keycloak基于servlet的用户身份认证

最新推荐文章于 2024-04-04 22:50:21 发布
置顶 最新推荐文章于 2024-04-04 22:50:21 发布
阅读量956 收藏 1
点赞数 1
分类专栏: keycloak java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42786532/article/details/109641991
版权

keycloak基于servlet的用户身份认证

servlet基于AuthenticatorBase的安全认证

一个servlet通过一个叫authenticator的阀门(valve)来支持安全性限制。当容器启动的时候,authenticator被添加到容器的流水线上(一整条流水线:StandardEngineValve->StandardHost->ErroReportValve->StandardContextValve->AuthenticatorValve->StandWrapperValve)。

AuthenticatorValve会在包装器阀门之前被调用。authenticator用于对用户进行验证,如果用户输入了正确的用户名和密码,authenticator阀门调用下一个用于处理请求servlet的阀门。如果验证失败,authenticator不唤醒下一个阀门直接返回。由于验证失败,用户并不能看到请求的servlet。

keycloak基于servlet的安全认证

容器加载keycloak认证阀门

keycloak-spring-boot-2-adapter中通过WebServerFactoryCustomizer修改servlet容器的配置将keycloak实现的认证阀门KeycloakAuthenticatorValve和keycloak相关的配置授权信息添加到容器配置中去。
BjwuHP.png

容器启动时,会将该阀门添加到tomcat的管道Pipeline中去。
BjyA9f.png

keycloak授权认证流程
请求授权code

第一次请求应用时,该请求没有携带认证信息,被重定向到keycloak登录界面,请求授权code
BjcFl8.png
其中loginUrl为

http://${keycloak_host}/auth/realms/{realms_name}/protocol/openid-connect/auth?response_type=code&client_id=${client_id}&redirect_uri=${redirect_uri}&state=42614656-3846-467c-8116-bc57156c7d4a&login=true&scope=openid

被重定向的keycloak登录界面。

Bvr69f.png

获取认证信息

在keycloak登录成功之后,keycloak会将携带了授权code的请求重定向到${redirect_uri}。服务端获取到code之后向keycloak获取认证信息,这里是access_token。
BjW3CR.png
BvrdnH.png
获取access_token
获取access_token

获取access_token的restful api

POST 
http://${keycloak_host}/auth/realms/${realm_name}/protocol/openid-connect/token 
HTTP/1.1
{
"grant_type":"authorization_code",
"code":${code},
"redirect_uri":${当前请求的应用地址}
}
返回并保存access_token

设置认证上下文信息,并保存用户信息

上图中可以看到授权完成之后是将认证信息以Attribute的形式保存在request中的,那么我们在业务层就可以通过request.getAttribute的方式拿到认证信息

KeycloakSecurityContext keycloakSecurityContext = (KeycloakSecurityContext)request.getAttribute(KeycloakSecurityContext.class.getName());

从而可以拿到用户的名称、角色、权限等信息

web应用,会在response中携带sessionid,当第二次请求过来时,回去CatalinaSessionTokenStore中校验session是否存在,存在则通过验证。

bearer方式认证
List<String> authHeaders = exchange.getRequest().getHeaders("Authorization");
String[] split = authHeader.trim().split("\\s+");
if (split[0].equalsIgnoreCase("Bearer")) {
    tokenString = split[1];
    break;
}
authenticateToken(exchange, tokenString);

客户端携带认证信息在请求头中,服务端接收到请求后截取信息,并校验access_token是否合法

query paramter auth方式
tokenString = exchange.getRequest().getQueryParamValue(ACCESS_TOKEN)
authenticateToken(exchange, tokenString);

get请求方式,客户端通过url参数的形式携带access_token

用户名+密码验证

客户端将用户名和密码加密之后放在请求头“Authorization”:“Basic”+code(“username”:“password”)的方式传递给服务端,服务端拿到用户名和密码之后去keycloak中验证,并获取token。验证成功之后返回access_token。

