Keycloak使用说明(Java Spring Boot)

最新推荐文章于 2024-07-31 17:53:33 发布
最新推荐文章于 2024-07-31 17:53:33 发布
阅读量6.8k 收藏 5
点赞数 1
分类专栏: 中间件技术 文章标签: Keycloak Keycloak SSO
注意:本文发表距今已超过,某些数据、描述可能已经过时。出处http://blog.zollty.com,转载请注明。
本文链接:https://blog.csdn.net/zollty/article/details/111315044
版权

 

第一步:在keycloak平台上,新建一个client app

 联系Keycloak管理员,提供 应用的 root url 和 app name即可。

 建好client之后,可以得到一个 client secret(密匙)。

 

第二步:在client project中 加入 keycloak配置

配置形如:

# 空间名,默认所有app和用户都在一个keycloak空间

keycloak.realm=ops

# keycloak服务器的auth地址

keycloak.auth-server-url=http://localhost:8180/auth

# client app name

keycloak.resource=fm-cache-cloud

# client secret

keycloak.credentials.secret=d4589683-0ce7-4982-bcd3-c48a12572f79

# 登录url和所需要的role

keycloak.securityConstraints[0].authRoles[0] = user

keycloak.securityConstraints[0].securityCollections[0].patterns[0] = /manage/ssologin/*

上面的配置,除了 最后一项,其他都是基本配置,直接填好就行了。

最后一项需要先在controller中定义这样一个用于登录的url,下面会讲。

 

在讲第三步之前,说一下Keycloak客户端接入原理:

(keycloak支持很多种方式接入,我只讲其中一部分)

基本原理

    keycloak是JBOSS开源的,JBOSS是做服务器的,所以,对于服务器,它比谁都玩得熟,Keycloak的强大之处也在于,它对于客户端应用的管控,直接可以到 服务器层面(相当于给服务器装一个插件,然后进入这个服务器的请求,都会被拦截和认证)。

    本文以我们常用的Spring Boot 内嵌的 Tomcat 服务器 为例,在项目中引入 keycloak包并配置好之后,实际上开启了一个 tomcat的 filter,这个filter会拦截指定的url,如果没登录,就跳转到统一登录页面进行登录。

    (如果不是用的Spring boot内嵌的tomcat服务器,比如用的是独立的tomcat服务器,原理也是一样的,只是配置方法不一样)

    keycloak提供了很多种插件(adapter),例如仅Java的adapter就有如下:

        2.1.1. Java Adapter Config

        2.1.2. JBoss EAP/WildFly Adapter

        2.1.4. JBoss Fuse 6、7 Adapter

        2.1.6. Spring Boot Adapter

        2.1.7. Tomcat 6, 7 and 8 Adapters

        2.1.8. Jetty 9.x Adapters

        2.1.9. Jetty 8.1.x Adapter

        2.1.10. Spring Security Adapter

        2.1.11. Java Servlet Filter Adapter

    

    下面以 Spring Boot Adapter为例,说明如何装插件。其他服务器,或者其他语言的客户端是类似的,很简单。

安装方法:

例如 spring boot 1.x,在pom.xml中引入下面依赖即可:

<!-- Keycloak  -->

<dependency>

    <groupId>org.keycloak</groupId>

    <artifactId>keycloak-legacy-spring-boot-starter</artifactId>

    <version>5.0.0</version>

</dependency>

如果是spring boot 2.x版本,上面的 starter 换成 keycloak-spring-boot-starter。

 

由于keycloak是基于 filter拦截器的,所以如果 项目本身 已经用了filter来作为登录控制的话,则需要进行改造,Java项目常见情况如下:

1、基于shiro框架进行登录控制;

2、基于spring security进行登录控制;

3、基于自定义简单的servlet filter进行登录控制;

下面,针对 2、3 项目情况,说明如何进行集成配置(注意,不同的项目,情况可能不完全一样,只要掌握思路即可)。

 

第三步(针对“3、基于简单servlet filter登录的项目”)

改造之前:

  • 原项目,采用了filter来拦截请求,如果没登录,则跳转到登录页面(比如 /mange/login)。

  • 使用项目自带的登录页面,进行登录。

 

改造之后:

  • 沿用原来的filter,但是如果没登录,则跳转到 用于统一登录的指定controller(比如 /mange/ssologin);

