使用弹簧启动(安全性)和密钥保护启用角色身份验证?

2022-09-02 21:38:02

我正在努力做一件简单的事情。

想要向单个终结点发出请求并发送持有者令牌(从客户端),我希望验证此令牌,并根据在终结点上的密钥保护接受/拒绝请求上分配的角色进行验证。

我遵循了许多教程甚至书籍,但最重要的是我根本不理解。

按照此设置我的钥匙斗篷信息(领域,角色,用户)https://medium.com/@bcarunmail/securing-rest-api-using-keycloak-and-spring-oauth2-6ddf3a1efcc2

VoI

我基本上用客户端设置了我的钥匙斗篷,一个具有特定角色“用户”的用户,并像这样配置它:

@Configuration
@KeycloakConfiguration
//@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
public class SecurityConf extends KeycloakWebSecurityConfigurerAdapter
{
    /**
     * Registers the KeycloakAuthenticationProvider with the authentication manager.
     */
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(keycloakAuthenticationProvider());
    }

    /**
     * Defines the session authentication strategy.
     */
    @Bean
    @Override
    protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
        return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
    }

    @Bean
    public KeycloakSpringBootConfigResolver KeycloakConfigResolver() {
        return new KeycloakSpringBootConfigResolver();
    }

    @Bean
    public FilterRegistrationBean keycloakAuthenticationProcessingFilterRegistrationBean(
            KeycloakAuthenticationProcessingFilter filter) {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean(filter);
        registrationBean.setEnabled(false);
        return registrationBean;
    }

    @Bean
    public FilterRegistrationBean keycloakPreAuthActionsFilterRegistrationBean(
            KeycloakPreAuthActionsFilter filter) {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean(filter);
        registrationBean.setEnabled(false);
        return registrationBean;
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception
    {
        super.configure(http);
        http
                .authorizeRequests()
                .antMatchers("/user/*").hasRole("admin")
                .antMatchers("/admin*").hasRole("user")

    }
}

我不明白为什么在许多教程中看到这个(作为最后一个规则):

.anyRequest().permitAll();

基本上,当我设置为没有安全性时,我可以在没有持有者令牌的情况下调用终结点。

但是当我添加此作为最后一条规则时

 .anyRequest().denyAll();

我总是得到一个403。

Debbugging 我发现了这个:

请求是处理身份验证

f.KeycloakAuthenticationProcessingFilter : Attempting Keycloak authentication
o.k.a.BearerTokenRequestAuthenticator    : Found [1] values in authorization header, selecting the first value for Bearer.
o.k.a.BearerTokenRequestAuthenticator    : Verifying access_token
o.k.a.BearerTokenRequestAuthenticator    : successful authorized
a.s.a.SpringSecurityRequestAuthenticator : Completing bearer authentication. Bearer roles: [] 
o.k.adapters.RequestAuthenticator        : User 'testuser' invoking 'http://localhost:9090/api/user/123' on client 'users'
o.k.adapters.RequestAuthenticator        : Bearer AUTHENTICATED
f.KeycloakAuthenticationProcessingFilter : Auth outcome: AUTHENTICATED
o.s.s.authentication.ProviderManager     : Authentication attempt using org.keycloak.adapters.springsecurity.authentication.KeycloakAuthenticationProvider
o.s.s.core.session.SessionRegistryImpl   : Registering session 5B871A0E2AF55B70DC8E3B7436D79333, for principal testuser
f.KeycloakAuthenticationProcessingFilter : Authentication success using bearer token/basic authentication. Updating SecurityContextHolder to contain: org.keycloak.adapters.springsecurity.token.KeycloakAuthenticationToken@355f68d6: Principal: testuser; Credentials: [PROTECTED]; Authenticated: true; Details: org.keycloak.adapters.springsecurity.account.SimpleKeycloakAccount@5d7a32a9; Not granted any authorities
[nio-9090-exec-3] o.s.security.web.FilterChainProxy        : /api/user/123 at position 8 of 15 in additional filter chain; firing Filter: 'RequestCacheAwareFilter'
nio-9090-exec-3] o.s.s.w.s.DefaultSavedRequest            : pathInfo: both null (property equals)
[nio-9090-exec-3] o.s.s.w.s.DefaultSavedRequest            : queryString: both null (property equals)

似乎我没有得到任何承载角色...

