Keycloak中授权的实现

这篇具有很好参考价值的文章主要介绍了Keycloak中授权的实现。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

在Keycloak中实现授权,首先需要了解与授权相关的一些概念。授权,简单地说就是某个(些)用户或者某个(些)用户组Policy),是否具有对某个资源Resource)具有某种操作Scope)的权限Permission)。所以,授权是一种权限管理,它建立在认证的基础上:用户首先要完成认证(Authentication),才能谈授权(Authorization)。在讨论认证与授权的文章或论坛里,往往用Authn代表认证(Authentication),而用Authz代表授权(Authorization)。

Keycloak中的授权模型

在上面这段描述中,我已经将几个重要的概念用黑体字标注了。或许会有这样的疑问:用户/用户组不应该是User/Group吗?在谈授权的时候,至少也应该是角色(Role)吧,比如我们熟悉的基于角色的访问控制(RBAC),里面就是角色,怎么会是策略(Policy)呢?在回答这个问题前,还是先看一下Keycloak中的授权模型:

Keycloak中授权的实现

这个模型中,包含了几个重要的概念:

  1. 资源(Resource):资源是应用程序中能够被访问的对象。假设有个有关天气预报的API,它的URL是http://localhost:5678/WeatherForecast,那么,在这台资源服务器上,URI /WeatherForecast就是一个资源的地址,它表示一个跟天气预报相关的API端点资源
  2. 操作(Scope):其实Scope并不翻译为“操作”,这里我使用“操作”来表示Scope,是因为在授权的场景中,Scope就是定义针对资源的一些“操作”。比如:对于上面的天气预报API资源,我们可以有获取资源的操作,也可以有更新资源的操作(比如,让气象员根据其它科学数据来调整某地的天气预报)。于是,在定义Scope的时候,可以用“weatherforecast.read”、“weatherforecast.update”这样的名字来命名
  3. 对于某个资源,它可以声明自己所需要的操作,例如,在RESTful API中,/WeatherForecast这个API可以有读取(read/HTTP GET)的操作,也可以有更新(update/HTTP PATCH)的操作,那么,就可以在这个API资源上声明weatherforecast.read和weatherforecast.update这两个Scope
  4. 一个用户组(Group)可以包含多个子组,一个组下可以有多个用户(User),一个用户又可以属于多个用户组。对于一个用户或者一个组而言,它可以扮演多种角色(Role),而一个角色又可以被赋予多个用户或者多个用户组,这些都是耳熟能详的RBAC授权的基本概念,就不多说明了
  5. 策略(Policy)可以理解为满足某种条件的资源访问者(可以是用户或用户组),所以,Policy定义的是条件:角色就是一种条件,表示“被赋予某种角色”的条件。基于角色的策略实现的访问控制,就是RBAC。当然条件不仅仅只有角色,用户满足某个条件也可以成为一种策略,比如要求某个用户年龄大于18岁。除此之外,策略是可以被聚合的,聚合策略的投票结果(允许还是拒绝),取决于被聚合的策略以及投票的方式(是所有被聚合策略都允许,结果才被允许,还是只要有一个投票为“允许”,整个聚合策略的结果就是“允许”),比如要求用户是年龄大于18岁(User Policy)的系统管理员(Role Policy)。上图中只简单列了几个继承于Policy的子类用以示意,Keycloak所支持的策略类型不止这些
  6. 权限(Permission)是资源(Resource)或者操作(Scope)与策略(Policy)之间的关联关系。在Keycloak中,权限分为两种:基于资源的权限和基于操作的权限。表达的语义是:符合某些策略的访问者对指定的资源或者操作可以访问

理解了这些概念后,在Keycloak中实现授权并不困难。

演练:在Keycloak中实现授权

还是以Weather API为例,设置这样的业务场景:

  1. 服务供应商(Service Provider)发布/WeatherForecast API供外部访问
  2. 在企业应用(Client)里有三个用户:super,daxnet,nobody
  3. 在企业应用里有两个用户组:administrators,users
  4. 在企业应用里定义了两个用户角色:administrator,regular user
  5. super用户同时属于users和administrators组,daxnet属于users组,nobody部署于任何组
  6. administrators组被赋予了administrator角色,users组被赋予了regular user角色
  7. 对于/WeatherForecast API,它支持两种操作:GET /WeatherForecast,用以返回天气预报数据;PATCH /WeatherForecast,用以调整天气预报数据
  8. 拥有administrator角色的用户/组,具有PATCH操作的权限;拥有regular user角色但没有administrator角色的用户/组,具有GET操作的权限;没有任何角色的用户,就没有访问/WeatherForecast API的权限

这个业务场景也可以用下面的图来表述:

Keycloak中授权的实现

首先,在Keycloak中新建一个名为aspnetcoreauthz的Realm,在这个Realm下,新建三个User,分别是super,daxnet和nobody;然后新建两个Group:administrators和users,将super用户放到administrators组和users组里,并将daxnet用户放入users组里。

