Spring Boot - 如何禁用 Keycloak？

Question

我有一个集成了 keycloak 的 Spring Boot 项目。现在我想禁用 keycloak 以进行测试。

我尝试将 keycloak.enabled=false 添加到 application.properties，如 Keycloak documentation 中所述，但没有成功。

那么我该如何禁用它呢？

Answer 1

它应该可以工作，但根据jira ticket 上的最后一条评论，它似乎不是。

作为描述状态，您可以将 keycloak 的 spring boot 自动配置添加到您的application.properties：spring.autoconfigure.exclude=org.keycloak.adapters.springboot.KeycloakSpringBootConfiguration

Answer 2

您需要排除 keycloak 自动配置。为此，只需将此条目添加到相关的 spring 配置文件中，在您的情况下为 application.properties。

spring.autoconfigure.exclude = org.keycloak.adapters.springboot.KeycloakAutoConfiguration

Answer 3

对于可能遇到同样问题的任何人，这就是我所做的。

我没有禁用 Keycloak，但我制作了一个单独的 Keycloak 配置文件用于测试目的。

这是我的配置文件

@Profile("test")
@Configuration
@EnableWebSecurity
public class SecurityTestConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/**").permitAll();
        http.headers().frameOptions().disable();
        http.csrf().disable();

    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/**");
    }

    @Bean
    @Scope(scopeName = WebApplicationContext.SCOPE_REQUEST, proxyMode = ScopedProxyMode.TARGET_CLASS)
    public AccessToken accessToken() {
        AccessToken accessToken = new AccessToken();
        accessToken.setSubject("abc");
        accessToken.setName("Tester");

        return accessToken;

    }

}

请注意，仅在测试环境中使用它很重要，因此我将配置注释为@Profile("test")。我还添加了一个 AccessToken bean，因为我的应用程序中的一些审计功能依赖于它。

Answer 4

我的解决方法：

1. 创建一个自定义过滤器并将其添加到（Spring）安全链的早期位置。
2.在application.yml中创建flag(securityEnabled)
3. 查询自定义过滤器中的标志。如果为“真”，只需调用chain.doFilter() 继续下一个过滤器。如果为“假”，则创建一个虚拟 Keycloak-Account 设置您需要的角色并将其设置为上下文。
4.顺便把角色也外包给了application.yml
5. 跳过安全链中的其余过滤器（因此不执行 keycloak-stuff 并且发生相应的授权）

详细：

1.自定义过滤器类

public class CustomFilter extends OncePerRequestFilter {

  @Value("${securityEnabled}")
  private boolean securityEnabled;

  @Value("${grantedRoles}")
  private String[] grantedRoles;

  @Override
  public void doFilterInternal(HttpServletRequest req, HttpServletResponse res,
                       FilterChain chain) throws IOException, ServletException {

      if (!securityEnabled){
          // Read roles from application.yml
          Set<String> roles = Arrays.stream(grantedRoles)
                  .collect(Collectors.toCollection(HashSet::new));
          // Dummy Keycloak-Account
          RefreshableKeycloakSecurityContext session = new RefreshableKeycloakSecurityContext(null, null, null, null, null, null, null);
          final KeycloakPrincipal<RefreshableKeycloakSecurityContext> principal = new KeycloakPrincipal<>("Dummy_Principal", session);
          final KeycloakAccount account = new SimpleKeycloakAccount(principal, roles, principal.getKeycloakSecurityContext());
          // Dummy Security Context
          SecurityContext context = SecurityContextHolder.createEmptyContext();
          context.setAuthentication(new KeycloakAuthenticationToken(account, false));
          SecurityContextHolder.setContext(context);

          // Skip the rest of the filters
          req.getRequestDispatcher(req.getServletPath()).forward(req, res);
      }

      chain.doFilter(req, res);
  }
}

2. 在 Spring-Security 的 http-Configuration 中插入 Custom-Filter

protected void configure(HttpSecurity http) throws Exception {
    super.configure(http);
    http
            .cors()
            .and()
            .csrf()
            .disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .sessionAuthenticationStrategy(sessionAuthenticationStrategy())
            .and()
            .addFilterAfter(CustomFilter(), CsrfFilter.class)
            .authorizeRequests()
            .anyRequest().permitAll();
}

配置Keycloak后看看默认的Filter-Chain：

Filter-Chain

所以很明显在位置 5 插入自定义过滤器以避免整个 Keycloak-Magic。

我已使用此解决方法来破坏方法安全性，它是@Secured-Annotation。