OAuth2客户端凭据通过Spring Boot Keycloak集成进行流动

时间:2019-09-17 12:51:36

标签: java spring spring-boot keycloak

我的应用程序包括:

  • 后端/资源服务器
  • UI webapp
  • 钥匙斗篷

UI正在使用具有授权码授予流程的keycloak客户端通过RESTful API与后端服务器进行通信。一切正常。

现在,我需要使用系统/服务帐户(通常具有比用户更多的权限)访问后端资源的其他可能性。您将如何实施此要求?我认为客户端凭据流在这里会很有用。

是否可以将OAuth2客户端凭据流与keycloak客户端一起用于Spring Boot?我发现了一些示例,这些示例使用Spring Security OAuth2客户端功能来实现客户端凭证流,但是这感觉很奇怪,因为我已经将keycloak客户端用于OAuth了。

编辑:解决方案

感谢您的回答,这对我很有帮助。现在,在我的UI Web应用程序中,我可以通过使用经过身份验证的用户OAuth2令牌或使用我的UI服务帐户的客户端凭据流中的令牌与后端进行通信。每种方法都有自己的RestTemplate,第一种方法是通过密钥斗篷集成完成的,第二种方法是由here所述的Spring Security OAuth2完成的。

3 个答案:

答案 0 :(得分:6)

是的,您可以使用OAuth 2.0客户端凭据流和服务帐户。

Keycloak建议了三种保护SpringBoot REST服务的方法:

  1. 带有Keycloak Spring Boot适配器
  2. 带有密钥斗篷Spring Security适配器
  3. 具有OAuth2 / OpenID Connect

下面以OAuth2 / OIDC方式的示例对此进行了很好的解释:

如果您遵循此示例,请记住:

请务必将您的客户端配置为:

  • 访问类型:机密
  • 授权:已启用
  • 服务帐户(OAuth客户端凭据流程):已启用

请务必将目标服务配置为:

  • 访问类型:仅承载

因此,呼叫者应为confidential,目标服务应为bearer-only

创建用户,角色,映射器...,并将角色分配给用户。

检查Spring项目中是否具有此依赖项:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.security.oauth.boot</groupId>
  <artifactId>spring-security-oauth2-autoconfigure</artifactId>
</dependency>

配置要在REST客户端中使用的身份验证(application.properties) 例如:

security.oauth2.client.client-id=employee-service
security.oauth2.client.client-secret=68977d81-c59b-49aa-aada-58da9a43a850
security.oauth2.client.user-authorization-uri=${rest.security.issuer-uri}/protocol/openid-connect/auth
security.oauth2.client.access-token-uri=${rest.security.issuer-uri}/protocol/openid-connect/token
security.oauth2.client.scope=openid
security.oauth2.client.grant-type=client_credentials

像Arun的示例一样,执行JwtAccessTokenCustomizerSecurityConfigurer(ResourceServerConfigurerAdapter)。

最后实现您的服务控制器:

@RestController
@RequestMapping("/api/v1/employees")
public class EmployeeRestController {

  @GetMapping(path = "/username")
  @PreAuthorize("hasAnyAuthority('ROLE_USER')")
  public ResponseEntity<String> getAuthorizedUserName() {
    return ResponseEntity.ok(SecurityContextUtils.getUserName());
  }

  @GetMapping(path = "/roles")
  @PreAuthorize("hasAnyAuthority('ROLE_USER')")
  public ResponseEntity<Set<String>> getAuthorizedUserRoles() {
    return ResponseEntity.ok(SecurityContextUtils.getUserRoles());
  }
}

有关完整的教程,请阅读引用的Arun教程。

希望有帮助。

答案 1 :(得分:2)

在@ dmitri-algazin实施工作流之后,您基本上有两个选择:

  1. 如果除了Keycloak可以解决Single Responsibility principle的问题之外,如果您想涵盖其他IDM,我将使用RestTemplate。您可以在下面找到变量:
    //Constants
    @Value("${keycloak.url}")
    private String keycloakUrl;

    @Value("${keycloak.realm}")
    private String keycloakRealm;

    @Value("${keycloak.client_id}")
    private String keycloakClientId;

    RestTemplate restTemplate = new RestTemplate();
    private static final String BEARER = "BEARER ";

首先,您需要生成访问令牌:

    @Override
    public AccessTokenResponse login(KeycloakUser user) throws NotAuthorizedException {
        try {
            String uri = keycloakUrl + "/realms/" + keycloakRealm + 
                    "/protocol/openid-connect/token";
            String data = "grant_type=password&username="+
                    user.getUsername()+"&password="+user.getPassword()+"&client_id="+
                    keycloakClientId;

