Keycloak快速上手指南,只需10分钟便可接入Spring Boot/Vue先后端分离应用实现S
登陆及身份认证是现代web应用最基本的功能之一,对于企业内部的系统,多个系统每每但愿有一套SSO服务对企业用户的登陆及身份认证进行统一的管理,提高用户同时使用多个系统的体验,Keycloak正是为此种场景而生。本文将简明的介绍Keycloak的安装、使用,并给出目前较流行的先后端分离应用如何快速接入Keycloak的示例。前端
Keycloak是什么
Keycloak是一种面向现代应用和服务的开源IAM(身份识别与访问管理)解决方案vue
Keycloak提供了单点登陆(SSO)功能,支持OpenID Connect、OAuth 2.0、SAML 2.0标准协议,拥有简单易用的管理控制台,并提供对LDAP、Active Directory以及Github、Google等社交帐号登陆的支持,作到了很是简单的开箱即用。react
Keycloak经常使用核心概念介绍
首先经过官方的一张图来了解下总体的核心概念ios
这里先只介绍4个最经常使用的核心概念:web
-
Users: 用户,使用并须要登陆系统的对象spring -
Roles: 角色,用来对用户的权限进行管理docker -
Clients: 客户端,须要接入Keycloak并被Keycloak保护的应用和服务npm Realms: 领域,领域管理着一批用户、证书、角色、组等,一个用户只能属于而且能登录到一个域,域之间是互相独立隔离的, 一个域只能管理它下面所属的用户
Keycloak服务安装及配置
安装Keycloak
Keycloak安装有多种方式,这里使用Docker进行快速安装axios
docker run -d --name keycloak \
-p 8080:8080 \
-e KEYCLOAK_USER=admin \
-e KEYCLOAK_PASSWORD=admin \
jboss/keycloak:10.0.0
访问http://localhost:8080并点击Administration Console进行登陆后端
建立Realm
建立一个新的realm: demo,后续全部的客户端、用户、角色等都在此realm中建立
建立客户端
建立前端应用客户端
建立一个新的客户端:vue-demo,Access Type选择public
建立后端应用客户端
建立一个新的客户端:spring-boot-demo,Access Type选择bearer-only
保存以后,会出现Credentials的Tab,记录下这里的secret,后面要用到
关于客户端的访问类型(Access Type)
上面建立的2个客户端的访问类型分别是public、bearer-only,那么为何分别选择这种类型,实际不一样的访问类型有什么区别呢?
事实上,Keycloak目前的访问类型共有3种:
confidential:适用于服务端应用,且须要浏览器登陆以及须要经过密钥获取access token的场景。典型的使用场景就是服务端渲染的web系统。
public:适用于客户端应用,且须要浏览器登陆的场景。典型的使用场景就是前端web系统,包括采用vue、react实现的前端项目等。
bearer-only:适用于服务端应用,不须要浏览器登陆,只容许使用bearer token请求的场景。典型的使用场景就是restful api。
建立用户和角色
建立角色
建立2个角色:ROLE_ADMIN、ROLE_CUSTOMER
建立用户
建立2个用户:admin、customer
绑定用户和角色
给admin用户分配角色ROLE_ADMIN
给customer用户分配角色ROLE_CUSTOMER
Vue应用集成Keycloak简明指南
建立vue项目
vue create vue-demo
添加官方Keycloak js适配器
npm i keycloak-js --save npm i axios --save
main.js
import Vue from 'vue'
import App from './App.vue'
import Keycloak from 'keycloak-js'
Vue.config.productionTip = false
// keycloak init options
const initOptions = {
url: 'http://127.0.0.1:8080/auth',
realm: 'demo',
clientId: 'vue-demo',
onLoad:'login-required'
}
const keycloak = Keycloak(initOptions)
keycloak.init({ onLoad: initOptions.onLoad, promiseType: 'native' }).then((authenticated) =>{
if(!authenticated) {
window.location.reload();
} else {
Vue.prototype.$keycloak = keycloak
console.log('Authenticated')
}
new Vue({
render: h => h(App),
}).$mount('#app')
setInterval(() =>{
keycloak.updateToken(70).then((refreshed)=>{
if (refreshed) {
console.log('Token refreshed');
} else {
console.log('Token not refreshed, valid for '
+ Math.round(keycloak.tokenParsed.exp + keycloak.timeSkew - new Date().getTime() / 1000) + ' seconds');
}
}).catch(error => {
console.log('Failed to refresh token', error)
})
}, 60000)
}).catch(error => {
console.log('Authenticated Failed', error)
})
HelloWorld.vue
<template>
<div class="hello">
<h1>{{ msg }}</h1>
<div>
<p>
current user: {{user}}
</p>
<p>
roles: {{roles}}
</p>
<p>
{{adminMsg}}
</p>
<p>
{{customerMsg}}
</p>
</div>
</div>
</template>
<script>
import axios from 'axios'
export default {
name: 'HelloWorld',
props: {
msg: String
},