然后,新建一个名为weatherapiclient的Client,在weatherapiclient的页面里,点击Roles选项卡,创建两个名为administrator和regular user的角色,然后回到Groups里,选中administrators组,在Role mapping中,将administrator角色赋予该组:

Keycloak中授权的实现

用同样的方法,将regular user角色赋予users组。

现在进入Authorization选项卡,点击Scopes选项卡,然后点击Create authorization scope按钮:

Keycloak中授权的实现

在Create authorization scope页面中,Name字段输入weather.read,用同样的方法,新建另一个Scope,名称为weather.update。然后点击Resources选项卡,并点击Create resource按钮,创建API resource:

Keycloak中授权的实现

在Create resource页面,新建名为weather-api的资源,填入如下字段,然后点击Save按钮保存:

Keycloak中授权的实现

回到Authorization标签页,点击Policies标签页,点击Create client policy按钮,在弹出的对话框中,选择Role,表示需要创建一个基于角色的策略。在Create role policy页面,新建一个名为require-admin-policy的策略,在Roles部分,点击Add roles按钮,选择weatherapiclient下的administrator角色,然后点击Save按钮保存:

Keycloak中授权的实现

用同样的方法创建require-registered-user策略,并将regular user作为角色加入。接下来开始创建权限实体(Permission)。在Authorization选项卡里,点击Permission选项卡,然后点击Create permission,然后选择Create scope-based permission。在Create scope-based permission页面,创建一个名为weather-view-permission的Permission,Authorization scopes选择weather.read,Policies选择require-registered-user,这里的语义已经很明白了:执行weather.read操作,需要require-registered-user策略,也就是要读取天气预报信息,就需要已注册用户。点击Save按钮保存即可。

Keycloak中授权的实现

用同样的方法创建另一个名为weather-modify-permission的Permission,Authorization scopes为weather.update,Policies为require-admin-policy。

接下来,就可以测试权限的设置是否正确了。仍然在Authorization选项卡下,点击Evaluate选项卡,在Identity Information部分,Users里选择super:

Keycloak中授权的实现

然后点击Evaluate按钮,之后就可以看到,weather-modify-permission和weeather-view-permission均投票为Permit,表示该用户具有两者权限:

Keycloak中授权的实现

如果点击Show authorization data,则在弹出的Authorization data对话框中,可以看到token里已经包含了授权信息(authorization Claim):

{
  "exp": 1712996185,
  "iat": 1712995885,
  "jti": "4f1178f2-5e8b-41e4-b726-da9120d77baa",
  "aud": "weatherapiclient",
  "sub": "44bbfc3a-16a0-499a-aae9-a2aa36219d33",
  "typ": "Bearer",
  "azp": "weatherapiclient",
  "session_state": "2b228dd4-38c8-4002-bc11-b35ecd109a63",
  "acr": "1",
  "allowed-origins": [
    "/*"
  ],
  "realm_access": {
    "roles": [
      "default-roles-aspnetcoreauthz",
      "offline_access",
      "uma_authorization"
    ]
  },
  "resource_access": {
    "weatherapiclient": {
      "roles": [
        "administrator",
        "regular user"
      ]
    },
    "account": {
      "roles": [
        "manage-account",
        "manage-account-links",
        "view-profile"
      ]
    }
  },
  "authorization": {
    "permissions": [
      {
        "scopes": [
          "weather.update",
          "weather.read"
        ],
        "rsid": "f6fd1d6f-3bfd-44a1-a6fb-a1fb49769ac9",
        "rsname": "weather-api"
      }
    ]
  },
  "scope": "email profile",
  "sid": "2b228dd4-38c8-4002-bc11-b35ecd109a63",
  "email_verified": false,
  "name": "Admin User",
  "groups": [
    "/administrators",
    "/users"
  ],
  "preferred_username": "super",
  "given_name": "Admin",
  "family_name": "User",
  "email": "super@abc.com"
}

换一个用户,如果选择daxnet,可以看到,weather-view-permission为Permit,而weather-modify-permission为Deny:

Keycloak中授权的实现

再将用户换为nobody测试一下,发现两个Permission的结果都为Deny:

Keycloak中授权的实现

通过token API端点请求授权信息

要使用OpenID Connect的token API端点获得某个用户的授权信息,需要首先得到Bearer token:

Keycloak中授权的实现

然后,使用这个Bearer token,再次调用token API,注意此时的grant_type为 urn:ietf:params:oauth:grant-type:uma-ticket,audience为Client ID,即weatherapiclient:

Keycloak中授权的实现

在jwt.io中解码第二步生成的这个access_token,就可以拿到授权信息了:

Keycloak中授权的实现文章来源地址https://www.toymoban.com/news/detail-850180.html

到了这里,关于Keycloak中授权的实现的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 解决首次微信授权登录异常,需要二次授权的问题