  • 把这个统一登录的controller的url,配置成 keycloak拦截的登录地址,使用keycloak来进行登录;

 

这个controller,逻辑很简单,一个例子如下,流程见注释:

@GetMapping("/ssologin")

public View ssologin(HttpServletRequest request) {

    // 1、从request获取用户名,再查看本系统中有无此用户

    // 2、有这个用户,则执行登录成功逻辑,代表登录成功

    // 3、没有这个用户,则执行登录失败逻辑,比如跳转到登录页面

}

一个真实例子:

@RequestMapping(value = "/ssologin", method = RequestMethod.GET)

public ModelAndView ssologin(HttpServletRequest request, HttpServletResponse response) {

    // 从request获取用户名,再查看本系统中有无此用户

    String userName = Identity(request).getName();

    AppUser user = userService.getByName(userName);

    if (user == null) {

        return new ModelAndView("redirect:/manage/login");

    else {

        // 有这个用户,则添加到session或者cookie中,代表登录成功

        userLoginService.addLoginStatus(request, response, user.getId().toString());

    }

    // 返回用户主页

    return new ModelAndView("redirect:/admin/app/list.do");

}

 

登录原理 说明:

由于在keycloak配置中加入了url权限控制,如下

# 登录url和所需要的role

keycloak...authRoles[0] = user

keycloak...patterns[0] = /manage/ssologin/*

那么,访问这个 url,在没登录的情况下,就会跳转到 统一登录页面,用户输入用户密码成功登录之后,就会进入到上面定义的 controller中,再执行应用本地的登录逻辑即可。

 

退出登录,很简单,只需要执行  HttpServletRequest.logout() 即可

例如:

@GetMapping(value = "/logout")

public void logout(HttpServletRequest request) throws ServletException {

    // 先移除本地的session或者cookie

    userLoginService.removeLoginStatus(request, response);

    // 然后执行 request.logout() 即可

    request.logout();

}

 

第三步(针对“2、基于spring security进行登录的项目”)

 

改造之前:

  • 请求被spring security的UsernamePasswordAuthenticationFilter拦截,判断是否登录,如果未登录,则跳转到项目自己的登录页面。

  • 使用项目自带的登录页面,进行登录。

 

准备工作:写一个KeycloakAuthenticationFilter,重载spring security的UsernamePasswordAuthenticationFilter,它的逻辑是,先判断有没有用户进行统一登录,如果用户已经统一登录了,但是本地没登录,则进行本地登录。

 

改造之后:

  • 请求被spring security的KeycloakAuthenticationFilter拦截,判断是否登录,如果未登录,则跳转到 用于统一登录的指定controller(比如 /keycloak/ssologin);

  • 把这个统一登录的controller的url,配置成 keycloak拦截的登录地址,使用keycloak来进行登录;

  • keycloak登录的controller执行成功之后,再跳转到spring security的登录处理url进行登录。

 

改造之前,spring security配置如下

  @Override

  protected void configure(HttpSecurity http) throws Exception {

    http.csrf().disable();

    http.headers().frameOptions().disable();

    http.authorizeRequests().antMatchers("/openapi/**""/keycloak/**""/img/**")

    .permitAll().antMatchers("/**").hasAnyRole(USER_ROLE);

    http.formLogin().loginPage("/signin").permitAll().loginProcessingUrl("/sslogin")

        .failureUrl("/signin?#/error").and().httpBasic();

    http.logout().invalidateHttpSession(true).clearAuthentication(true)

        .logoutSuccessUrl("/signin?#/logout");

    http.exceptionHandling().authenticationEntryPoint(

        new LoginUrlAuthenticationEntryPoint("/signin?#/logout"));

  }

改造之后,spring security配置如下:

  @Override

  protected void configure(HttpSecurity http) throws Exception {

    http.csrf().disable();

    http.headers().frameOptions().disable();

    http.authorizeRequests().antMatchers("/openapi/**""/keycloak/**""/img/**")

    .permitAll().antMatchers("/**").hasAnyRole(USER_ROLE);

    http.formLogin().loginPage("/signin").permitAll().loginProcessingUrl("/sslogin")

        .failureUrl("/signin?#/error").and().httpBasic().and()

        // add by zollty

        .addFilterBefore(keycloakAuthenticationFilter(), BasicAuthenticationFilter.class);

    http.logout().invalidateHttpSession(true).clearAuthentication(true)

