通过 Keycloak 保护单个资源免受 Spring Boot 的影响答案

【问题标题】：Protect individual resources from Spring Boot via Keycloak通过 Keycloak 保护单个资源免受 Spring Boot 的影响
【发布时间】：2021-04-14 03:37:31
【问题描述】：

我有一个非常简单的 Spring Boot 应用程序，其资源位于 /repositories 和 /persons。

这是我的build.gradle 文件。

plugins {
    id 'org.springframework.boot' version '2.4.0'
    id 'io.spring.dependency-management' version '1.0.10.RELEASE'
    id 'java'
}

// use java 11 until keycloak is fixed
sourceCompatibility = '11'

repositories {
    mavenCentral()
}

dependencyManagement {
    imports {
        mavenBom "org.keycloak.bom:keycloak-adapter-bom:12.0.1"
    }
}

dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-web'
    implementation 'org.springframework.boot:spring-boot-starter-data-jpa'

    implementation 'org.springframework.boot:spring-boot-starter-security'
    implementation 'org.keycloak:keycloak-spring-boot-starter'

    implementation 'org.flywaydb:flyway-core'
    runtime 'org.postgresql:postgresql'

    testImplementation 'org.springframework.boot:spring-boot-starter-test'
}

...
...

这是我的SecurityConfig.java 文件。

@KeycloakConfiguration
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {

  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) {
    var keycloakAuthenticationProvider = keycloakAuthenticationProvider();
    keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper());
    auth.authenticationProvider(keycloakAuthenticationProvider);
  }

  @Bean
  @Override
  protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
    return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
  }

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    super.configure(http);
    http.authorizeRequests()
        .antMatchers("/persons*")
        .hasRole("user")
        .anyRequest()
        .permitAll();
  }

  @Bean
  public KeycloakConfigResolver keycloakConfigResolver() {
    return new KeycloakSpringBootConfigResolver();
  }
}

这是我的application.yaml 文件。

spring:
  datasource:
    url: jdbc:postgresql://localhost:5432/postgres
    username: john
    password: john

keycloak:
  auth-server-url: http://localhost:8081/auth/
  realm: myrealm
  resource: myclient
  credentials:
    secret: 45d43bd6-5ab9-476c-83c8-67bd203a78ee

这一切都在我的本地机器上，Keycloak 和 Postgres 是通过 docker compose 启动的。


version: "3.1"

volumes:
  postgres_data:
      driver: local

services:
  db:
    image: "postgres:13.1"
    ports:
      - "5432:5432"
    environment:
      POSTGRES_DB: postgres
      POSTGRES_USER: john
      POSTGRES_PASSWORD: john
  postgres:
    image: "postgres:13.1"
    volumes:
      - postgres_data:/var/lib/postgresql/data
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: password
  keycloak:
    image: quay.io/keycloak/keycloak:12.0.1
    environment:
      DB_VENDOR: POSTGRES
      DB_ADDR: postgres
      DB_DATABASE: keycloak
      DB_USER: keycloak
      DB_SCHEMA: public
      DB_PASSWORD: password
      KEYCLOAK_USER: admin
      KEYCLOAK_PASSWORD: Pa55w0rd
    ports:
      - 8081:8080
    depends_on:
      - postgres

我在 Keycloak 中有用户 zemirco 和 one，他们都有 user 角色。这一切都运行得很好，/persons 的路线受到保护，而/repositories 对所有人开放。

这是我的问题！我想保护个人资源，例如/person/1。我无法让它工作:(我已经尝试了好几天但没有运气。这是我的 keycloak 设置。

这是我的政策。

这里是资源。

这里是许可。

这一切都在 Keycloak 的评估期间有效。但是它不能直接在我的 Spring Boot 应用程序中工作。我仍然可以以zemirco 的身份访问/person/1，尽管用户one 应该只有访问权限。

我现在有点迷茫。你有什么想法吗？

非常感谢！

2021 年 1 月 10 日编辑

感谢大家的回答，但我仍然认为无需我（应用程序方面）付出很多额外的努力，这是可行的。我特别关注政策执行者https://www.keycloak.org/docs/latest/authorization_services/#_enforcer_overview。

PEP 负责执行来自 Keycloak 服务器的访问决策，这些决策是通过评估与受保护资源相关的策略来做出的。它在您的应用程序中充当过滤器或拦截器，以便根据这些决定授予的权限检查是否可以满足对受保护资源的特定请求。

