403 使用有效的用户凭据访问 Leycloak REST API 时被禁止

Posted

技术标签:

【中文标题】403 使用有效的用户凭据访问 Leycloak REST API 时被禁止【英文标题】:403 Forbidden while accessing Leycloak rest API with a valid user credentials 【发布时间】:2021-11-25 02:48:50 【问题描述】:

我已经设置了一个 Keycloak 服务器,并且一个名为“sample”的用户被授予访问其余 ADMIN API 的权限,我授予了相关领域和 client_id 的权限。而且我可以使用这个用户凭据“sample/sample”使用邮递员服务访问其余的 API。

所以通过 Angular 应用程序,我试图访问获取特定领域中角色的 API。由于并非所有登录用户都将拥有其余的管理员访问权限,因此我正在使用有权访问管理 API 的用户凭据(示例/示例),但是当我尝试访问 API 时,API 被禁止,

 this.getKeycloakAccessToken().subscribe((Tokres:any)=>
      console.log('accessToken: ', Tokres.body.access_token);
      if(Tokres && Tokres.status === 200 && Tokres.body.access_token)
        this.getKeycloakRoles(Tokres.body.access_token).subscribe((roleRes:any)=>
          console.log(roleRes);
        ,(roleErr:any)=>
          console.log('error while fetching roles..');
          console.log(roleErr);
        )
      
    ,(tokErr:any)=>
      console.log('error while accessing keycloak token...');
      console.log(tokErr);
    )


getKeycloakAccessToken()
  const url = 'http://keycloak-keycloak.router.default.svc.cluster.local.......nip.io/auth/realms/myRealm/protocol/openid-connect/token';
  const authH = new HttpHeaders().set('Content-Type', 'application/x-www-form-urlencoded');
  const body = new HttpParams()
       .set('username', 'sample')
       .set('password', 'sample')
       .set('grant_type', 'password').set('client_id','rest-client');
  return this.http.post(url, body,headers:authH,observe:'response');


getKeycloakRoles(access_token)
  const url = 'http://keycloak-keycloak.router.default.svc.cluster.local........nip.io/auth/admin/realms/myRealm/roles'
  const authH = new HttpHeaders().set('Authorization','Bearer ' + access_token);//   ('Authorization':'Bearer ' + access_token);
  return this.http.get(url,headers:authH,observe:'response');

当我尝试调试时,控制台中显示的access_token与请求标头的access_token不同

经过几天的调试,我找出了访问令牌不同的原因,API调用是使用登录会话的access_token调用的,尽管程序已经编写了源代码来设置带有访问权限的标头用户“样本/样本”的令牌。有没有办法用给定的 access_token 而不是登录用户的 access_token 来触发 API。

【问题讨论】:

【参考方案1】:

这可能不是解决方案,但只是一些对我有用的解决方法。

    允许权限(设置'Relam Management')从密钥斗篷管理控制台所有登录的用户,这样无论用户如何,登录的人都可以访问其余的管理API,按照下面这个 reference

    从 keycloak 客户端库中,我们有一个 initializeKeycloak() ,它为应用程序设置了配置,因此禁用 'enableBearerInterceptor' 表示应用程序不使用登录时生成的 access_token用户设置每个请求的标头。这样我们就可以避免禁止错误。

但是使用方法 2,您不能使用登录用户的 AT,因为我们禁用了 enableBearerInterceptor。 使用解决方案 1,如果您无法控制哪些用户登录到您的应用程序,即使用 LDAP 等第三方工具来设置用户,那么这将无法提供解决方案。

【讨论】:

以上是关于403 使用有效的用户凭据访问 Leycloak REST API 时被禁止的主要内容,如果未能解决你的问题,请参考以下文章

Spring security UsernamePasswordAuthenticationToken 始终返回 403:用户凭据已过期

克隆/推送/从bitbucket存储库中提取错误:403

无法显示网页,错误代码:500 这是怎么回事?应该怎么办?

登录后 Spring Security 总是返回 403 accessDeniedPage [重复]

在 Oauth2 安全(客户端凭据)资源服务器应用程序中为 WebFluxTest 获取 403 禁止

403 禁止 - Nginx - 使用正确的凭据