List<String> authHeaders = exchange.getRequest().getHeaders("Authorization");
tokenString = null;
for (String authHeader : authHeaders) {
    String[] split = authHeader.trim().split("\\s+");
    if (split.length != 2) continue;
    if (!split[0].equalsIgnoreCase("Basic")) continue;
    tokenString = split[1];
}
try {
    String userpw=new String(Base64.decode(tokenString));
    int seperatorIndex = userpw.indexOf(":");
    String user = userpw.substring(0, seperatorIndex);
    String pw = userpw.substring(seperatorIndex + 1);
    // keycloak验证用户名和密码并返回access_token
    atr = getToken(user, pw);
    tokenString = atr.getToken();
} catch (Exception e) {
    challenge = challengeResponse(exchange, OIDCAuthenticationError.Reason.INVALID_TOKEN, "no_token", e.getMessage());
    return AuthOutcome.FAILED;
}
authenticateToken(exchange, atr.getToken());

【参考blog】 tomcat中AuthenticatorBase简单的安全认证
Keycloak获取Token示例及遇到的坑

龙仔
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
在Spring Boot应用中集成Spring Security实现用户注册和登录
锐意工作室
07-14 1884
文章目录在Spring Boot应用中集成Spring Security实现用户注册和登录前言引入依赖引入Spring Security依赖引入Spring Data JPA和MySQL依赖引入Thymeleaf依赖引入前端依赖引入其他依赖表设计API设计应用配置配置Spring SecurityWeb层HomeController类RegistrationController类RegistrationDto类字段校验Service层数据层JPA EntitiesUser Entity类Role Entit
keycloak-springboot2-adapter
05-17
#Spring Boot 2 + Spring Security + Keycloak 3.4.3 + Keycloak适配器 Keycloak中的第一个导入文件import-realm.json我的keycloak在端口9090中运行 我的Spring Boot应用程序正在运行 密钥斗篷配置位于文件{Project} /src/main/webapp/WEB-INF/keycloak.json中 这个例子在SpringBoot 2.0.0和2.0.1中运行良好
keycloak授权流程详解
热门推荐
qq_33430322的博客
05-29 1万+
授权流程(PS256)client配置公钥私钥生成request加密授权跳转返回 codeauthorization_code 获取token (只能使用一次)token解析 client配置 公钥私钥生成 RSAKey privateKey = new RSAKeyGenerator(2048) .algorithm(JWSAlgorithm.PS256) .keyUse(KeyUse.SIGNATURE)
4月第二讲keycloak~在认证的action中自定义重定向
2401_83794078的博客
04-04 738
登录中间页面login-simple-password-alert.ftl src\main\resources\theme\custom\login\ 这个目录下有皮肤文件login.ftl和中间页文件login-simple-password-alert.ftl kc后台为指定客户端或者领域设置登录皮肤为custom login-simple-password-alert.ftl如下: 自定义登录逻辑的KC配置如下 https://www.vcg.com/favor/pic-share?
SSO、CAS、OAuth、OIDC
LawssssCat的博客
04-23 1481
Authorization authZ —— 授权 What can you do。Authentication authN —— 认证 Who are you。todo 整理关键词:oauthauth、认证、…
OAuth2 详细介绍!
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
keycloak-otp-authenticator
04-22
keycloak-otp-authenticator 要安装OTP身份验证器,必须执行以下操作: 将jar添加到Keycloak服务器: $ cp target/keycloak-otp-authenticator.jar _KEYCLOAK_HOME_/standalone/deployments 将两个模板添加到Keycloak服务器: $ cp templates/otp.ftl _KEYCLOAK_HOME_/themes/base/login/ 配置您的REALM以使用OTP认证。 首先创建一个新的REALM(或选择一个先前创建的REALM)。 在“身份验证”>“流”下: 将“浏览”流复制到“带有OTP的浏览器”流 单击“带有OTP表单的浏览器”行上的“操作>添加执行”,然后添加“ OTP身份验证” 将“ OTP身份验证”设置为“必需”或“替代” 要配置OTP