这听起来和我想要做的完全一样。不幸的是我不能让它工作。我只是认为我的配置是错误的或者可能不完整。我会为这个问题添加一个赏金。

【问题讨论】：

标签： java spring spring-boot authorization keycloak

【解决方案1】：

终于成功了 :) 我很高兴！

这就是我所做的。

首先，我使用了 Keycloak 客户端安装中的 keycloak.json 文件。一开始我尝试将所有配置放入我的application.yaml。 keycloak.json 文件必须位于 src/main/webapp/WEB-INF/keycloak.json。当您使用 JSON 文件而不是 YAML 文件时，您可以从 SecurityConfig 中删除以下内容。

public KeycloakConfigResolver keycloakConfigResolver() {
  return new KeycloakSpringBootConfigResolver();
}

其实挺好看的。您只需将 Keycloak 中的内容复制并粘贴到文件中，就可以确保一切正常。我看到的另一个问题是keycloak.json 中的配置被称为policy-enforcer 与application.yaml 中的policy-enforcer-config 相比。这很烦人，因为我一开始并没有意识到这一点。这是配置。

{
  "realm": "myrealm",
  "auth-server-url": "http://localhost:8081/auth/",
  "ssl-required": "external",
  "resource": "myclient",
  "verify-token-audience": true,
  "credentials": {
    "secret": "45d43bd6-5ab9-476c-83c8-67bd203a78ee"
  },
  "confidential-port": 0,
  "policy-enforcer": {}
}

"policy-enforcer": {} 是最重要的部分。这里我们启用默认设置，并简单地说 Keycloak 应该授权对我们资源的所有请求。

然后一切似乎都奏效了。只有正确的用户才能访问受保护的资源。但是，在我注销并尝试再次访问该资源后，我仍然能够做到这一点。在这里，我了解到我的蚂蚁匹配器是错误的。这是正确的配置。

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    super.configure(http);
    http.authorizeRequests()
        .antMatchers("/persons/**") // changed from .antMatchers("/persons*")
        .hasRole("user")
        .anyRequest()
        .permitAll()
        .and()
        // this is just to have a convenient GET /logout method. DO NOT USE IN PRODUCTION
        .logout()
        .logoutRequestMatcher(new AntPathRequestMatcher("/logout"));
  }

现在一切正常，我从 Keycloak 获得的资源/策略/权限会自动应用到我的 Spring Boot 应用程序中。

【讨论】：

我很高兴知道您能够找到仅基于 Keycloak 安全性的解决方案。尽管我仍然认为 Spring Security 本身提供了一种更简单的方法来控制细粒度的权限，但它看起来确实很有趣。我会仔细审查它。 +1

【解决方案2】：

Keycloak 中的 AuthZ 是 PITA，恕我直言，不应使用它。有更好的解决方案（例如OPA）。只是遵循原则：“不做傻事！”

其次，不要混淆 AuthN 和 AuthZ。仅仅因为在 Keycloak 中配置了一些 AuthZ 策略，这并不意味着它们被“自动和神奇地”使用。如果您使用任何适配器（无论是 Spring Security 还是某些 KC 自己的适配器）进行身份验证，他们正在做“只是 OIDC”，而 OIDC 是关于 AuthN，而不是 AuthZ。

如果您想在应用程序中调整或使用您的 AuthZ 策略和规则，则必须将它们与身份验证分开查询。 Keycloak 为此提供了keycloak-authz-client，记录在此：https://www.keycloak.org/docs/latest/authorization_services/#_service_client_api

【讨论】：

【解决方案3】：

Keycloak 以在访问管理解决方案中拥有最糟糕的策略/访问工具而闻名，但是，您描述的问题似乎有点奇怪。

Keycloak 是一个访问管理工具，从策略的角度来看，它提供决策，但不会强制执行它们，因此由于策略评估按预期工作，您需要做的就是对评估进行 api 调用来自您的 spring 应用程序的 enpoints，如果它是 200，那么用户将访问，如果不是，则不显示页面。

另一种解决方案是使用预制的策略执行点，apache/nginx spring 都有自己的自定义策略执行点。

一些有用的链接：

how-to-use-keycloak-policy-enforcer-with-spring-boot-application

keycloak-enforcement-filter

【讨论】：