【发布时间】:2021-05-19 14:06:51
【问题描述】:
我正在尝试使用 Spring 的 Oauth2RestTemplate,但我们需要它在进行 Rest 调用时使用某个超级用户(我们已经定义了用户),而不是通过最初进行服务调用的用户。
所以情况如下:
userA 呼叫endpointA。自然,他有权访问此端点(基于他在 Keycloak 中分配的角色中允许的操作)。然后endpointA 将使用 OAuth2RestTemplate 对另一个服务endpointB 进行 Rest 调用。但是,userA 无权访问该端点。这个电话应该以service-user 的身份进行,在我们的keycloak 中,他本质上是一个可以做任何事情的超级用户。问题是,OAuth2RestTemplate 保留进行原始调用的同一用户 (userA) - 由于不允许他访问该端点,因此调用失败(基于我们设置的 RBAC 内容,与 Oauth2 安全性分开方面)。
有没有办法使用具有有限访问权限的userA 访问端点,并使用可以访问所有内容的service-user 通过 OAuth2RestTemplate 触发 REST 调用?注意:service-user 的 OAuth2 信息仍应被检索,就像它仍然是 userA 一样(在 keycloak 中查找)。本质上,这只是我们在进行 REST 调用之前更改用户名(嗯......我认为这就是它所需要的)。
注意:我找到了一种暂时通过这个的方法。那就是在进行 REST 调用之前创建一个新线程。这是因为 Spring 不再有权访问该新线程中的用户安全上下文,从而强制它使用创建 OAuth2RestTemplate 时提供的安全详细信息检索新令牌。这表明另一种解决方案(实际上是首选)是强制 OAuth2RestTemplate 在命中时始终检索新令牌(使用 ResourceDetails,而不是用户令牌的“刷新”),而不是使用存储在 SecurityContextHolder 中的令牌请求的开始。
【问题讨论】:
标签: java spring rest oauth2resttemplate