java - 使用接收到的访问令牌检索 Keycloak 用户数据
问题描述
我正在开发一个 WildFly 后端(在 Java 中),它接受通过“授权”HTTP 标头使用用户的 Keycloak 不记名访问令牌签名的 HTTP 请求(来自自定义前端)。
后端连接本身已经通过 WildFly 的 Keycloak 适配器得到保护,但在内部,我想检查用户是谁(用户组、名称等)并返回非常好的响应。
我认为可以只从前端发送这些数据,但是一旦有了访问令牌,人们就可以轻松地伪造请求。有没有办法在只有访问令牌的情况下检索用户数据之类的东西?
解决方案
从那以后,我想出了如何解决这个问题!
首先,在类的顶部附近添加以下内容:
@Context
javax.ws.rs.core.SecurityContext securityContext;
这将注入服务器安全性的上下文。为了使这与 Keycloak 一起工作,WildFly 需要安装 Wildfly 适配器,并且 web.xml 必须配置为使用 Keycloak。
在我们继续之前,我们需要 Keycloak-Core 库,例如每个 Maven:
<!-- https://mvnrepository.com/artifact/org.keycloak/keycloak-core -->
<dependency>
<groupId>org.keycloak</groupId>
<artifactId>keycloak-core</artifactId>
<version>4.4.0.Final</version>
</dependency>
4.4.0.Final
是撰写此答案时的最新版本;建议使用最新版本或与 Keycloak 服务器匹配的版本。
接下来,在您要检索用户信息的地方,检索 UserPrincipal:
if (securityContext != null && securityContext.getUserPrincipal() instanceof KeycloakPrincipal) {
KeycloakPrincipal principal = ((KeycloakPrincipal) securityContext.getUserPrincipal());
额外的检查是故障保存,因此可以单独处理非 Keycloak 配置。
从强制转换的 KeycloakPrinciple 中,检索 KeycloakSecurityContext 并从那里检索用户的 Token:
AccessToken token = principal.getKeycloakSecurityContext().getToken();
在某些情况下(取决于您的 Keycloak 和/或 WildFly 的版本),getToken() 可能会返回 null。在这些情况下,请使用 getIdToken():
IDToken token = principal.getKeycloakSecurityContext().getIdToken();
AccessToken 扩展了 IDToken,因此您在这两种情况下都具有完整的功能(对于此上下文)。
从令牌中,可以提取所有用户数据。例如,我们获取用户的用户名。在 Keycloak 中,此属性称为“首选用户名”。
String user = token.getPreferredUsername();
你完成了!您的完整代码现在可能如下所示:
if (securityContext != null && securityContext.getUserPrincipal() instanceof KeycloakPrincipal) {
KeycloakPrincipal principal = ((KeycloakPrincipal) securityContext.getUserPrincipal());
AccessToken token = principal.getKeycloakSecurityContext().getToken();
// IDToken token = principal.getKeycloakSecurityContext().getIdToken();
System.out.println("User logged in: " + token.getPreferredUsername());
} else {
System.out.println("SecurityContext could not provide a Keycloak context.");
}
推荐阅读
- php - 它在本地与 xampp 一起工作。登录有效,但注册无效
- excel - 使用 VBA 从 Excel 文件中删除表格
- validation - VeeValidate 多个密码约束
- amazon-web-services - 无法连接到面向 Internet 的 NLB 将流量转发到私有实例
- c++ - 为什么 float 和 double 不能在小数位上识别 0
- java - 如何将方法作为参数传递?
- python - 关于 Monty Hall 问题的程序未返回预期结果
- google-apps-script - 输入数据后锁定谷歌表格中的单元格
- r - 在一个图中绘制不同的列 R
- html - 粘性页脚不会停留