如何使用 keycloak 保护 angular/spring 应用程序?

【问题标题】:How to secure angular/spring app with keycloak?如何使用 keycloak 保护 angular/spring 应用程序?
【发布时间】:2021-06-25 02:47:24
【问题描述】:

我有一个 spring boot(后端)和 angular(前端)应用程序,我想用 keycloak 保护它(用于身份验证)。

我有一个非常基本的部署,其中由 spring 创建的可执行 jar 也为客户端代码提供服务(来自 angular)。

我看过几个教程,前面和后面是分开的,前面使用代码流+pkce将其认证委托给keycloak,而后面是无状态的,检查是否存在keycloak实例认证的jwt令牌.

但是,由于我有一个后端服务器,我想避免使用公共客户端,而是依赖服务器端的反向通道令牌交换。所以前面应该没有keycloak实例的任何知识。

这可能吗/这是最佳实践吗?是否有一个前端库可以帮助我实现这一目标?我遇到了库 keycloak-angular,但它似乎是针对第一种情况,即 SPA 直接连接到 Keycloak 而不是使用后端服务器。

【问题讨论】:

    标签: java angular spring keycloak openid-connect


    【解决方案1】:

    在这种情况下,您不需要前端库。在您的前端,您应该只处理用户会话(有一个会话 cookie)并每次将 cookie 发送到您的后端。然后后端服务器应该使用任何 oauth 客户端与您的 keycloak 服务器进行通信,一旦获得令牌,它就可以将它们与会话句柄一起保存在数据库中。

    此流程可能如下所示:

    1. 请求客户端 -> 后端服务器 -> 向 keycloak 授权端点回复 302。注册的redirect_uri应该是后端服务器暴露的uri
    2. 用户执行身份验证/同意等。
    3. Keycloak 使用代码重定向到 redirect_uri
    4. 后端接收代码(因为它监听重定向 uri 地址),并与 Keycloak 交换它。
    5. 后端接收访问令牌并将其与会话 ID 一起保存在数据库中。
    6. 当客户端通过其会话向后端发出另一个请求时,后端会从数据库中选择一个访问令牌并可以调用 API。

    【讨论】:

      猜你喜欢
      • 2018-11-04
      • 2021-08-02
      • 2017-04-14
      • 2019-05-04
      • 2021-12-24
      • 2021-08-04
      • 1970-01-01
      • 2018-11-08
      • 2021-04-17
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode