Spring Boot 3.1中如何整合Spring Security和Keycloak

-Advertisement-

在今年2月14日的時候，Keycloak 團隊宣佈他們正在棄用大多數 Keycloak 適配器。其中包括Spring Security和Spring Boot的適配器，這意味著今後Keycloak團隊將不再提供針對Spring Security和Spring Boot的集成方案。但是，如此強大的Ke ...

在今年2月14日的時候，Keycloak 團隊宣佈他們正在棄用大多數 Keycloak 適配器。其中包括Spring Security和Spring Boot的適配器，這意味著今後Keycloak團隊將不再提供針對Spring Security和Spring Boot的集成方案。但是，如此強大的Keycloak，還要用怎麼辦呢？本文就來聊聊，在最新的Spring Boot 3.1版本之下，如何將Keycloak和Spring Security一起跑起來。

準備工作

這裡所採用的框架與工具版本信息如下：

Spring Boot 3.1.0
Keycloak 21.1.1

如果您採用的是其他版本，本文內容不一定有效，但可以作為參考。

配置Keycloak

第一步：為Spring Boot應用創建Realm，併在下麵創建一個Client

第二步：創建一個SYS_ADMIN角色，並創建一個用戶賦予SYS_ADMIN角色

第三步：調用Keycloak介面生成Access Token，可以用下麵的curl命令或者其他任何發請求的工具，比如：Postman等。

curl --location 'http://localhost:9090/realms/MyAppRealm/protocol/openid-connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'username=<YOUR_USER_NAME>' \
--data-urlencode 'password=<YOUR_USER_PASSWORD>' \
--data-urlencode 'grant_type=password' \
--data-urlencode 'client_id=My-Awesome-App' \
--data-urlencode 'client_secret=<KEYCLOAK_CLIENT_SECRET>' \
--data-urlencode 'scope=openid'

記住獲得到Access Token，後續驗證時候要用。

如果您學習過程中如遇困難？可以加入我們超高質量的Spring技術交流群，參與交流與討論，更好的學習與進步！

配置Spring Boot應用

第一步：創建一個Spring Boot應用，這個很簡單，這裡不贅述了。如果您還不會，可以看看我的Spring Boot教程

第二步：在pom.xml中添加依賴：

<dependency>
   <groupId>org.springframework.security</groupId>
   <artifactId>spring-security-oauth2-jose</artifactId>
</dependency>

第三步：修改配置文件

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:9090/realms/MyAppRealm
          jwk-set-uri: http://localhost:9090/realms/MyAppRealm/protocol/openid-connect/certs

第四步：創建一個需要鑒權的測試介面

@RequestMapping("/test")
@RestController
public class MySuperSecuredController {

    @GetMapping("/hello")
    public String hello(){
        return "hello";
    }

}

第五步：創建SecurityFilterChain，用來告知Spring Security在JWT令牌中查找角色信息的位置。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {


    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .authorizeHttpRequests(registry -> registry
                        .requestMatchers("/test/**").hasRole("SYS_ADMIN")
                        .anyRequest().authenticated()
                )
                .oauth2ResourceServer(oauth2Configurer -> oauth2Configurer.jwt(jwtConfigurer -> jwtConfigurer.jwtAuthenticationConverter(jwt -> {
                    Map<String, Collection<String>> realmAccess = jwt.getClaim("realm_access");
                    Collection<String> roles = realmAccess.get("roles");
                    var grantedAuthorities = roles.stream()
                            .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                            .toList();
                    return new JwtAuthenticationToken(jwt, grantedAuthorities);
                })))
        ;

        return httpSecurity.build();
    }
}

驗證一下

在完成了上面配置所有之後之後，啟動Spring Boot應用，同時保證Keycloak也在運行中。

嘗試請求/test/hello介面：

當不包含Authorization頭信息的時候，將返回401錯誤
當包含Authorization頭信息（前文用調介面獲取的Access Token）的時候，才能正確訪問到。

小結

雖然Keycloak 團隊宣佈了不再對Spring Security提供適配，但Spring Security長期以來一直為OAuth和OIDC提供強大的內置支持。所以，只要我們理解Spring Security是如何處理OAuth和OIDC的，那麼與Keyloak的集成依然不複雜。好了，今天的分享就到這裡！如果您學習過程中如遇困難？可以加入我們超高質量的Spring技術交流群，參與交流與討論，更好的學習與進步！

歡迎關註我的公眾號：程式猿DD。第一時間瞭解前沿行業消息、分享深度技術乾貨、獲取優質學習資源

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

celery筆記一之celery介紹、啟動和運行結果跟蹤

> 本文首發於公眾號：Hunter後端 > 原文鏈接：[celery筆記一之celery介紹、啟動和運行結果跟蹤](https://mp.weixin.qq.com/s/o6enPH4f1qo8WXrl9vO-1w) 本篇筆記內容如下： 1. celery 介紹 2. celery 準備 3. ce ...
驅動開發：內核解析PE結構節表

在筆者上一篇文章`《驅動開發：內核解析PE結構導出表》`介紹瞭如何解析記憶體導出表結構，本章將繼續延申實現解析PE結構的PE頭，PE節表等數據，總體而言內核中解析PE結構與應用層沒什麼不同，在上一篇文章中`LyShark`封裝實現了`KernelMapFile()`記憶體映射函數，在之後的章節中這個函數... ...
Spring Cloud開發實踐(七): 集成Consul配置中心

Consul 通過 Key/Value 功能集中管理存儲配置信息, 通過 Spring Cloud Consul Config 可以實現 Config Server 和 Client 的關聯. 在 Spring 啟動的 bootstrap 階段, 配置會被載入環境上下文. ...
Java 基本知識——first day

# 1. 前言最近有點時間，就隨便找點東西弄弄，倒也碰到了一些問題，在此記錄下 # 2. 環境 Python3.11.3 + selenium4.9.1 + opencv4.7 + PyAutoGUI0.9.54 + windows11 # 3. 開始 ## 3.1 賬號密碼輸入 ![image] ...
YOLOV5實時檢測屏幕

有時候我們使用python自動化框架的時候,打開一個網頁的時候,它會出現出線這一種登錄框,我們f12檢查不了,用開發者工具強制檢查裡面沒有任何屬性. 那這時候我們就可以用到python第三方庫:pyautogui PyAutoGUI:是一個Python庫，可用於自動化GUI（圖形用戶界面）程式的任務 ...
Python批量填補遙感影像的無效值NoData

本文介紹基於**Python**中**ArcPy**模塊，對大量柵格遙感影像文件**批量**進行**無效值**（**NoData**值）填充的方法。在處理柵格圖像文件時，我們經常會遇到圖像中存在有無效值（即**NoData**值）的情況。如下圖所示，這裡有一個**矢量面要素圖層**和該矢量圖層範圍 ...
Java中讀取用戶輸入的是誰？Scanner類

我們在初學 Java 編程的時候，總是感覺很枯燥乏味，想著做點可以交互的小系統，可以讓用戶自由輸入，系統可以接收做出反映。這就要介紹一下 Java 中的 Scanner 類了。 ...
python~Flask框架建立web應用

通過python來開發web應用，可以產簡化了web開發的流程，功能和函數庫也是非常豐富，我們也是開箱即用，目前比較流程的WEB框架就是Flask和django。 > 根據2020年JetBrains Python開發人員調查，Django和Flask是迄今為止最受歡迎的兩個Python Web框架 ...