e52db416aced15668c66f2ee.png

访问/custome/delete、/admin页面,直接跳转/accessDenied页面

91ac3cacf473be39c85e8dac5610df5c.png

admin用户访问效果

admin用户访问/customer/view页面,可以看到delete链接

f39611997cb17d82a38653c5da741b72.png

admin用户点击delete链接或者直接访问/customer/delete,都可以正常显示页面

ef053d5e81777ffb07d25fb11bfe7849.png

admin用户可以正常访问/admin相关页面

0ed11bd4963d06b8b1236d76a2572768.png
weixin_39863631
关注
Keycloak服务授权
JosephThatwho的博客
09-28 4265
1. 概述 keycloak支持细粒度的授权策略,并且可以和不同的访问控制机制结合,比如: 基于属性的访问控制 ABAC 基于角色的访问控制 RBAC 基于用户的访问控制 UBAC 基于上下文的访问控制 CBAC 基于规则的访问控制 基于时间的访问控制 通过策略服务的SPI自定义访问控制策略 keycloak通过一组管理界面和RESTful接口提供创建权限的必要方法,这些权限用户保护资源和作用域,把权限和鉴权策略绑定,就可以在应用或服务中执行鉴权。 资源服务器(应用或者服务)通常会基于一些信息来决定使用
SpringBoot使用Shiro权限控制并且集成KeyCloak完成SSO单点登录之后部署到外部Tomcat的问题
qq_48819461的博客
11-04 762
1、集成keycloak单点登录如果是直接打成jar包然后java -jar运行使用的就是Springboot内部tomcat,内部 tomcat集成keycloak无任何问题。 2、如果使用的是外部tomcat启动的话,会有两个问题: 一、是keycloak无法拦截外部tomcat启动的项目,因为是外 部tomcat启动,无法像Springboot内部tomcat那样知道从application.yml里面获取keycloak配置,也没有keycloak集成tomcat的所需要包,因此需要在tomcat
keycloak 微服务认证_微服务架构学习:Spring BootShiro整合实现用户认证
weixin_39905624的博客
11-26 669
1.1. 分析Shiro的核心APISubject: 用户主体(把操作交给SecurityManager)SecurityManager:安全管理器(关联Realm)Realm:Shiro连接数据的桥梁1.2. Spring Boot整合Shiro1.2.1. 导入shirospring整合依赖修改pom.xmlorg.apache.shiroshiro-spring1.4.01.2.2. 自定...
sso集成shiro_Keycloak SSO集成到jBPM和Drools Workbench中
最佳 Java 编程
06-26 1040
sso集成shiro 介绍 单一登录(SSO)和相关令牌交换机制正在成为Web上不同环境中身份验证和授权的最常见方案,尤其是在迁移到云中时。 本文讨论了Keycloak与jBPM或Drools应用程序的集成,以便使用Keycloak上提供的所有功能。 Keycloak是用于浏览器应用程序和RESTful Web服务的集成SSO和IDM。 在Keycloak的主页上进一步了解它。 与Ke...
keycloak学习
weixin_33701564的博客
11-16 489
keycloak是一个针对Web应用和RESTfull Web API提供SSO(Single Sign On:单点登陆),它是一个开源软件,源码地址是:https://github.com/keycloak/keycloak/ 核心概念: users:用户是一个可以登陆系统的实体,它可以拥有联系它们自身的属性,例如邮箱、用户名、地址、电话号码或生日等,可以为user分配组别或者角色。 ...
Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制
06-14
6. **资源权限映射**:定义资源-权限的映射关系,例如URL与操作权限,使得权限控制更加细粒度,可以实现按钮级别控制。 7. **权限刷新**:当用户角色或权限发生变化时,前端需要实时更新权限信息。可以通过...
spring boot+shiro.zip_java shir_springBoot 权限
09-20
本文将详细介绍如何使用Spring BootShiro结合,并利用Redis来实现细粒度权限控制。 首先,Spring BootSpring框架的一个简化版本,它提供了开箱即用的配置,使得开发者可以快速地搭建和运行Java应用Spring ...
Spring BootShiro整合实现细粒度权限控制
资源摘要信息:"Spring boot整合Shiro实现RBAC权限控制" 知识点解析: 1. Spring Boot与Apache Shiro的整合: Spring Boot是一种轻量级的Spring框架,它简化了基于Spring应用开发。它自动配置了Spring应用,通常...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能。 Shiro 简介 Apache Shiro 是一个开放源代码的安全框架,...
基于Spring BootShiro框架的权限管理系统.zip
最新发布
09-06
本项目是一个基于Spring BootShiro框架的权限管理系统,实现了前后端分离的权限控制,支持按钮和接口级别细粒度权限管理。系统采用RBAC(基于角色的访问控制)模型,通过Shiro进行后端权限验证,前端使用Vue和...
springBoot+shiro简单测试mvc项目
11-14
springBoot+shiro测试项目。mvc模式写的测试模版,springBoot+shiro项目开发架构的整理
spring boot keycloak
07-27
基于spring boot 2.0.3 keycloak 4.0.0最新版本集成
Spring Boot 中整合 Shiro 实现认证、细粒度方法级别权限控制和其他一些 Shiro 的功能
weixin_45626288的博客
03-25 503
Shiro 是一个功能强大且易于使用的Java安全框架,它提供了认证、授权、加密、会话管理等多种安全功能,可以轻松地与 Spring Boot 集成。本篇博客将介绍如何在 Spring Boot 中整合 Shiro,实现认证、细粒度方法级别权限控制和其他一些 Shiro 的功能。
[译] 用 Apache Shiro 来保护一个 Spring Boot 应用
weixin_33806509的博客
03-30 152
原文地址:Protecting a Spring Boot App With Apache Shiro 原文作者:Brian Demers 译文出自:掘金翻译计划 本文永久链接:github.com/xitu/gold-m… 译者:lihanxiang 校对者:Mirosalva、HearFishle 对于 Apache Shiro,我最欣赏的一点是它能够轻易地处理应用的授权行为。你能够使...
KeyCloak的自定义用户(SPI)开发,连接postgresql数据库,自定义连接配置,权限授权
qq_41504081的博客
08-17 1995
keycloak的自定义用户(SPI)开发,连接Postgresql,外部存储,权限授予,自定义数据库连接配置
keycloak 认证服务
热门推荐
刘毅的博客
11-16 2万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
springboot mybatis 整合druid
laow的博客
07-26 473
springboot mybatis整合druid 添加依赖 <!-- 事务管理aop、jdbc依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency&
苹果开发者账号登录的问题
三线程序员的博客
09-26 1333
问题描述 在清理掉google浏览器的缓存后,直接登录https://appstoreconnect.apple.com/login 出现问题 因为是添加了自己的手机进入信任列表,每次登录的时候都是通过验证码登录的 但是这次点击通过获取验证码登录后,就是不给你输入,换了浏览器都一样 再度怀疑是苹果问题,但是这种低级错误不至于,肯定是自己的问题 尝试了4次,无果,放弃这个思路 解决 先登录 https://appleid.apple.com/account/manage 上面的网址还是使用你的手机验证码
Spring Boot Web应用集成Keycloak进阶细粒度权限控制
weixin_47083537的博客
06-28 2549
本文讲述Spring BootWeb应用如何集成Keycloak实现细粒度权限控制Keycloak核心权限概念综述 Keycloak支持细粒度权限控制策略,可以组合使用如下不同的访问控制机制: Attribute-based access control (ABAC) Role-based access control (RBAC) User-based access control (UBAC) Context-based access control (CBAC) Rule-based acce
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值