系列目录
(一)keycloak 部署运行及源码打包
(二)keycloak 配置运行
(三)keycloak 基于SpringBoot、Servlet的客户端开发
(四)keycloak 自定义用户(SPI)开发
(五)keycloak 自定义主题
(未完成)(六)keycloak 添加登录验证码功能
(七)keycloak 设置客户端访问类型 bearer-only
(八)keycloak 设置客户端访问类型 confidential
(九)keycloak使用nginx来配置https
前言
keycloak是一套完整的开源认证授权管理解决方案,由红帽开发,提供了多种语言库,方便集成。本系列教程以使用为主,介绍keycloak的搭建,源码编译,以及部分功能的二次开发。
keycloak官网提供了详细的教程以及示例,可以参考官网示例进行编写开发。
官网地址 本系列教程基于官网最新版本18.0进行编写。
本章节主要介绍keycloak的客户端访问类型中的 bearer-only 来保护我们的api访问接口
简介
我们之前在创建一个客户端的时候有提到过客户端的访问类型,方位类型有3个选项
- public 适用于客户端应用,且需要浏览器登录的场景。典型的使用场景就是前端web系统,包括采用vue、react实现的前端项目等。
- confidential 适用于服务端应用,且需要浏览器登录以及需要通过密钥获取access token的场景。典型的使用场景就是服务端渲染的web系统。
- bearer-only 适用于服务端应用,不需要浏览器登录,只允许使用bearer token请求的场景。典型的使用场景就是restful api。
我们使用bearer-only 来保护我们系统搞得 restful api。
1.修改客户端类型
我们创建一个名为 test-android的客户端,模拟android用用来访问我们的接口
2.编写一个被保护的接口
修改后台项目配置文件,在keycloak配置文件中添加 bearer-only 参数(客户端的开发我们这里不再重复,可以参看第三篇教程)
keycloak:
auth-server-url: http://192.168.1.:8080/ #keycloak
bearer-only: true #将bearer设置为true
public-client: true
回到controller中,我们添加一个hello的接口(该接口已被设置为受保护的路径,详情参考keycloak的配置文件)
/**
* 测试接口
* @return
*/
@RequestMapping("/hello")
public String hello() {
return "测试接口";
}
这时,如果你直接访问该接口,浏览器不会跳转倒登录页面。在postman中测试,接口会提示401错误
3.测试访问
被bearer-only保护的接口是不能直接访问的,需要有两步操作
- 使用该Relam下的被设置为public的client来获取access_token
- 使用获取到的token来访问被bearer-only的页面
注意以上两点,必须使用同一个relam下的访问类型被设置为public的client来获取token,然后利用该token访问被bearer-only类型保护的页面
3.1 获取access_token
获取access_token的路径
http://ip:port/realms/{relam}/protocol/openid-connect/token
参数
username 用户名
password 密码
grant_type 认证类型 password,我们先介绍使用用户名密码的方式
client_id public类型的clientid 比如:testA
请求后,可以获得到一个access_token
3.2 访问 bearer-only 类型保护的接口
在访问接口的请求头中添加参数
Authorization 值: bearer 获取到的access_toke
如下图:
这样就可以访问受bearer-only保护的api了