无法使用 Admin REST Api 在 Keycloak 中创建复合角色

【问题标题】:Can't create composite roles in Keycloak using Admin REST Api无法使用 Admin REST Api 在 Keycloak 中创建复合角色
【发布时间】:2019-12-07 02:44:09
【问题描述】:

我正在尝试使用 Admin REST API 在我的 Keycloak 6.0.1 系统中以编程方式管理角色和组合。根据文档,这就是我想要使用的:

https://www.keycloak.org/docs-api/6.0/rest-api/index.html#_roles_resource

马上,我的 Keycloak API 的基本 URL 似乎是:

https://example.com/auth/admin

而不是 /auth,正如文档所暗示的那样。如果我使用文档中指定的基本 URL,我会得到 404。当我通过浏览器管理安装时,通过检查 Kubernetes 管理页面的操作,我发现了这个备用 URL 结构。

无论如何,我现在使用POST /{realm}/clients/{id}/roles 端点成功地创建了角色。当我尝试使用 POST /{realm}/clients/{id}/roles/{role-name}/composites 和这样的 POST 添加复合材料时,问题就开始了:

/auth/admin/realms/REDACTED/clients/546052d9-6ba1-483e-93a5-a5fda51505b8/roles/%5ECouponAttemptsLog%25Unowned%25Write/composites
authorization: Bearer REDACTED
Content-Type: application/json
Accept: */*
Content-Length: 217
User-Agent: node-fetch/1.0 (+https://github.com/bitinn/node-fetch)
Accept-Encoding: gzip,deflate
Connection: close
Host: REDACTED

{"roles":[{"name":"^CouponAttemptsLog/id%Unowned%Write"},{"name":"^CouponAttemptsLog/code%Unowned%Write"},{"name":"^CouponAttemptsLog/eventId%Unowned%Write"},{"name":"^CouponAttemptsLog/attemptedDate%Unowned%Write"}]}

Keycloak 记录的错误信息是:

14:18:02,617 ERROR [org.keycloak.services.error.KeycloakErrorHandler] (default task-4884) Uncaught server error: com.fasterxml.jackson.databind.exc.MismatchedInputException: Cannot deserialize instance of `java.util.ArrayList` out of START_OBJECT token

...Keycloak 返回一个没有文本的 500 响应。

据我所知,这与 Keycloak 6 API 文档中指定的预期请求形状相匹配,我不知道可能导致此反序列化失败的原因。只是为了 yuks,我尝试发送一个裸 JSON 数组作为正文,没有任何改进。

我做错了什么?我知道 Keycloak 的错误意味着它正在尝试将某些内容转换为 ArrayList ,但这是不可能的,但我不知道是什么以及为什么。

【问题讨论】:

    标签: json rest keycloak


    【解决方案1】:

    它需要一个角色对象数组。试试这个:

    
   [
      {
         "name": "^CouponAttemptsLog/id%Unowned%Write"
      },
      {
         "name": "^CouponAttemptsLog/code%Unowned%Write"
      },
      {
         "name": "^CouponAttemptsLog/eventId%Unowned%Write"
      },
      {
         "name": "^CouponAttemptsLog/attemptedDate%Unowned%Write"
      }
   ]

    查看代码,我认为除了名称之外,您还需要包含角色 ID...即使文档说 RoleRepresentation 中的所有字段都是可选的。

    【讨论】:

    • 我传入了这样一个数组,您可以在我包含的POST 摘录中看到它。为了以防万一,我也尝试从 role 对象中弹出数组,但这也没有帮助。
    • 您使用roles 键传递了对象,它需要一个普通数组。请使用您在我们的答案中传入数组时收到的错误消息更新您的问题。
    • 这不是有效的 JSON。在最初的大括号 ({) 之后,应该有一个键。相反,会出现数组的开头 ([)。最外面的大括号应该去掉吗?
    • @Codo 是的,谢谢。以前版本的答案是一个普通数组,已修复。
    【解决方案2】:

    我不知道您是否解决了您的问题,但就我而言,在将角色分配给复合角色时,我需要同时使用 idname。是的,需要在分配给复合角色之前创建“部分”角色。

       [
      {
         "id": UUID of created role
         "name": "^CouponAttemptsLog/id%Unowned%Write"
      }
   ]

    流在我的样子是这样的:

    1. 在循环中创建部分角色 - Keycloak api 在标头中返回新角色的位置,因此您需要调用 GET 来获取角色的 json
    2. {"id": UUID} 推送到数组 - 甚至更好的 {"id": UUID, "name": name } 或整个角色的表示(调用 composites id 就足够了,但如果是服务角色,你需要两者
    3. 创建复合角色
    4. 呼叫composites端点

    【讨论】:

      猜你喜欢
      • 2020-10-30
      • 1970-01-01
      • 1970-01-01
      • 2021-12-12
      • 2018-07-05
      • 2021-12-15
      • 2021-09-06
      • 2019-08-08
      • 2020-04-17
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode