我有一个由 Keycloak 保护的 Spring Boot 管理应用程序,我定义了一个具有领域角色的用户
ACTUATORGranted Authorities: ROLE_USER, SCOPE_actuator_access, SCOPE_profile'查看文档,我找到了这一部分:OAuth2UserService 的基于委托的策略这是我的配置:
这是我的配置:
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure( HttpSecurity http ) throws Exception {
http.csrf().disable().cors().disable();
http.authorizeRequests()
.antMatchers( "/error","/instances", "/**/*.css", "/**/img/**", "/**/third-party/**", "/*.js" )
.permitAll()
.anyRequest().hasRole( "ACTUATOR" )
.and()
.oauth2Login( oauth2 -> oauth2.userInfoEndpoint(
userInfo -> userInfo.oidcUserService( this.oidcUserService() ) ) );
}
// I just copy-paste the doc's code to play with it...
private OAuth2UserService<OidcUserRequest, OidcUser> oidcUserService() {
final OidcUserService delegate = new OidcUserService();
return ( userRequest ) -> {
OidcUser oidcUser = delegate.loadUser( userRequest );
//TODO find a way to extract realm roles
OAuth2AccessToken accessToken = userRequest.getAccessToken();
Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
oidcUser = new DefaultOidcUser( mappedAuthorities, oidcUser.getIdToken(), oidcUser.getUserInfo() );
return oidcUser;
};
}
我希望使用方法
oidcUserService()oidcUserService()问题是在这种情况下如何检索领域角色?
编辑
我在这里添加了一个示例项目:https://github.com/akuma8/sba-keycloak-spring-security
安全配置位于
application.ymlSecurityConfig我找到了为什么认证后没有调用
oidcUserService()在文档中它是关于
OidcUserRequestOAuth2UserRequestOAUTH2OIDCprivate OAuth2UserService<OAuth2UserRequest, OAuth2User> oauth2UserService() {
// code extracting authorities from JWT here
}
解决了我的问题。我现在可以从访问令牌获取 Keycloak 领域角色。
我不知道为什么这个 oidcUserService 没有被调用。您可以使用 JwtAuthenticationConverter 来代替,并将 JWT 映射到您需要的任何角色。
这有点棘手,所以这里有两个例子:
注意我不知道您是否应该在解析 JWT 签名之前自行检查它,或者 Spring OAuth 是否会这样做。这值得检查一下。
我也遇到了同样的问题,问题出在范围
openid从范围中删除 openid 后(我不需要它),
userServiceuserInfoEndpoint(userInfoEndpointConfig -> userInfoEndpointConfig.userService(customOauth2UserService))
配置
spring.security.oauth2.client.registration.google.scope=profile,email