在Spring Security OAuth中,它可以使用/使用从使用Keycloak进行身份验证的用户生成的JWT令牌吗? Keycloak的开放性很强,但这一切看起来都非常相似。我仍然试图理解分界线,以及与此类似或相似的东西。
基本上我想在REST客户端中单独进行身份验证,然后使用Authorization标头中的令牌来调用某些Web服务。在Spring Security OAuth中似乎有一些JWT内容,所以我想知道我实际上可以使用它而不是Keycloak Spring的东西吗?有没有这方面的例子? (我喜欢在我的控制器中使用Spring安全检查)
答案 0 :(得分:4)
您可以使用Keycloak Spring适配器,仍然依赖Spring Security注释来实现控制器安全性。 Keycloak Spring适配器的主要目的是简化与Keycloak的集成以实现交互式登录,并将JWT访问令牌声明正确映射到Spring Security身份验证上下文中。
通过Spring Security OAuth2 documentation阅读,我得到的印象是它尚未完全开箱即可处理OpenID Connect JWT访问令牌。但是,它可以自定义,因此最有可能使其正常工作。
我现在的建议是,如果您使用Keycloak作为您的OIDC服务器,请坚持使用Keycloak Spring适配器。它可以节省您的时间,并且使用Keycloak进行了很好的测试。