data() {
return {
user: '',
roles: [],
adminMsg: '',
customerMsg: ''
}
},
created() {
this.user = this.$keycloak.idTokenParsed.preferred_username
this.roles = this.$keycloak.realmAccess.roles
this.getAdmin()
.then(response=>{
this.adminMsg = response.data
})
.catch(error => {
console.log(error)
})
this.getCustomer()
.then(response => {
this.customerMsg = response.data
})
.catch(error => {
console.log(error)
})
},
methods: {
getAdmin() {
return axios({
method: 'get',
url: 'http://127.0.0.1:8082/admin',
headers: {'Authorization': 'Bearer ' + this.$keycloak.token}
})
},
getCustomer() {
return axios({
method: 'get',
url: 'http://127.0.0.1:8082/customer',
headers: {'Authorization': 'Bearer ' + this.$keycloak.token}
})
}
}
}
</script>
getAdmin()及getCustomer()这2个方法内部分别请求restful api
Spring Boot应用集成Keycloak简明指南
添加Keycloak Maven依赖
<dependency>
<groupId>org.keycloak</groupId>
<artifactId>keycloak-spring-boot-starter</artifactId>
<version>10.0.0</version>
</dependency>
Spring Boot配置文件
官方文档及网上大部分示例使用的都是properties格式的配置文件,而yaml格式的配置文件相对更简洁清晰些,此示例使用yaml格式的配置文件,内容以下
server:
port: 8082
keycloak:
realm: demo
auth-server-url: http://127.0.0.1:8080/auth
resource: spring-boot-demo
ssl-required: external
credentials:
secret: 2d2ab498-7af9-48c0-89a3-5eec929e462b
bearer-only: true
use-resource-role-mappings: false
cors: true
security-constraints:
- authRoles:
- ROLE_CUSTOMER
securityCollections:
- name: customer
patterns:
- /customer
- authRoles:
- ROLE_ADMIN
securityCollections:
- name: admin
patterns:
- /admin
除了几个必填的配置项外,另外须要注意的几个配置项以下
credentials.secret:上文添加客户端后Credentials Tab内对应的内容
bearer-only:设置为true,表示此应用的Keycloak访问类型是bearer-only
cors:设置为true表示容许跨域访问
security-constraints:主要是针对不一样的路径定义角色以达到权限管理的目的
/customer:只容许拥有ROLE_CUSTOMER角色的用户才能访问/admin:只容许拥有ROLE_ADMIN角色的用户才能访问- 未配置的路径表示公开访问
Controller内容
@RestController
public class HomeController {
@RequestMapping("/")
public String index() {
return "index";
}
@RequestMapping("/customer")
public String customer() {
return "only customer can see";
}
@RequestMapping("/admin")
public String admin() {
return "only admin cas see";
}
}
项目效果演示
分别启动先后端项目后,本地8081端口对应vue前端项目,本地8082端口对应Spring Boot实现的restful api项目
首次访问vue前端项目
第一次访问vue项目会跳转Keycloak登陆页
登陆admin用户
登陆customer用户
总结
Keycloak部署及接入简单,轻量的同时功能又不失强大,很是适合企业内部的SSO方案。
- 1. Keycloak快速上手指南
- 2. 十分钟上手pandas|应用指南
- 3. 先后端分离API设计指南
- 4. 先后端分离架构:Web 实现先后端分离,先后端解耦
- 5. Gradle 10分钟上手指南
- 6. 先后端分离-01:怎么实现先后端分离?
- 7. 5分钟 maven3 快速入门指南
- 8. 10分钟快速上手angular cdk
- 9. 用gulp+mock实现先后端分离
- 10. 5分钟快速上手Spring Boot
- 更多相关文章...
- • SQLite 分离数据库 - SQLite教程
- • 服务端脚本 指南 - 网站建设指南
- • Git五分钟教程
- • Spring Cloud 微服务实战(三) - 服务注册与发现
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 升级Gradle后报错Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地环境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中关键字前后几行的内容
- 5. XXE萌新进阶全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通过agent监控winserve12
- 8. IT行业UI前景、潜力如何?
- 9. Mac Swig 3.0.12 安装
- 10. Windows上FreeRDP-WebConnect是一个开源HTML5代理,它提供对使用RDP的任何Windows服务器和工作站的Web访问