spring - HttpSecurity 配置不适用于 Spring 上的 Keycloak 适配器
问题描述
完整代码:https ://github.com/czetsuya/Spring-Keycloak-with-REST-API
我正在尝试在 Spring 中实现一个由 Keycloak (4.8.1) 保护的 REST API,带有一个仅承载客户端。
问题:configure(HttpSecurity http) 不受尊重,只要用户通过身份验证,REST 端点就可以访问。
例如,使用 .antMatchers("/admin*").hasRole("ADMIN"),/admin 应该只能由具有 ADMIN 角色的用户访问,但我可以使用 USER 角色访问。
我还尝试在 application.yml 中设置安全约束(但没有帮助):
security-constraints:
- auth-roles:
- ADMIN
- security-collections:
- name: admin
- patterns:
- /admin*
将@EnableGlobalMethodSecurity 与@PreAuthorize("hasRole('ADMIN')") 结合使用可以解决问题,但真的没有其他办法了吗?
这是application.xml。
keycloak:
enabled: true
realm: dev
auth-server-url: http://localhost:8083/auth
ssl-required: external
resource: dev-api
bearer-only: true
confidential-port: 0
use-resource-role-mappings: false
principal-attribute: preferred_username
以下是对 pom 的依赖:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.keycloak</groupId>
<artifactId>keycloak-spring-boot-starter</artifactId>
</dependency>
.....
以及 SecurityConfig 类的一部分:
@KeycloakConfiguration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) {
KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
SimpleAuthorityMapper simpleAuthorityMapper = new SimpleAuthorityMapper();
simpleAuthorityMapper.setConvertToUpperCase(true);
keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(simpleAuthorityMapper);
auth.authenticationProvider(keycloakAuthenticationProvider);
}
@Bean
@Override
protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
return new NullAuthenticatedSessionStrategy();
}
@Bean
public KeycloakConfigResolver keycloakConfigResolver() {
return new KeycloakSpringBootConfigResolver();
}
@Autowired
public KeycloakClientRequestFactory keycloakClientRequestFactory;
@Bean
@Scope(ConfigurableBeanFactory.SCOPE_PROTOTYPE)
public KeycloakRestTemplate keycloakRestTemplate() {
return new KeycloakRestTemplate(keycloakClientRequestFactory);
}
/**
* Secure appropriate endpoints
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
http.authorizeRequests() //
.antMatchers("/users*").hasRole("USER") //
.antMatchers("/admin*").hasRole("ADMIN") //
.anyRequest().authenticated() //
.and().csrf().disable() //
;
}
启用详细日志后。我发现正在应用 application.yml 中定义的安全约束,而不是 java 类中定义的约束。
现在的问题是如何使用 java 约束而不是定义的 application.yml。
解决方案
问题是错误的 yml 配置。这是正确的版本:
security-constraints:
- auth-roles:
- User
security-collections:
- name: unsecured
patterns:
- /users
- auth-roles:
- Admin
security-collections:
- name: secured
patterns:
- /admin
请注意,当定义 KeycloakSpringBootConfigResolver 时,还将调用 configure(httpSecurity)。
在 application.yml 中启用以下日志将向我们展示安全约束检查:
logging:
level:
org.apache.catalina: DEBUG
这是更详细的代码解释:http ://czetsuya-tech.blogspot.com/2018/12/secure-spring-boot-rest-project-with.html
推荐阅读
- reactjs - React componentDidMount 并使用 Promises?
- qliksense - 如何在 Qliksense 中更正年份顺序?
- fragment - WebGL 中的颜色混合
- drake - 我们可以在轨迹优化期间以符号形式缓存方程并插入数字吗?
- python - Selenium python如何通过完全匹配找到按钮
- git - 当你合并不相关的历史时,git 会发生什么?
- r - 如何在ggplot中仅反转次y轴?
- c++ - LawOfCosines 求解 c,但得到奇怪的答案
- python - Lambidify 抛出 TypeError:当我尝试通过 Matplotlib 绘图时,不能将序列乘以非整数类型的“浮点”
- c# - 获取导出为 TLB 的 C# 类并使用父 TOleControl 而不是 TOleServer 生成 Delphi 代码