我的依赖关系:

        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-spring-boot-starter</artifactId>
            <version>6.0.1</version>
        </dependency>
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-spring-security-adapter</artifactId>
            <version>6.0.1</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

我的问题?

我请求访问令牌发送:

client_id -> my client from keycloak
username -> my user from keycloak
password -> my password from keycloak
grant_type -> password
client_secret -> from keycloak

我收到一个令牌,然后我用于向我的应用内源请求。无论我使用哪个终结点(具有角色用户或角色管理员的终结点),我的请求始终有效。

在我的房产中,我有这样的东西:

keycloak:
  auth-server-url: http://localhost:8080/auth/
  resource: users-api
  credentials:
    secret : my-secret
  use-resource-role-mappings : true
  realm: my-realm
  realmKey:  my-key
  public-client: true
  principal-attribute: preferred_username
  bearer-only: true

在这种情况下,如何实际启用角色的任何想法?

我是否必须配置客户端才能使用 JWT?任何想法?

我还在端点上添加了注释

@Secured("admin")
@PreAuthorize("hasAnyAuthority('admin')")

但似乎他们什么都不做...

-- 编辑 --

修复URL以匹配资源后,我仍然得到403。

"realm_access": {
    "roles": [
      "offline_access",
      "admin",
      "uma_authorization"
    ]
  },
  "resource_access": {
    "account": {
      "roles": [
        "manage-account",
        "manage-account-links",
        "view-profile"
      ]
    }
  },

它是否以某种方式将resource_access与我的问题相关联?


答案 1

在调试堆栈中:我看到您正在调用,并且在您的安全配置中,您正在保护不相同的安全配置,将您的安全性更改为:/api/user/123/user/*

.antMatchers("/api/user/*").hasRole("user")
                .antMatchers("/api/admin*").hasRole("admin")

附言:您不需要注册和KeycloakAuthenticationProcessingFilterKeycloakPreAuthActionsFilter


答案 2

我知道这是一篇旧帖子,但我只是写这篇文章供将来参考,以防其他人遇到同样的问题。

如果查看日志,则 Keycloak 已成功对访问令牌进行身份验证,但没有任何授予的权限。这就是为什么Spring不授权请求并且您得到HTTP 403 Forbidden的原因:

f.KeycloakAuthenticationProcessingFilter : Authentication success using bearer token/basic authentication. Updating SecurityContextHolder to contain: org.keycloak.adapters.springsecurity.token.KeycloakAuthenticationToken@355f68d6: Principal: testuser; Credentials: [PROTECTED]; Authenticated: true; Details: org.keycloak.adapters.springsecurity.account.SimpleKeycloakAccount@5d7a32a9; Not granted any authorities

这是因为 Keycloak 适配器配置为使用资源(即客户端级)角色映射,而不是领域级角色映射:

use-resource-role-mappings:如果设置为 true,适配器将在令牌内部查找用户的应用程序级角色映射。如果为 false,它将在领域级别查看用户角色映射。这是可选的。默认值为 false。

这是有关适配器配置的链接。

因此,如果要通过领域角色获得授权,属性应如下所示:

keycloak:
  auth-server-url: http://localhost:8080/auth/
  resource: users-api
  credentials:
    secret : my-secret
  use-resource-role-mappings : false
  realm: my-realm
  realmKey:  my-key
  public-client: true
  principal-attribute: preferred_username
  bearer-only: true

注意:如果要同时使用领域级和客户端级角色映射,则应覆盖 KeycloakAuthenticationProvider.authenticate() 方法,以便通过自己组合它们来提供必要的角色。


推荐