如何在没有登录页面的情况下将 Keycloak 与 Spring Boot(API) 集成

Posted

技术标签:

【中文标题】如何在没有登录页面的情况下将 Keycloak 与 Spring Boot(API) 集成【英文标题】:How to integrate Keycloak with Spring boot(API) without login page 【发布时间】:2019-12-27 09:42:39 【问题描述】:

需要将 Keycloak 与我的 Spring Boot 应用程序集成。我需要的是任何到达我的 API 的 REST 请求都会有一个标头,例如“授权”将具有“基本”价值,用作身份验证令牌。 到 API 的请求应该从 keyclaok 进行验证,而不需要重定向到任何 keycloak 的登录页面。 所有将 keycloak 与 Spring Boot 集成的教程都显示了登录页面或预生成的不记名令牌。

当我尝试这样做时,下面是我的 SecurityConfig.java:

@Configuration
@EnableWebSecurity
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter 

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) 
        KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
        keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper());
        auth.authenticationProvider(keycloakAuthenticationProvider);
    

    @Bean
    public KeycloakSpringBootConfigResolver keycloakConfigResolver() 
        return new KeycloakSpringBootConfigResolver();
    

    @Bean
    @Override
    protected SessionAuthenticationStrategy sessionAuthenticationStrategy() 
        return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
    

    @Override
    protected void configure(HttpSecurity http) throws Exception 
        super.configure(http);
        http.authorizeRequests().antMatchers("/myapi*").hasRole("user").anyRequest().permitAll();
    

我的 application.properties:

server.port=8081
keycloak.auth-server-url=http://localhost:9080/auth
keycloak.realm=myrealm
keycloak.resource=myclient
keycloak.public-client=false
keycloak.credentials.secret=mysecret
keycloak.use-resource-role-mappings=true
keycloak.enabled=true
keycloak.ssl-required=external

pom.xml 文件:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.7.RELEASE</version>
    <relativePath /> <!-- lookup parent from repository -->
</parent>
<groupId>com.example.api</groupId>
<artifactId>springboot-kc-api</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>springboot-kc-api</name>

<properties>
    <java.version>1.8</java.version>
</properties>

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.keycloak.bom</groupId>
            <artifactId>keycloak-adapter-bom</artifactId>
            <version>6.0.1</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-devtools</artifactId>
        <scope>runtime</scope>
    </dependency>

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>org.keycloak</groupId>
        <artifactId>keycloak-spring-boot-starter</artifactId>
    </dependency>

</dependencies>

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
    </plugins>
</build>

每当发出 GET 请求时,keycloak 调试都会显示以下日志:

o.k.adapters.OAuthRequestAuthenticator :发送重定向到登录页面:http://localhost:9080/auth/realms/myrealm/protocol/openid-connect/auth?response_type=code&client_id=myclient&redirect_uri=http%3A%2F%2Flocalhost%3A8081%2Fmyapi%2Fsampleget?param1=val1&state=a2b5072a-acb8-4bf6-8f33-b3f25deab492&login=true&scope=openid

Keycloak 配置:

Client Protocol : openid-connect
Access Type : confidential
Valid Redirect URIs: http://localhost:8081/myapi/*

以上设置适用于在 JBoss EAP 7 上运行的现有应用程序之一用 Java REST Easy 框架编写的 API。

需要帮助了解如何配置 Spring Boot API 以在请求中使用 auth 标头来对请求进行身份验证和授权。

【问题讨论】:

【参考方案1】:

这可以通过启用bearer only 模式来实现。首先通过application.properties 在您的 Spring Boot 服务中启用此功能:

keycloak.bearer-only=true

有关这方面的更多详细信息,请参阅 [1]。

您也可以在管理控制台中为您的客户强制执行此操作。

[1]https://www.keycloak.org/docs/latest/securing_apps/index.html#_java_adapter_config

【讨论】:

如果启用了仅承载,适配器将不会尝试对用户进行身份验证,而只会验证承载令牌。那不是我想要的。对我来说,它还应该对用户进行身份验证。 @Saurabhcdt 你配置了吗?【参考方案2】:

您需要在适配器配置中启用基本身份验证并发送客户端密码。这将不会重定向到登录页面,而是在缺少基本身份验证标头时发送 401。

keycloak.enable-basic-auth=true
keycloak.credentials.secret=$client.secret

查看here 以获得解决方案。

【讨论】:

在 application.properties 中添加 keycloak.enable-basic-auth=true 现在验证我的请求,但如果我没有在请求中传递任何 Authorization 标头,那么我的 API 也会返回 200 OK 响应。这应该失败了。【参考方案3】:

我只是想给你一个类,它是为通过 Spring Boot 中的 api 与 Keycloak 对话而创建的。我想这会对你有所帮助!

import org.jboss.resteasy.client.jaxrs.ResteasyClientBuilder
import org.keycloak.admin.client.Keycloak
import org.keycloak.admin.client.KeycloakBuilder
import org.keycloak.admin.client.resource.RealmResource
import org.keycloak.admin.client.resource.UsersResource
import org.springframework.beans.factory.annotation.Value
import org.springframework.stereotype.Component

@Component
class KeycloakComponent 

    @Value("\$keycloakconfig.server.url")
    var serverUrl: String = ""

    @Value("\$keycloakconfig.username")
    var username: String = ""

    @Value("\$keycloakconfig.password")
    var password: String = ""

    @Value("\$keycloakconfig.realm")
    var realmName: String = ""

    @Value("\$keycloakconfig.client.id")
    var clientId: String = ""

    @Value("\$keycloakconfig.client.secret")
    var clientSecret: String = ""

    val keycloak: Keycloak by lazy 
        KeycloakBuilder.builder()
            .serverUrl(serverUrl)
            .username(username)
            .password(password)
            .realm(realmName)
            .clientId(clientId)
            .clientSecret(clientSecret)
            .resteasyClient(ResteasyClientBuilder().connectionPoolSize(20).register(CustomJacksonProvider()).build())
            .build()
    

    val realm: RealmResource by lazy 
        keycloak.realm(realmName)
    

    val userResource: UsersResource by lazy 
        realm.users()
    


    fun keycloakForFetchUserToken(username:String, password: String): Keycloak 
        return KeycloakBuilder.builder()
            .serverUrl(serverUrl)
            .username(username)
            .password(password)
            .realm(realmName)
            .clientId(clientId)
            .clientSecret(clientSecret)
            .resteasyClient(ResteasyClientBuilder().connectionPoolSize(20).register(CustomJacksonProvider()).build())
            .build()
    


如有任何不妥之处,请随时联系

【讨论】:

以上是关于如何在没有登录页面的情况下将 Keycloak 与 Spring Boot(API) 集成的主要内容,如果未能解决你的问题,请参考以下文章

在 keycloak 登录页面上显示应用程序名称

如何在没有登录表单的情况下将摘要身份验证与 asp.net web api 和 angular js 一起使用?

如何在没有注销/登录的情况下将用户添加到组 - Bash 脚本

如何在没有 Javascript 的情况下将焦点设置到页面顶部?

Keycloak - 如何在登录页面上添加返回应用程序链接

如何绕过keycloak登录页面?