keycloak-2fa-sms-authenticator:Keycloak身份验证提供程序实现,用于通过通过SMS(通过AWS SNS)发送的OTPcodetoken获得第二因素身份验证。 仅用于演示!
05-18
Keycloak 2FA SMS身份验证器 Keycloak身份验证提供程序实现,以通过通过SMS(通过AWS SNS)发送的OTP /代码/令牌获得第二因素身份验证。 仅用于演示! 不幸的是,我还没有真正的自述文件。 责怪我! 但是,就目前而言,您至少可以在这里阅读我的博客文章有关该增效剂的信息: 或者,只需观看有关此2FA SMS SPI的视频:
令牌环访问控制的原理_通过Keycloak进行访问控制的级别,第1部分:令牌认证
weixin_26737625的博客
09-09 2019
令牌环访问控制的原理A few years ago when I was introduced to the world of microservices for the purpose of looking into token authentication, I stumbled across Keycloak. Keycloak is an open-source identity and ...
keycloak密码加密
10-20
keycloak解决密码为明文的问题,使用md5进行加密。减少密码泄露的问题。配合对应的博客进行操作。
杂记 | 使用keycloak实现SSO单点登录(新手向,概念、原理、逻辑、详细步骤、难点解释)
野生猿林仔的博客
07-04 6326
使用keycloak实现SSO单点登录(概念、原理、逻辑、详细步骤、难点解释)
基于 Servlet+jsp+mysql 开发 javaWeb 学生宿舍管理系统
06-02
基于 Servlet+jsp+mysql 开发 javaWeb 学生宿舍管理系统基于 Servlet+jsp+mysql 开发 javaWeb 学生宿舍管理系统基于 Servlet+jsp+mysql 开发 javaWeb 学生宿舍管理系统基于 Servlet+jsp+mysql 开发 javaWeb 学生宿舍...
基于Servlet+JSP+MySQL的用户信息展示
07-10
技术选型:Servlet+JSP+MySQL+JDBCTempleat+Duird+BeanUtilS+tomcat 详细内容见博客
基于JSP和Servlet用户信息管理系统设计源码
最新发布
04-16
本源码项目是基于JSP和Servlet用户信息管理系统设计,包含54个文件,主要使用Java编程语言。该项目采用了MVC三层架构,结合MyBatis进行数据库操作,实现了用户信息管理的核心功能。系统提供了用户信息的添加、修改...
基于JSP、JavaBean和Servlet用户权限设计源码
04-08
用户权限管理系统:基于JSP、JavaBean和Servlet开发,包含436个文件,包括130个JavaScript文件、46个CSS样式文件、44个GIF图像文件、43个JAR包文件、34个PNG图像文件、34个JSP页面、24个Java字节码文件、24个Java类...
基于Servlet用户信息管理系统.zip
07-24
jsp,java web开发,毕业设计,课程设计作业,servlet框架,mysql数据库,源码资源
keycloak 微服务认证_【在家办公】keycloak认证客户端示例程序
weixin_39959192的博客
11-26 1208
如果你在测试keycloak的快速入门程序,会发现大部分代码是在3年前写的。多数情况是,下载下来以后跑不通的。这里以一个sso的例子,调试通quickstart的代码,并理解其中的原理。一、 简要原理Realm:Keycloak作为认证授权服务器,使用realm区分认证域,不同的reaml不能互相认证。Client:在同一个realm下,需要创建client,一个client是一个...
Keycloak实现手机验证码登录
austindev的博客
07-23 4894
背景说明 使用Keycloak作为账号体系的项目中,经常会被问到Keycloak如何实现手机验证码登录,Keycloak有没有内置的基于短信的登录实现SMS-based two-/multi-factor-authentication (2FA/MFA) ; Keycloak目前只内置一种基于 Google Authenticator 的 2FA 选项。 这篇主要讨论实现上述的需求的几种方案,以及相应的优缺点: 定制 Authentication SPI,实现Keycloak统一的浏览器手机验证码登录
Spring Boot Web应用集成Keycloak进阶之细粒度权限控制
m0_63174811的博客
11-06 452
Time-based access control Keycloak授权处理流程 ================================================================================= 如果要使用Keycloak的细粒度权限控制,主要有3个流程需要了解: 资源管理(Resoucre Management) 权限和策略管理(Permission and Policy Management) 策略执行(Policy Enforcemen.
基于servlet+jsp+javabean开发模式的用户登陆注册
07-31
基于servlet jsp javabean开发模式的...综上所述,基于servlet jsp javabean开发模式的用户登录注册系统涉及前端页面、后端servletJavaBean对象和数据库之间的交互。通过这种模式,可以实现用户的登录和注册功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值