            HttpHeaders headers = new HttpHeaders();
            headers.set("Content-Type", "application/x-www-form-urlencoded");

            HttpEntity<String> entity = new HttpEntity<String>(data, headers);
            ResponseEntity<AccessTokenResponse> response = restTemplate.exchange(uri, 
                    HttpMethod.POST, entity, AccessTokenResponse.class);            

            if (response.getStatusCode().value() != HttpStatus.SC_OK) {
                log.error("Unauthorised access to protected resource", response.getStatusCode().value());
                throw new NotAuthorizedException("Unauthorised access to protected resource");
            }
            return response.getBody();
        } catch (Exception ex) {
            log.error("Unauthorised access to protected resource", ex);
            throw new NotAuthorizedException("Unauthorised access to protected resource");
        } 
    }

然后使用令牌,您可以从用户那里检索信息:

    @Override
    public String user(String authToken) throws NotAuthorizedException {

        if (! authToken.toUpperCase().startsWith(BEARER)) {
            throw new NotAuthorizedException("Invalid OAuth Header. Missing Bearer prefix");
        }

        HttpHeaders headers = new HttpHeaders();
        headers.set("Authorization", authToken);

        HttpEntity<String> entity = new HttpEntity<>(headers);

        ResponseEntity<AccessToken> response = restTemplate.exchange(
                keycloakUrl + "/realms/" + keycloakRealm + "/protocol/openid-connect/userinfo", 
                HttpMethod.POST, 
                entity, 
                AccessToken.class);

        if (response.getStatusCode().value() != HttpStatus.SC_OK) {
            log.error("OAuth2 Authentication failure. "
                    + "Invalid OAuth Token supplied in Authorization Header on Request. Code {}", response.getStatusCode().value());
            throw new NotAuthorizedException("OAuth2 Authentication failure. "
                    + "Invalid OAuth Token supplied in Authorization Header on Request.");
        }

        log.debug("User info: {}", response.getBody().getPreferredUsername());
        return response.getBody().getPreferredUsername();
    }

您可以将该URL替换为@ dimitri-algazin提供的URL,以检索所有用户信息。

  1. 可以使用Keycloak依赖项:
        <!-- keycloak -->
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-admin-client</artifactId>
            <version>3.4.3.Final</version>
        </dependency>

        <dependency>
            <groupId>org.jboss.resteasy</groupId>
            <artifactId>resteasy-client</artifactId>
            <version>3.1.4.Final</version>
        </dependency>

并使用这些类来生成令牌:

            Keycloak keycloak = KeycloakBuilder
                    .builder()
                    .serverUrl(keycloakUrl)
                    .realm(keycloakRealm)
                    .username(user.getUsername())
                    .password(user.getPassword())
                    .clientId(keycloakClientId)
                    .resteasyClient(new ResteasyClientBuilder().connectionPoolSize(10).build())
                    .build();

            return keycloak.tokenManager().getAccessToken();

示例摘自here。我们还上传了image to Docker Hub,以促进与Keycloak的交互。因此,我们从选项2)开始。目前,我们正在涵盖其他IdM,我们选择了选项1),以避免包括额外的依赖项。结论:

  

如果您坚持使用Keycloak,我会选择选项2 ,因为类包含Keycloak工具的额外功能。   我将使用选项1 进行进一步介绍和其他OAuth 2.0工具。

答案 2 :(得分:0)

我们有类似的要求,请通过uuid用户获取电子邮件。

创建服务用户,请确保该用户具有“领域管理”->“视图用户”角色(也可以是查询用户)

过程很简单:使用服务用户登录密钥库(保留属性文件中编码的密码和/或用户名),使用授权标头中的accessToken来请求密钥库

获取http:// {yourdomainadress} / auth / admin / realms / {yourrealmname} / users / {userId}

使用REST API登录密钥库的方法:

POST http:// {yourdomainadress} / auth / realms / {yourrealmname} / protocol / openid-connect / token

标题:

Content-Type:应用程序/ x-www-form-urlencoded

x-www-form-urlencoded的正文:

client_id:您的客户端

用户名:您正在使用的用户

密码:用户密码

grant_type:密码

client_secret:11112222-3333-4444-5555-666666666666(如果客户端“访问类型” =“机密”,则需要客户端密码)

很快:确保您的服务用户已分配正确的角色来执行操作, 进行登录,查询密钥斗篷(检查文档以获取正确的查询网址和参数,总是很困难)

相关问题
最新问题