Keycloak授权服务不会拒绝资源范围
我正在管理控制台中测试Keycloak授权服务,但无法理解在下一个示例中keycloak为什么授权用户(在evaluate标签中进行了测试)。这是我的设置:
- 创建了一个领域
test - 使用
democlient创建了一个客户Authorization Enabled - 创建领域角色
Admin - 创建用户
adminuser并将其分配给Admin角色
在Authorization标签中,带有客户端democlient:
- 在
Settings->Policy Enforcement Mode中设置为Enforcing - 创建2个范围:
list和save - 使用之前的两个作用域创建资源
Resource A - 在
Policies标签中,创建一个名为 Only admins 的新Role policy,其中(当然)我只允许管理员:
- 在
Permissions标签中,创建了一个Scoped-based权限,称为仅允许管理员资源A,列出范围:
就是这样。现在,我使用adminuser,角色Admin,资源A,作用域列表在evaluate标签中检查此策略:
成功!世界上一切都很好!...除了否。 再次与adminuser,角色Admin,资源A,作用域保存(我未定义任何权限的作用域)一起检查策略Keycloak再次授权此规则:/
我假设根据密钥斗篷的文档,将policy enforcement mode设置为Enforcing将拒绝访问范围保存:
策略实施模式规定了评估授权请求时如何执行策略。 “强制”表示即使没有与给定资源相关联的策略,默认情况下也会拒绝请求。 “允许”表示即使没有与给定资源关联的策略,也允许请求。 “已禁用”会完全禁用策略评估,并允许访问任何资源。
所以...我在做什么错?我如何才能使该密钥斗篷拒绝访问save scope? (显然,我可以在我明确拒绝此范围的地方进行许可。但是我希望默认值是拒绝,如文档所述)
任何想法都将不胜感激。
1 个答案:
答案 0 :(得分:3)
我发现涉及此问题的Jira问题显然是一个错误:
https://issues.redhat.com/browse/KEYCLOAK-9483
Keycloak 9.0版随附一个补丁
https://issues.redhat.com/browse/KEYCLOAK-12438.
所以我们只需要等待这个版本
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?