TL; DR
- 目标:管理api权限:
- OIDC授权直接授予流程
- 用户联合身份验证源:LDAP
- 权限存储:旧版数据库
- 客户端管理和身份验证:密钥泄漏
- 问题:在Keycloak和rest api上管理用户权限的最佳做法是什么?
语境
我们正在使用spring实现rest API,供移动应用程序和SPA使用。我们的用户帐户,权限,规则……以及所有数据都存储在供不同的整体应用程序使用的自定义数据库中。为了保护我们的api,我们决定使用Keycloak。
Keycloak服务器配置有用于用户联盟的现有LDAP,以及用于移动客户端应用程序的“直接主流”。对于第一个用例(身份验证),一切正常。
现在我们必须按照以下步骤管理用户权限:
客户端应用程序应该知道用户的显示/隐藏功能权限
api应该能够验证用户权限以使用不同的端点
用户权限基于数据库中的某些规则,并且经常更改
据我所知,keycloak可以使用硬编码或基于用户的策略来处理授权和精细权限,但不能本地插入到其他授权源。结果,我想到了使用Keycloak SPI构建自定义角色映射器,从我将开发的自定义api检索用户权限,然后将其映射到访问令牌。
因此,我的访问令牌应类似于:
"resource_access": {
“My-client”: {
“permissions”: [
“Show-products”,
“Buy-something”,
“Display-prices”
]
}
},
"username": “myUser”
然后,移动应用程序应该能够基于令牌知道用户权限,而我的无状态服务器端(API)应该能够在每次调用时访问用户权限,以使用spring注释检查它们:
@PreAuthorize("hasRole('Show-products')")
问题
经过初步试验,我的解决方案似乎可以正常工作,但是由于该选择超出了密钥库标准,并且在密钥库映射器中包含了对其他后端的剩余调用,因此我对此选择仍有一些安全方面的担忧。
所以我想知道:
免费信息
我正在使用:
关于您的问题:
-将用户权限放在访问令牌声明上是否安全?
是的,功能可以(并且应该)位于访问令牌上,因此您可以在业务层中进行一些分配(基于角色/访问声明)。还请记住,访问令牌不与任何前端共享,因此这也是一个秘密。
如何保护对外部系统的keycloak访问(剩余呼叫)以获取权限?
取决于是否需要从网络外部访问它。如果没有,您可以使其不受保护(并且不受外界的干扰/或仅适用于某些特定IP)。如果要从外部使用它,或者无论如何要使用密钥克隆保护它,则可以使用“机密”或“仅承载”类型的客户端。我建议您研究CORS和令牌共享,以便可以将已创建的“访问令牌”重新用于其他端点,而无需再次进行身份验证。
我应该依靠令牌声明来验证资源服务器中每个请求的用户权限吗?
不确定您的意思。在keycloak中,资源服务器不会像在典型的oAuth2舞中那样做额外的资源授权(除非激活了策略执行器,但我相信您没有采用这种方法,而是使用映射器SPI @auth服务器来正确设置角色?)
在oAuth2中,“资源服务器”具有2个职责:1提供资源和2执行额外的授权步骤。在密钥斗篷世界中,这两个步骤是由不同的角色完成的。步骤1由您的应用程序完成,而步骤2仅在还通过keycloak激活了策略强制时才完成(这意味着从oAuth2角度来看,Keycloak是身份验证服务器,并且也是“资源服务器”的一部分)
现在回到您的问题,如果仅由资源服务器代表您的应用程序提供了内容,那么是的,您可以在那里使用声明,请记住声明(以及整个访问令牌)是由服务器生成并进行数字签名的。验证服务器,因此您可以毫无问题地在应用中使用这些声明(否则也不知道如何做)。
是否有其他干净的解决方案/最佳实践来处理来自keycloak中外部源的用户权限?
您可能已经注意到,很难说;特定用例的网络文档非常有限;因此,在那里没有大量的最佳实践工作,您唯一真正的选择就是使用带有自定义策略SPI的策略,这还会带来其他挑战。我想你的解决方案很好。
最诚挚的问候。