Spring Boot 3.1中整合Spring Security和Keycloak的方法

 更新时间:2023年06月01日 14:59:13   作者:程序猿DD  
本文介绍在最新的SpringBoot3.1版本之下,如何将Keycloak和Spring Security一起跑起来,文中结合实例代码给大家介绍的非常详细,需要的朋友参考下吧

在今年2月14日的时候,Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其中包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团队将不再提供针对Spring Security和Spring Boot的集成方案。但是,如此强大的Keycloak,还要用怎么办呢?本文就来聊聊,在最新的Spring Boot 3.1版本之下,如何将Keycloak和Spring Security一起跑起来。

准备工作

这里所采用的框架与工具版本信息如下:

  • Spring Boot 3.1.0
  • Keycloak 21.1.1

如果您采用的是其他版本,本文内容不一定有效,但可以作为参考。

配置Keycloak

第一步:为Spring Boot应用创建Realm,并在下面创建一个Client

第二步:创建一个SYS_ADMIN角色,并创建一个用户赋予SYS_ADMIN角色

第三步:调用Keycloak接口生成Access Token,可以用下面的curl命令或者其他任何发请求的工具,比如:Postman等。

curl --location 'http://localhost:9090/realms/MyAppRealm/protocol/openid-connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'username=<YOUR_USER_NAME>' \
--data-urlencode 'password=<YOUR_USER_PASSWORD>' \
--data-urlencode 'grant_type=password' \
--data-urlencode 'client_id=My-Awesome-App' \
--data-urlencode 'client_secret=<KEYCLOAK_CLIENT_SECRET>' \
--data-urlencode 'scope=openid'

记住获得到Access Token,后续验证时候要用。

配置Spring Boot应用

第一步:创建一个Spring Boot应用,这个很简单,这里不赘述了。如果您还不会,可以看看我的Spring Boot教程

第二步:在pom.xml中添加依赖:

<dependency>
   <groupId>org.springframework.security</groupId>
   <artifactId>spring-security-oauth2-jose</artifactId>
</dependency>

第三步:修改配置文件

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:9090/realms/MyAppRealm
          jwk-set-uri: http://localhost:9090/realms/MyAppRealm/protocol/openid-connect/certs

第四步:创建一个需要鉴权的测试接口

@RequestMapping("/test")
@RestController
public class MySuperSecuredController {
    @GetMapping("/hello")
    public String hello(){
        return "hello";
    }
}

第五步:创建SecurityFilterChain,用来告知Spring Security在JWT令牌中查找角色信息的位置。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .authorizeHttpRequests(registry -> registry
                        .requestMatchers("/test/**").hasRole("SYS_ADMIN")
                        .anyRequest().authenticated()
                )
                .oauth2ResourceServer(oauth2Configurer -> oauth2Configurer.jwt(jwtConfigurer -> jwtConfigurer.jwtAuthenticationConverter(jwt -> {
                    Map<String, Collection<String>> realmAccess = jwt.getClaim("realm_access");
                    Collection<String> roles = realmAccess.get("roles");
                    var grantedAuthorities = roles.stream()
                            .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                            .toList();
                    return new JwtAuthenticationToken(jwt, grantedAuthorities);
                })))
        ;
        return httpSecurity.build();
    }
}

验证一下

在完成了上面配置所有之后之后,启动Spring Boot应用,同时保证Keycloak也在运行中。

尝试请求/test/hello接口:

  • 当不包含Authorization头信息的时候,将返回401错误
  • 当包含Authorization头信息(前文用调接口获取的Access Token)的时候,才能正确访问到。

小结

虽然Keycloak 团队宣布了不再对Spring Security提供适配,但Spring Security长期以来一直为OAuth和OIDC提供强大的内置支持。所以,只要我们理解Spring Security是如何处理OAuth和OIDC的,那么与Keyloak的集成依然不复杂。

到此这篇关于Spring Boot 3.1中如何整合Spring Security和Keycloak的文章就介绍到这了,更多相关Spring Boot 3.1整合Spring Security和Keycloak内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

相关文章

  • 详解Java抽象类与普通类的区别

    详解Java抽象类与普通类的区别

    今天给大家带来的是关于Java的相关知识,文章围绕着Java抽象类与普通类的区别展开,文中有非常详细的介绍及代码示例,需要的朋友可以参考下
    2021-06-06
  • java synchronized同步静态方法和同步非静态方法的异同

    java synchronized同步静态方法和同步非静态方法的异同

    这篇文章主要介绍了java synchronized同步静态方法和同步非静态方法的异同的相关资料,需要的朋友可以参考下
    2017-01-01
  • SpringBoot3实现MySQL读写分离的完整指南

    SpringBoot3实现MySQL读写分离的完整指南

    在高并发场景下,数据库往往成为系统瓶颈,读写分离通过将写操作定向到主库、读操作分发到从库,显著提升系统读性能和数据可用性,本文给大家介绍了SpringBoot3实现MySQL读写分离的完整指南,需要的朋友可以参考下
    2025-11-11
  • @Autowired一个接口有多个实现类的情况

    @Autowired一个接口有多个实现类的情况

    本文介绍了Spring中@Autowired注解的注入原理,默认按类型(byType)注入,当存在多个实现类时,会报错,可以通过修改变量名或配合@Qualifier注解,指定注入具体实现类,变为按名称(byName)注入
    2025-10-10
  • Java面试之限流的实现方式小结

    Java面试之限流的实现方式小结

    限流是指在各种应用场景中,通过技术和策略手段对数据流量、请求频率或资源消耗进行有计划的限制,本文为大家整理了常见的限流的实现方式,有需要的可以参考下
    2024-02-02
  • java程序员如何编写更好的单元测试的7个技巧

    java程序员如何编写更好的单元测试的7个技巧

    测试是开发的一个非常重要的方面,可以在很大程度上决定一个应用程序的命运。良好的测试可以在早期捕获导致应用程序崩溃的问题,但较差的测试往往总是导致故障和停机。本文主要介绍java程序员编写更好的单元测试的7个技巧。下面跟着小编一起来看下吧
    2017-03-03
  • @Async注解的使用以及注解失效问题的解决

    @Async注解的使用以及注解失效问题的解决

    在Spring框架中,@Async注解用于声明异步任务,可以修饰类或方法,使用@Async时,必须确保方法为public,且类为Spring管理的Bean,启用异步任务需要在主类上添加@EnableAsync注解,默认线程池为SimpleAsyncTaskExecutor
    2024-09-09
  • Java通过notify和wait实现线程间的通信功能

    Java通过notify和wait实现线程间的通信功能

    在软件开发中,线程是实现并发执行的重要手段,然而,线程之间的协作与通信却是开发者必须重点考虑的挑战之一,Java作为一种广泛应用于多线程编程的语言,本文将深入探讨Java中通过notify和wait实现线程间通信的机制,需要的朋友可以参考下
    2024-06-06
  • java实现oracle插入当前时间的方法

    java实现oracle插入当前时间的方法

    这篇文章主要介绍了java实现oracle插入当前时间的方法,以实例形式对比分析了java使用Oracle操作时间的技巧,具有一定参考借鉴价值,需要的朋友可以参考下
    2015-03-03
  • java实现文件变化监控的方法(推荐)

    java实现文件变化监控的方法(推荐)

    下面小编就为大家带来一篇java实现文件变化监控的方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-08-08

最新评论