        .logoutSuccessUrl("/signin?#/logout")

        // add by zollty

        .addLogoutHandler(new KeycloakSpringLogoutHandler());

    http.exceptionHandling().authenticationEntryPoint(

        // to keycloak ssologin controller

        new LoginUrlAuthenticationEntryPoint("/keycloak/ssologin"));

  }

即,加了一个自定义的 keycloakAuthenticationFilter 和 KeycloakSpringLogoutHandler,同时 将LoginUrlAuthenticationEntryPoint登录地址,修改成 用于统一登录的指定controller的URL。这个controller代码如下:

@RequestMapping(value = "keycloak/ssologin", method = RequestMethod.GET)

public ModelAndView ssologin() {

 

    return new ModelAndView("redirect:/sslogin");

}

进入到这个方法,代表已经sso登录成功,然后直接跳转到 spring security的loginProcessingUrl进行本地登录即可。

KeycloakSpringLogoutHandler的代码如下:

public class KeycloakSpringLogoutHandler implements LogoutHandler {

 

 

    @Override

    public void logout(HttpServletRequest request, HttpServletResponse response

                        , Authentication authentication) {

         

        // 退出keycloak sso

        try {

            request.logout();

        catch (ServletException e) {

            e.printStackTrace();

        }

         

    }

 

}

其作用是退出统一登录。

KeycloakAuthenticationFilter的代码如下:

public class KeycloakAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

     

    static final String DEFAULT_PASSWD_SIGN = "`kc`";

 

    @Override

    public Authentication attemptAuthentication(HttpServletRequest request, 

            HttpServletResponse response) throws AuthenticationException {

      

        String username = obtainUsername(request);

        String password = null;

         

        Identity identity = new Identity(request);

        if (username == null && identity.getSecurityContext() != null) {

            username = identity.getName();

            password = DEFAULT_PASSWD_SIGN;

        else {

            password = obtainPassword(request);

            if (password == null) {

                password = "";

            else if(DEFAULT_PASSWD_SIGN.equals(password)) {

                throw new AuthenticationServiceException("Auth error");

            }

        }

         

 

        username = username.trim();

 

        UsernamePasswordAuthenticationToken authRequest = 

            new UsernamePasswordAuthenticationToken(username, password);

 

        setDetails(request, authRequest);

 

        return this.getAuthenticationManager().authenticate(authRequest);

    }

 

}

这个代码来源于spring security的UsernamePasswordAuthenticationFilter,只是加了7行代码,用于先判断是否有用户已经统一登录过,如果已经统一登录了,则将其密码设为一个特殊字符,这是一个取巧的做法,因为用户已经统一登录了,所以后面只要看到是这个特殊字符,就不再验证密码,直接登录。

 

其他编程语言应用的接入

 

方法一:自己根据OpenID Connect和OAuth2.0的原理,找到相应的client,引入自己的项目使用。

官方指导文档:https://www.keycloak.org/docs/latest/securing_apps/index.html#other-openid-connect-libraries

 

方法二:直接在网上或GitHub上搜索现成的第三方Client、Adapter或Demo,参照配置。例如:

1)Keycloak Golang相关的第三方adapter:

https://github.com/mitch-strong/KeycloakGo

https://github.com/cwocwo/keycloak-adapter-go

更多参见:https://github.com/search?l=Go&q=Keycloak&type=Repositories

2)Python相关的Client、Adapter或Demo:(包括Django、Flask相关的例子都有)

https://github.com/search?l=Python&q=Keycloak&type=Repositories

 

全文总结

    在有keycloak adapter的加持下,keycloak的接入相当简单,它是可以做到不改一行代码的 —— 之所以上面提到一些小的改动,完全是 为了 替换或者 适配 原来项目已有 的登录filter配置,把原来的账号+密码的登录形式,拦截并跳转到 keycloak统一登录,登录完成之后,再在本地项目进行登录。

    明白这个原理之后,其他类型的项目都是一样的处理逻辑。

    具体接入时,参见这个文档 securing apps guide,说得很清楚。

    另外,参考其GitHub上的 Quick-Start Demo

 

附 Keycloak官网: www.keycloak.org

 

Special专题:关于现代化前端、移动端的接入说明

    参见这篇文章:Keycloak现代化前端、移动端的接入说明

 

 

 

