上一篇已经介绍了keycloak的下载与使用: Keycloak的下载与使用
本文章和大家分享keycloak怎么去集成springboot项目,以及怎么去做接口权限的校验。
PS:根据红帽的公告,目前在springboot 3.x版本已经不支持keycloak适配器,所以本章基于springboot 2.7.16版本,集成keycloak做登录校验,并且本项目不是前后端分离的,前后端分离后面也会讲到。keycloak公告
在这之前,我们先来了解一下关于keycloak一些简单的内容:realm、client、以及user、role等。
-
Realm(领域):
- 一个 Realm 表示一个完全隔离的身份和访问控制域。
- 在 Keycloak 中,你可以创建多个独立的领域,每个领域都有自己的用户、客户端、角色和策略。
- 用户在一个领域内进行注册、认证和授权。
-
Client(客户端):
- 一个 Client 代表与 Keycloak 进行交互的应用程序或服务。
- 客户端使用不同的协议(如 OpenID Connect、SAML、OAuth)与 Keycloak 进行集成。
- Keycloak 的每个客户端都有自己的配置和安全设置,以及定义的受保护资源。
-
Role(角色):
- 角色表示一组权限或功能。
- 在 Keycloak 中,你可以为每个客户端定义角色,并将角色分配给用户。
- 角色用于授权和访问控制,通过为用户授予特定角色来确定他们能够执行哪些操作或访问哪些资源。
-
User(用户):
- 用户是使用应用程序或服务的最终用户。
- 在 Keycloak 中,你可以创建和管理用户,并为他们分配角色。
- 用户可以通过不同的身份验证方法进行认证,如用户名/密码、社交登录或外部身份提供者。
-
Group(组):
- 组用于组织和管理用户。
- 在 Keycloak 中,你可以创建组,并将用户分配到组中。
- 组可以与角色相关联,以实现对组内用户的授权管理。
总结:
Realm(领域)是 Keycloak 的最顶层概念,代表一个完全隔离的身份和访问控制域。在一个 Realm 内,我们可以定义多个 Client(客户端),用于与 Keycloak 进行集成和交互。每个 Client 都有自己的配置和安全设置。
在一个 Client 中,我们可以定义多个 Role(角色),用于表示一组权限或功能。这些角色可以被分配给 User(用户)。用户通过不同的身份验证方法进行认证,并被授予相应的角色来确定他们能够执行哪些操作或访问哪些资源。
Group(组)用于组织和管理用户,将用户分组到不同的组中。组可以与角色关联,以实现对组内用户的授权管理。
一、在keycloak创建客户端(client)
1.新建一个域,名称叫做springboot,步骤如下:
点击创建即可:
2.新建一个客户端
填写客户端ID,协议就使用默认的openID就可以了
创建好之后,客户端协议选择 confidential
这里给大家解释一下访问类型:
public: 适用于客户端应用,如前端web系统,包括采用vue、react实现的前端项目等。不需要秘钥访问。
confidential: 适用于服务端应用,比如需要浏览器登录以及需要通过密钥获取access token的web系统。需要秘钥访问。
bearer-only: 适用于服务端应用,只允许使用bearer token请接口,项目里的权限是针对接口做校验,请求没有带上token就会返回401。需要秘钥访问。
凭据的秘钥后面会用到:
下面的有效重定向填写自己后端的路径就行了,记得加上/*
完成之后点击最下面的保存即可。
接下来为realm分别创建两个角色 user 和admin
点击菜单栏的角色按钮
添加角色:
回到角色页面,我们把默认的角色设置为user
完成之后我们到用户页面添加一个用户 user001。
这里可以根据自己的业务需求填写其他信息。
保存完成之后我们点击上面的凭据,为用户设置密码,这里我们可以选择此次设置的密码是否为临时密码。我这里吧临时密码关掉了。
添加成功之后,让我们查看一下该用户的权限,可以看到该用户已经设置了user权限(前面的默认权限操作,设置了user为域的默认权限,也可以不设置默认权限)。
到这里,keycloak的设置就暂时结束了。
二、创建springboot项目并且集成keycloak
好了,现在我们去创建一个springboot项目(怎么创建我就不说了),网上很多教程的。
创建好了之后,创建HomeController,在里面写几个简单的方法。
导入maven:pom代码送上,直接copy
project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
modelVersion>4.0.0modelVersion>
parent>
groupId>org.springframework.bootgroupId>
artifactId>spring-boot-starter-parentartifactId>
version>2.7.16version>
relativePath/>
parent>
groupId>com.skygroupId>
artifactId>keycloak-demoartifactId>
version>0.0.1-SNAPSHOTversion>
name>keycloak-demoname>
description>keycloak-demodescription>
properties>
java.version>17java.version>
keycloak.version>19.0.3keycloak.version>
hutool.version>5.8.21hutool.version>
properties>
dependencies>
dependency>
groupId>org.springframework.bootgroupId>
artifactId>spring-boot-starter-webartifactId>
dependency>
dependency>
groupId>org.springframework.bootgroupId>
artifactId>spring-boot-starter-thymeleafartifactId>
dependency>
dependency>
groupId>org.springframework.bootgroupId>
artifactId>spring-boot-devtoolsartifactId>
scope>runtimescope>
optional>trueoptional>
dependency>
dependency>
groupId>org.projectlombokgroupId>
artifactId>lombokartifactId>
optional>trueoptional>
dependency>
dependency>
groupId>org.springframework.bootgroupId>
artifactId>spring-boot-starter-testartifactId>
scope>testscope>
dependency>
dependency>
groupId>cn.hutoolgroupId>
artifactId>hutool-allartifactId>
