通过 Spring Boot Keycloak 集成的 OAuth2 客户端凭据流

Question

我的申请包括：

• 后端/资源服务器
• UI 网页应用
• 钥匙斗篷

UI 正在通过 RESTful API 使用带有授权码授予流程的 keycloak 客户端与后端服务器通信。这工作正常。

现在，我需要额外的可能性来使用系统/服务帐户访问后端资源（通常具有比用户更多的权限）。你将如何实现这个要求？我认为客户端凭据流程在这里会很有用。

是否可以将 OAuth2 客户端凭据流与用于 Spring Boot 的 keycloak 客户端一起使用？我找到了使用 Spring Security OAuth2 客户端功能来实现客户端凭据流的示例，但这感觉很奇怪，因为我已经将 keycloak 客户端用于 OAuth。

编辑：解决方案

感谢您的回答，这对我帮助很大。在我的 UI webapp 中，我现在可以使用经过身份验证的用户 OAuth2 令牌或使用我的 UI 服务帐户的客户端凭据流中的令牌与后端进行通信。每种方式都有自己的RestTemplate，第一种是通过 keycloak 集成完成，第二种是由 Spring Security OAuth2 完成，如 here 所述。

Answer 1

是的，您可以使用 OAuth 2.0 客户端凭据流和服务帐户。

Keycloak 提出了 3 种保护 SpringBoot REST 服务的方法：

1. 带有 Keycloak Spring Boot 适配器
2. 使用 keycloak Spring 安全适配器
3. 使用 OAuth2 / OpenID 连接

下面是一个很好的解释，用 OAuth2/OIDC 方式的例子：

• Tutorial by Arun B Chandrasekaran
• Code sample by Arun B Chandrasekaran

如果您遵循此示例，请记住：

注意将您的客户端配置为：

• 访问类型：机密
• 授权：启用
• 服务帐户（OAuth 客户端凭据流）：已启用

注意将您的目标服务配置为：

• 访问类型：仅承载

所以，调用者应该是confidential，目标服务应该是bearer-only。

创建您的用户、角色、映射器...并将角色分配给您的用户。

检查你的 spring 项目中是否有这个依赖项：

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.security.oauth.boot</groupId>
  <artifactId>spring-security-oauth2-autoconfigure</artifactId>
</dependency>

配置要在 REST 客户端中使用的身份验证 (application.properties) 例如：

security.oauth2.client.client-id=employee-service
security.oauth2.client.client-secret=68977d81-c59b-49aa-aada-58da9a43a850
security.oauth2.client.user-authorization-uri=${rest.security.issuer-uri}/protocol/openid-connect/auth
security.oauth2.client.access-token-uri=${rest.security.issuer-uri}/protocol/openid-connect/token
security.oauth2.client.scope=openid
security.oauth2.client.grant-type=client_credentials

像 Arun 的示例一样实现您的 JwtAccessTokenCustomizer 和 SecurityConfigurer (ResourceServerConfigurerAdapter)。

最后实现你的服务控制器：

@RestController
@RequestMapping("/api/v1/employees")
public class EmployeeRestController {

  @GetMapping(path = "/username")
  @PreAuthorize("hasAnyAuthority('ROLE_USER')")
  public ResponseEntity<String> getAuthorizedUserName() {
    return ResponseEntity.ok(SecurityContextUtils.getUserName());
  }

  @GetMapping(path = "/roles")
  @PreAuthorize("hasAnyAuthority('ROLE_USER')")
  public ResponseEntity<Set<String>> getAuthorizedUserRoles() {
    return ResponseEntity.ok(SecurityContextUtils.getUserRoles());
  }
}

如需完整教程，请阅读参考的 Arun 教程。

希望对你有帮助。

Answer 2

按照@dmitri-algazin 来实施工作流程，您基本上有两个选择：

1. 如果你想覆盖除 Keycloak 之外的其他 IdM，它以某种方式解决了 Single Responsibility principle，我会使用 RestTemplate。您可以在下面找到变量：

    //Constants
    @Value("${keycloak.url}")
    private String keycloakUrl;

    @Value("${keycloak.realm}")
    private String keycloakRealm;

    @Value("${keycloak.client_id}")
    private String keycloakClientId;

    RestTemplate restTemplate = new RestTemplate();
    private static final String BEARER = "BEARER ";

首先你需要生成访问令牌：

    @Override
    public AccessTokenResponse login(KeycloakUser user) throws NotAuthorizedException {
        try {
            String uri = keycloakUrl + "/realms/" + keycloakRealm + 
                    "/protocol/openid-connect/token";
            String data = "grant_type=password&username="+
                    user.getUsername()+"&password="+user.getPassword()+"&client_id="+
                    keycloakClientId;