 

zollty
关注
专栏目录
spring-boot-blueprint:使用Keycloak和Vue.js的Spring Boot蓝图
02-06
该项目旨在为使用Spring Boot和Vue.js构建和部署全栈Web应用程序提供一个非常少见但具有现代功能的完整蓝图。 该蓝图对于希望使用合理的默认值开始构建Web应用程序但又希望保持灵活性的人们很有用。 因此,此蓝图...
keycloak 微服务认证_VMware vRA8集成KeyCloak认证
weixin_39967938的博客
12-03 453
概述 企业中一般都有自己的单点登录认证(SSO)服务器负责业务系统(移动端、应用服务器、Web等)的认证,而VMware产品通常与vIDM集成,这样企业就有两个SSO服务器,用户体验非常不好; 伴随信息化的发展,企业内部的管理系统也越来越多,每次都进行登录,影响使用和运维效率,更有用户每套系统一套账户和密码,只能靠Excel记录了,不仅登录繁琐,且存在安全隐患;所以一套统一身份认证系统和单点登录系...
苹果开发者账号登录的问题
三线程序员的博客
09-26 1317
问题描述 在清理掉google浏览器的缓存后,直接登录https://appstoreconnect.apple.com/login 出现问题 因为是添加了自己的手机进入信任列表,每次登录的时候都是通过验证码登录的 但是这次点击通过获取验证码登录后,就是不给你输入,换了浏览器都一样 再度怀疑是苹果问题,但是这种低级错误不至于,肯定是自己的问题 尝试了4次,无果,放弃这个思路 解决 先登录 https://appleid.apple.com/account/manage 上面的网址还是使用你的手机验证码
史上最全的keycloak部署与启动教程
最新发布
qq_31532979的博客
07-31 1839
Keycloak是一个开源的身份和访问管理解决方案,它提供了OIDC(OpenID Connect)、OAuth 2.0和SAML 2.0等通用认证和授权协议的支持。下面将解释这些概念和相关知识。OIDC(OpenID Connect)是一个构建在OAuth 2.0之上的认证协议,它允许用户使用一个统一的身份标识(OpenID)进行身份验证和授权。OIDC在OAuth 2.0的基础上添加了身份验证的能力,使得应用程序可以获得用户信息,并且可以验证这些信息的真实性。
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(一)Keycloak的下载与使用
热门推荐
mltaozi的博客
11-22 1万+
接触keycloak已经半个多月了,主要是为了用来集成现已有的项目,也是弄得头大,代码不负脱发人,也是有点小成果了,在这里把自己的这点小小经验分享给大家!
Java的开源项目Keycloak
canduecho的专栏
07-18 551
总之,Keycloak是一个功能强大、灵活且易于使用的身份和访问管理解决方案,可以帮助开发人员快速添加身份验证和授权功能到他们的应用程序中,同时提供了丰富的管理和安全功能。5. 客户端管理:Keycloak允许您创建和管理客户端应用程序,为每个应用程序分配唯一的客户端ID和客户端密钥,以便进行安全的通信和身份验证。4. 授权和权限管理:Keycloak提供了灵活的授权和权限管理功能,允许您定义和管理应用程序的访问策略、角色和权限。是的,您可以使用Docker来安装和运行Keycloak
使用Keycloak实现安全的SpringBoot微服务
weixin_33816821的博客
03-22 2704
Keycloak是RedHat的开源身份和访问管理解决方案,本文介绍如何在我们的微服务安全模块中使用keycloak,特别是基于SpringBoot的微服务。 Keycloak 它提供了身份和访问管理的有用功能: 单点登录(SSO),身份代理和社交登录 用户联合 客户端适配器 管理控制台和帐户管理控制台。 虽然安全性是任何应用程序的一个重要方面,但安全性的实现部分是复杂和困难的。通常,它在代码...
Springboot继承Keycloak实现单点登陆与退出
程序员的世界
08-24 1189
由于网上博客大部分都只有登陆没有退出,自己花了一些时间研究了一下,这里将相关内容进行记录,基于Keyclaok 20的版本,实现springboot服务单点登录与退出。这个是主要的,用设置拦截器实现登陆与退出。二、keycloak配置。
spring boot keycloak
07-27
Spring Boot会自动配置Spring Security以使用Keycloak。不过,你可能需要根据应用需求自定义一些行为,例如设置安全拦截规则。在Spring Boot的配置类中,你可以重写`configure(HttpSecurity http)`方法: ```java @...
keycloak-springboot-demo:Spring BootKeycloak SSO集成演示
01-30
这意味着项目中将包含配置和代码示例,帮助开发者了解如何在自己的Spring Boot应用中设置和使用Keycloak进行用户认证和授权。 **标签解读:** - **java** - 表明这个项目是用Java语言编写的,因为Spring Boot基于...
