結合springboot和keycloak做登陸驗證

前言

登陸是一個項目的基礎,幾乎任何項目都需要包括登陸模塊,網上大部分登陸都是使用的shrio,個人感覺這種東西很老,而且不好用,偶然之前發現了一個叫keycloak的sso開源項目, 感覺挺不錯的,這篇文章主要講解如何使用springboot和keycloak進行結合。

版本

  1. springboot: 1.4.3.RELEASE 版本
  2. keycloak: 2.5.1.Final 版本
  3. vue: 2.1.0 版本

項目搭建

  1. 首先搭建keycloak的服務 (略)
  2. 編寫前端代碼(用vue2寫的簡單的一個spa,略)
  3. 編寫springboot的服務(略)
  4. 加入核心依賴
        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-tomcat8-adapter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.keycloak</groupId>
            <artifactId>keycloak-spring-security-adapter</artifactId>
        </dependency>
  1. 在springboot的配置文件中加入
keycloak:
       configurationFile: "classpath:keycloak.json"
  1. 在resources的目錄下加入 keycloak.json 配置文件
{
  "realm": "family",
  "bearer-only": true,
  "auth-server-url": "http://localhost:8080/auth",
  "ssl-required": "external",
  "resource": "family-app",
  "enable-cors": true
}
  1. 配置springmvc的跨域filter
@Configuration
public class CorsFilterConfig implements Filter {

  @Override
  public void init(FilterConfig filterConfig) throws ServletException {}

  @Override
  public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
      FilterChain filterChain) throws IOException, ServletException {
    HttpServletResponse res = (HttpServletResponse) servletResponse;
    res.setHeader("Access-Control-Allow-Origin", "*");
    res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
    res.setHeader("Access-Control-Max-Age", "1728000");
    res.setHeader("Access-Control-Allow-Headers",
        "Authorization, Content-Type, Accept, x-requested-with, Cache-Control");
    filterChain.doFilter(servletRequest, res);
  }

  @Override
  public void destroy() {}
}
  1. 配置keycloak和spring security結合的配置文件
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
public class KeycloakSecurityConfig extends KeycloakWebSecurityConfigurerAdapter {

  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.authenticationProvider(keycloakAuthenticationProvider());
  }

  @Bean
  @Override
  protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
    return new NullAuthenticatedSessionStrategy();
  }

  @Bean
  public FilterRegistrationBean keycloakAuthenticationProcessingFilterRegistrationBean(
      KeycloakAuthenticationProcessingFilter filter) {
    FilterRegistrationBean registrationBean = new FilterRegistrationBean(filter);
    registrationBean.setEnabled(false);
    return registrationBean;
  }

  @Bean
  public FilterRegistrationBean keycloakPreAuthActionsFilterRegistrationBean(
      KeycloakPreAuthActionsFilter filter) {
    FilterRegistrationBean registrationBean = new FilterRegistrationBean(filter);
    registrationBean.setEnabled(false);
    return registrationBean;
  }

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    super.configure(http);
    http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .sessionAuthenticationStrategy(sessionAuthenticationStrategy()).and()
        .addFilterBefore(keycloakPreAuthActionsFilter(), LogoutFilter.class)
        .addFilterBefore(keycloakAuthenticationProcessingFilter(), X509AuthenticationFilter.class)
        .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint()).and()
        .authorizeRequests()
        .requestMatchers(CorsUtils::isCorsRequest).permitAll()
//        .antMatchers("/family/*").hasAnyAuthority("user").antMatchers("/admin/*").hasRole("ADMIN")
        .antMatchers("/**").authenticated()
        .anyRequest().permitAll();
  }
}
  1. 對應的接口上增加可以執行的用戶角色
@RequestMapping(value = "/all", method = RequestMethod.GET, produces = MediaType.APPLICATION_JSON_UTF8_VALUE)
  @ResponseBody
  @PreAuthorize("hasAnyAuthority('user')")
  public List<Family> queryAllFamilyInfo() {
    return familyInfoService.queryAllFamilyInfo();
  }

遇到的坑

  1. 對應keycloak的用戶權限需要使用 hasAnyAuthority而不是 hasAnyRole,并且需要在KeycloakSecurityConfig類中加入@EnableGlobalMethodSecurity(prePostEnabled = true) 注解
  2. keycloak-spring-security-adapterspring-boot-adpater 兩個依賴不能同時使用
  3. cors的跨域的配置,需要CorsFilterConfig的filter類配合KeycloakSecurityConfig類中的 requestMatchers(CorsUtils::isCorsRequest).permitAll()一起使用

完整的項目地址(包括了簡單的前端和后端代碼,不會寫前端,前端代碼比較垃圾。。 需要完善 ):

https://github.com/dragontree101/springboot-keycloak-demo

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容

  • Spring Cloud為開發人員提供了快速構建分布式系統中一些常見模式的工具(例如配置管理,服務發現,斷路器,智...
    卡卡羅2017閱讀 134,868評論 18 139
  • 本文包括:1、Filter簡介2、Filter是如何實現攔截的?3、Filter開發入門4、Filter的生命周期...
    廖少少閱讀 7,323評論 3 56
  • 工作到現在快要1年半了,一直沒有時間自己從頭搭建個框架,這個周末實在是無聊,真的不想打lol了,(黑色玫瑰開黑的喊...
    MacSam閱讀 6,847評論 7 20
  • 關于 springmvc 3.x 版本對ajax跨域請求訪問 ajax 請求后,瀏覽器出現跨域的問題那么在當前環境...
    山水風情閱讀 514評論 0 0
  • 文/A 幸運點 韶華減歲夏風收,葉宿江東誤水流。 漫卷寒云行日月,輕撩細浪數春秋。 飛來幾度紅塵雨,沒入千年白鷺洲...
    A幸運點閱讀 501評論 5 13