一、环境描述
keycloak鉴权springboot的方式,此处简单介绍,springboot官方也提供了demo
https://github.com/keycloak/keycloak-quickstarts/tree/latest/spring/rest-authz-resource-server
以及文档说明
Securing Applications and Services Guide
本文环境
springboot版本:2.7.1,(此版本无所谓,都是一样的)
keycloak版本:23.0.7(截止目前最新版本)
二、keycloak配置
1、创建realm
登录keycloak后先新建一个realm,在realm中,可以很轻松使用一套用户体系,当然用户体系也可以跨realm使用。realm相当于一个微服务群,client相当于每一个服务。
输入名称,当然有realm配置文件备份的话还可以点击browse导入配置,然后点击create按钮创建realm
2、创建user
进入user列表,点击add user。此user可以使用本地服务的user,这样就能用本地服务用户体系登录系统了。此方法后续再演示
输入用户名,点击create,不用着急密码,下一步再新建密码
选择Credential tab签,点击set password
输入密码和确认密码,点击save
然后,用户创建成功,看到角色(role mapping)中用户默认绑定了 default-roles-quarkus-test 的默认角色。keycloak中角色是要和认证权限匹配的
3、创建client
23.0.7版本中此处授权不选,对应的是老版本(15前)的访问鉴权控制设置为public。
设置重定向rul
点击save,完成client创建
三、springboot配置
在application.properties中配置如下,本来想在.yml 中配置,结果官方例子是properties为了抄起来方便就这样吧。
# 对应keycloak的域realm
keycloak.realm = quarkus-test
# keycloak访问地址
keycloak.auth-server-url = http://127.0.0.1:8080
# https 验证
keycloak.ssl-required = external
# 对应keycloak中的client
keycloak.resource = login-test
# 鉴权时角色匹配
keycloak.use-resource-role-mappings = true
# 客户端(本服务)鉴权连接keycloak为public,不需要客户端secret之类
keycloak.public-client=true
# 鉴权keycloak角色
keycloak.security-constraints[0].authRoles[0]=default-roles-login-realm
# 鉴权springboot API 接口
keycloak.security-constraints[0].securityCollections[0].patterns[0]=/demo/*官方说这个配置适用于keycloak新版本,我没用旧版本做过测试,没有发言权。
springboot controller 代码
截个图,代码不用粘贴了吧
启动springboot
在被keycloak拦截到的时候,控制台日志打印出了keycloak api地址,可以访问看看
四 、登录403问题处理
访问springboot后台接口
然后跳转到登录页
输入用户名密码后 403,说明用户没有配置client角色权限。
1、配置client权限角色
2、给用户匹配该角色
默认角色列表为域角色,选择客户端角色进行匹配
分配好角色后,保存,回到springboot访问页刷新如下
---Python3--开源)
)
)
)
