使用 keycloak 在 servlet 应用程序中获取用户角色

Posted

技术标签:

【中文标题】使用 keycloak 在 servlet 应用程序中获取用户角色【英文标题】:Obtaining user roles in servlet application using keycloak 【发布时间】:2015-05-14 21:52:47 【问题描述】:

我正在使用 keycloak 来保护我的 servlet。我必须添加新角色并将它们动态分配给用户。它使用管理 API 在 keycloak 中工作,但我不知道如何获取 servlet 中特定用户的角色。

我尝试了这个解决方案,但我得到了一个空集:

protected void doPost(HttpServletRequest request, HttpServletResponse response) 
...

KeycloakSecurityContext context = (KeycloakSecurityContext)request.getAttribute(KeycloakSecurityContext.class.getName());
    Set<String> roles = AdapterUtils.getRolesFromSecurityContext((RefreshableKeycloakSecurityContext) context);
...

【问题讨论】:

【参考方案1】:

@Shiva 的回答对我不起作用。 getRealmAccess() 返回 null。我们必须使用以下内容:

KeycloakPrincipal principal = (KeycloakPrincipal) request.getUserPrincipal();

String clientId = "securesite";
principal.getKeycloakSecurityContext().getToken().getResourceAccess(clientId).getRoles();

【讨论】:

如果在 keycloak.json 中的选项 "use-resource-role-mappings" : true ist set,那是正确的【参考方案2】:

如果 servlet 受 keyclaok 保护,那么您可以使用以下 API 获取KeycloakSecurityContext,然后访问角色的Set 进行修改。

KeycloakPrincipal principal = (KeycloakPrincipal) request.getUserPrincipal();

 principal.getKeycloakSecurityContext().getToken().getRealmAccess().getRoles().add("Test-Role");

示例 servlet 请求可能如下所示。

protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException 
    @SuppressWarnings("rawtypes")
    KeycloakPrincipal principal = (KeycloakPrincipal)request.getUserPrincipal();
    if (principal != null) 
        //user has a valid session, we can assign role on the fly like this
        principal.getKeycloakSecurityContext().getToken().getRealmAccess().getRoles().add("Test-Role");

        

【讨论】:

向 Keycloak 安全上下文添加角色是个坏主意。这些角色只会在令牌刷新之前存在。

以上是关于使用 keycloak 在 servlet 应用程序中获取用户角色的主要内容,如果未能解决你的问题,请参考以下文章

运行时的Keycloak配置

Spring Boot Keycloak - 每个请求验证 3 次

生成 keycloak 用户设置页面 URL

如何在 Keycloak 中创建客户端以与 AWS Cognito 身份联合使用

Keycloak - 如何在登录页面上添加返回应用程序链接

在使用 Keycloak 保护的 web 应用程序中获取登录用户名