version>${hutool.version}version>
dependency>
dependency>
groupId>org.keycloakgroupId>
artifactId>keycloak-admin-clientartifactId>
version>${keycloak.version}version>
dependency>
dependency>
groupId>org.keycloakgroupId>
artifactId>keycloak-spring-boot-starterartifactId>
version>${keycloak.version}version>
dependency>
dependencies>
dependencyManagement>
dependencies>
dependency>
groupId>org.keycloak.bomgroupId>
artifactId>keycloak-adapter-bomartifactId>
version>${keycloak.version}version>
type>pomtype>
scope>importscope>
dependency>
dependencies>
dependencyManagement>
build>
plugins>
plugin>
groupId>org.springframework.bootgroupId>
artifactId>spring-boot-maven-pluginartifactId>
configuration>
excludes>
exclude>
groupId>org.projectlombokgroupId>
artifactId>lombokartifactId>
exclude>
excludes>
configuration>
plugin>
plugins>
build>
project>
yml文件配置:
keycloak:
server:
port: 5211
keycloak:
realm: springboot #域名
resource: kc-springboot #客户端id
auth-server-url: http://localhost:8080/
ssl-required: external
public-client: false #非public访问类型
credentials:
secret: AKauMGADJptxIWykGsJTRW1snJ6zAq2c #秘钥
securityConstraints:
- auth-roles: # 公共页面 无权限可访问
security-collections:
- name: any
- patterns:
- /publicPage
- auth-roles: # 需要user或者admin权限才可访问
- user
- admin
security-collections:
- name: user page
- patterns:
- /user
- auth-roles: # 需要admin权限才能访问
- admin
security-collections:
- name: admin
patterns:
- /admin
上面的秘钥(credentials:secret)在客户端的凭据可以拿到。
代码部分:
controller:
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
/**
* @BelongsProject: keycloak-demo
* @BelongsPackage: com.sky.keycloakdemo.controller
* @Author: Sky.yu
* @CreateTime: 2023-10-19 17:08
* @Description: TODO
* @Version: 1.0
*/
@Controller
public class HomeController {
@GetMapping("/publicPage")
public String home() {
return "index";
}
@GetMapping("/user")
public String user() {
return "user";
}
@GetMapping("/admin")
public String admin() {
return "admin";
}
设置好之后,在resources/templates目录下创建三个对应的页面。
代码如下(简单的代码直接copy!):
index.html:
DOCTYPE html>
html lang="en">
head>
meta charset="UTF-8">
title>Titletitle>
head>
body>
h1>这里是公共页面!h1>
body>
html>
admin.html
DOCTYPE html>
html lang="en">
head>
meta charset="UTF-8">
title>Titletitle>
head>
body>
h1>这里是管理员页面,只有admin权限才能访问h1>
body>
html>
user.html
DOCTYPE html>
html lang="en">
head>
meta charset="UTF-8">
title>Titletitle>
head>
body>
h1>这里是用户页面,拥有user、admin可访问!h1>
body>
html>
到这里,这个简单的项目就完成了。
三、启动springboot项目
启动完成之后,访问路径:localhost:5211,会自动跳转到index.html。
让我们访问/user页面。
访问之后会跳转到keycloak自带的登录页面。
输入我们刚刚创建的用户user001,登录。
当我们用权限为user的账号访问/admin页面的时候,会出现什么问题呢?
显然无法访问。
在keycloak注销会话,然后在浏览器清除cookie,并且为这个用户添加一个admin的权限。
重新登录再试试!
再次访问 /admin 页面,就能访问成功了!
回到 /user 页面,也可以访问。
最重要的是yml文件的配置!!!!最重要的是yml文件的配置!!!!最重要的是yml文件的配置!!!!重要的事说三遍
四、总结
总结一下本章的内容,最重要的还是是yml文件权限的配置,这将直接影响到你的接口校验是否生效。
其次就是客户端访问类型的设置和用户权限的问题。访问类型为public是不需要秘钥的。但是当我们选择其他两种访问类型,就需要配置秘钥了!
credentials:
secret: AKauMGADJptxIWykGsJTRW1snJ6zAq2c
到这里就结束了本章的内容,若有不对之处还请各位大佬指正。
有什么问题也可以评论区留言。谢谢~
纯后端项目在配置登录页以及需要手机号注册、手机号验证码登录登内容比较繁琐(需要自己写配置,比较烦,不是我懒哈Q.Q),时间不充分暂时就不写了,有问题的小伙伴也可以在评论区留个言,后面有时间了再考虑弄弄。
所以下一节内容我们先一起来玩一玩基于keycloak的前后端分离项目,前端不使用keycloak的情况下,如何使用自定义的前端(再次说一句改keycloak自带的前端真的挺烦的)和后端交互,包括手机号注册、登录、添加各种用户信息等等。
长路漫漫,代码作伴!大家一起学习一起进步!