    很多朋友在微信授权的时候会遇到首次授权失败,二次授权才可以成功的情况。这种请款的出现应该是授权是获取的code的获取顺序出错了。 下面我们看下小编的一个正确和错误的写法 1、正确顺序:先wx.login拿到code,再执行getPhoneNumber的方法调起授权 2、错误的方法:先getP

    2024年02月12日
    浏览(48)
  • 解决Git下载速度慢、需要授权等问题

    目前有两种解决方法 读者可以通过淘宝镜像来找到自己所需要的软件版本以及对应的操作系统进行下载 https://registry.npmmirror.com/binary.html?path=git-for-windows/ 我们可以点进Git官网,找到下载界面,摁F12打开开发者模式,先点击右边栏左上角的小箭头,然后再点击你所想要下载的版

    2024年02月11日
    浏览(48)
  • Office显示未授权,需要激活这种情况应该怎么处理

    如图 1、先看自己的订阅是否已经到期 登录微软账户:https://account.microsoft.com/services 点击服务和订阅如下图所示 这种情况下说明目前用的office版本是高级版本,显示已过期 2、要想继续使用,先看账户有没有低版本不收费的,这里可以看到家庭和学生版本是可用的,但是电脑

    2024年02月13日
    浏览(48)
  • 微信小程序访问手机蓝牙需要用户授权解决办法

    小程序处理用户的个人信息,需要获取用户明示同意,平台计划 从2022年2月21日24时起对以下接口增加用户授权 : 访问蓝牙:调用wx.openBluetoothAdapter、wx.createBLEPeripheralServer,需要授权scope.bluetooth 添加通讯录联系人:调用wx.addPhoneContact,需要授权scope.addPhoneContact 添加日历事件

    2024年02月09日
    浏览(89)
  • 使用 Vue 3 插件(Plugin)实现 OIDC 登录和修改密码(OIDC 系统以 Keycloak 为例)

    目前单位系统常用 Keycloak 作为认证系统后端,而前端之前写的也比较随意,这次用 Vue 3 插件以及 Ref 响应式来编写这个模块。另外,这个可能是全网唯一使用 keycloak 的 OIDC 原生更新密码流的介绍代码。 OIDC 客户端,这里选择 oidc-client-ts 来提供 OIDC 相关的服务,根据目前的调

    2024年02月06日
    浏览(44)
  • 学好虚拟化,首先要学Linux

    上次讲到了虚拟化的基础知识,比如虚拟化的应用、各个厂商都是通过何种技术路径来实现的等等,本篇想记录一下我学习到的CPU内存虚拟化和网络虚拟化相关知识,通过记录来制造反馈,让自己更有效地学习。需要注意的是,学习虚拟化就免不了和Linux打交道了。 在此之前

    2023年04月20日
    浏览(42)
  • 加密项目是否采用DAO模式 首先考量这8个因素

    随着越来越多公司寻求管理和组织战略创新,我们看到市场对 DAO  的兴趣日益增长,同时也对人们的数字生活产生了巨大影响。不过, 并不是每个项目都适合采用 DAO 模式,在做出正确选择之前,你需要考虑以下 8 个要点: 1、集中服务和大规模项目不建议用 DAO 对于 Web3

    2024年01月22日
    浏览(46)
  • keycloak~网站对接到Keycloak的步骤

    kc的环境 向kc申请自己的客户端 kc的登录接口 通过code换token接口 刷新token接口 kc的用户信息接口 kc的jwt token说明 测试环境:https://test-kc.xxx.com 预发布环境:https://pre-kc.xxx.com 生产环境:https://kc.xxx.com 联系负责开发kc的同事,申请一个客户端,需要提供以下信息: /auth/realms/{

    2024年04月08日
    浏览(40)
  • Camunda8微服务流程引擎搭建实战 -- camunda-identity接入keycloak,使用mysql数据库以OpenID Connect的方式实现用户的权限管理

    准备需要: docker最新版,camunda官方建议使用容器且最好能使用k8s,而且jar包启动失败时不能停止 mysql8.0+,keycloak默认使用postgresql,我不会 提前启动好其他组件,es,tasklis,operate,zeebe,偷个懒,我使用的jar包运行,也可以容器 组件下载地址,版本8.3.4 因为容器通信的问题(应该是通信/网络的

    2024年01月19日
    浏览(55)
  • keycloak~CountDownLatch在keycloak中的使用

    在Java中, CountDownLatch 是一个线程同步的辅助类,用于等待其他线程完成操作。如果 CountDownLatch 实例被丢失或无法访问,可能会导致无法正常使用该对象。这可能会导致等待线程永远处于等待状态,无法继续执行。 如果意外丢失了 CountDownLatch 对象,你可以尝试以下方法进行

    2024年02月09日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包