            HttpHeaders headers = new HttpHeaders();
            headers.set("Content-Type", "application/x-www-form-urlencoded");

            HttpEntity<String> entity = new HttpEntity<String>(data, headers);
            ResponseEntity<AccessTokenResponse> response = restTemplate.exchange(uri, 
                    HttpMethod.POST, entity, AccessTokenResponse.class);            

            if (response.getStatusCode().value() != HttpStatus.SC_OK) {
                log.error("Unauthorised access to protected resource", response.getStatusCode().value());
                throw new NotAuthorizedException("Unauthorised access to protected resource");
            }
            return response.getBody();
        } catch (Exception ex) {
            log.error("Unauthorised access to protected resource", ex);
            throw new NotAuthorizedException("Unauthorised access to protected resource");
        } 
    }

然后您可以使用令牌从用户那里检索信息：

    @Override
    public String user(String authToken) throws NotAuthorizedException {

        if (! authToken.toUpperCase().startsWith(BEARER)) {
            throw new NotAuthorizedException("Invalid OAuth Header. Missing Bearer prefix");
        }

        HttpHeaders headers = new HttpHeaders();
        headers.set("Authorization", authToken);

        HttpEntity<String> entity = new HttpEntity<>(headers);

        ResponseEntity<AccessToken> response = restTemplate.exchange(
                keycloakUrl + "/realms/" + keycloakRealm + "/protocol/openid-connect/userinfo", 
                HttpMethod.POST, 
                entity, 
                AccessToken.class);

        if (response.getStatusCode().value() != HttpStatus.SC_OK) {
            log.error("OAuth2 Authentication failure. "
                    + "Invalid OAuth Token supplied in Authorization Header on Request. Code {}", response.getStatusCode().value());
            throw new NotAuthorizedException("OAuth2 Authentication failure. "
                    + "Invalid OAuth Token supplied in Authorization Header on Request.");
        }

        log.debug("User info: {}", response.getBody().getPreferredUsername());
        return response.getBody().getPreferredUsername();
    }

您可以用@dimitri-algazin 提供的网址替换此网址，以检索所有用户信息。

1. 可以使用 Keycloak 依赖项：

        <!-- keycloak -->
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-admin-client</artifactId>
            <version>3.4.3.Final</version>
        </dependency>

        <dependency>
            <groupId>org.jboss.resteasy</groupId>
            <artifactId>resteasy-client</artifactId>
            <version>3.1.4.Final</version>
        </dependency>

并使用类生成令牌：

            Keycloak keycloak = KeycloakBuilder
                    .builder()
                    .serverUrl(keycloakUrl)
                    .realm(keycloakRealm)
                    .username(user.getUsername())
                    .password(user.getPassword())
                    .clientId(keycloakClientId)
                    .resteasyClient(new ResteasyClientBuilder().connectionPoolSize(10).build())
                    .build();

            return keycloak.tokenManager().getAccessToken();

示例摘自here。我们还上传了image to Docker Hub，方便与Keycloak的交互。出于这个原因，我们从选项 2) 开始。现在我们正在处理其他 IdM，我们选择了选项 1)，以避免包含额外的依赖项。结论：

如果您坚持使用 Keycloak，我会选择 选项 2，因为类包含 Keycloak 工具的额外功能。 我会选择选项 1 以获得进一步的报道和其他 OAuth 2.0 工具。

Answer 3

我们有类似的需求，通过用户 uuid 获取用户电子邮件。

创建服务用户，确保用户具有角色“realm-management”->“view-users”（也可能是查询用户）

过程很简单：使用服务用户登录 keycloak（将密码和/或用户名编码在属性文件中），使用授权标头中的 accessToken 向 keycloak 发出请求

GET http://{yourdomainadress}/auth/admin/realms/{yourrealmname}/users/{userId}

一种使用 REST API 登录 keycloak 的方法：

POST http://{yourdomainadress}/auth/realms/{yourrealmname}/protocol/openid-connect/token

标题：

内容类型：application/x-www-form-urlencoded

正文 x-www-form-urlencoded：

client_id: 你的客户

用户名：你正在使用的用户

密码：用户密码

grant_type: 密码

client_secret：11112222-3333-4444-5555-666666666666（如果客户端“访问类型”=“机密”，则需要客户端密码）

很快：确保您的服务用户具有正确的角色来执行操作， 登录，查询 keycloak（检查文档以获取正确的查询 url 和参数，总是具有挑战性）