spring-boot-keycloak-example:Spring Boot(2.1.9.RELEASE)安全性与Keycloak 4.0.0结合使用的示例
03-10
通过这个示例,开发者可以学习到如何在Spring Boot应用中集成Keycloak,理解如何配置和使用Keycloak的适配器,以及如何处理JWT令牌,从而提升应用的安全性和用户体验。在实际开发中,这样的集成可以极大地简化身份...
keycloak18.0.0==前后端分离项目中使用,前端react后端springboot 源码
03-10
keycloak18.0.0==前后端分离项目中使用,前端react后端springboot。源码
Springboot集成Keycloak,不能同时登出问题。
wdquan19851029的专栏
01-12 2277
使用springboot集成keycloak的时候,按照keycloak官方文档https://www.keycloak.org/docs/latest/securing_apps/index.html#_spring_boot_adapter,我们需要在自己的springboot 应用中添加使用Spring Boot Adapter JAR,然后通过springboot的application.properties提供keycloak相关的配置。 如果使用SSO的方式打开了多个springboot应用,
基于KeyCloak的用户认证与授权(password模式和secret模式)
MRLEE1212的博客
09-24 3989
基于KeyCloak的用户认证与授权(password模式和secret模式) 基于password的用户认证与授权模式 登录到KeyCloak管理端,进入到对应的client(这里用的是demo-cli),在setting下将红线部分设置为public,如下图所示: 在PostMan中使用username和password请求token,PostMan请求配置如下图所示: 至此,已经使...
Keycloak 入门使用第二篇
little_kelvin的博客
12-17 8890
Keycloak 入门使用第二篇User Storage SPI User Storage SPI 如果你不想所有的用户数据都存储在keycloak的数据库中,
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(三)基于springboot&keycloak+vue的前后端分离项目
mltaozi的博客
03-13 5095
本文将介绍如何使用Spring BootKeycloak和Vue构建一个具有前后端分离架构的Web应用程序。通过将前端与后端完全独立开发和部署,我们可以实现更高效的团队协作和灵活的技术选型。Spring Boot提供了一个稳定可靠的后台框架,Keycloak提供了身份验证和授权的解决方案,而Vue作为一种灵活易用的前端框架,使我们能够快速开发出优秀的用户界面。这样就实现了一个通过keycloak鉴权的简单前后端分离项目,当springboot版本太高(3.0)的话,也可以集成。
keycloak概述
m0_46527847的博客
01-30 948
因为源自 [[WildFly]] Application Server ([https://docs.wildfly.org/20/WildFly_Elytron_Security.html WildFly Elytron Security]) 所以配置 Keycloak 的许多方面都围绕 WildFly 配置元素。 Keycloak 基于 WildFly 应用服务器及其子项目([[Infinispan]](用于缓存)和 [[Hibernate]](用于持久性)之上构建,所以需要阅读它们的相关文档。 功能
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(二)KeycloakSpringBoot的集成
mltaozi的博客
10-19 5896
总结一下本章的内容,最重要的还是是yml文件权限的配置,这将直接影响到你的接口校验是否生效。其次就是客户端访问类型的设置和用户权限的问题。访问类型为public是不需要秘钥的。但是当我们选择其他两种访问类型,就需要配置秘钥了!到这里就结束了本章的内容,若有不对之处还请各位大佬指正。有什么问题也可以评论区留言。
keycloak自定义登陆主题 以及 keyclock项目中的ftl模板中的相应配置
q1ngqingsky的博客
03-11 3908
keycloak 自定义登录页面详细步骤如下: 因为keycloak是jboss开发的,使用FTL后缀开发前端文件,可能根据以下方式实现 keycloak将前端页面分为四类:按类设置主题。 •Account - Account management •Admin - Admin console •Email - Emails •Login - Login forms,包含注册。 主题配置 可以为不同的 Realm 分别设置主题, 进入keycloak管理控制台, 选择要配置主题的 R
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值