5

我想要达到的目标

使用以下策略保护 Keycloak 中的资源:

if (resource.status == 'draft') $evaluation.grant(); 
else $evaluation.deny();

根据他们的官方文件邮件列表回复,似乎基于属性的访问控制是可能的,但是,我找不到让它工作的方法。

我试过的

  • 使用授权服务:我无法弄清楚我可以在哪里以及如何从资源实例中注入属性。
  • 使用授权上下文:我希望获得与资源和范围相关的策略,以便我可以自己评估它们。

到目前为止,这两种方法我都没有成功。老实说,我对授权服务中使用的术语感到不知所措。

问题 在 keycloak 中定义策略时,如何使用资源实例的属性?

4

2 回答 2

6

我通过创建 JavaScript 策略在 Keycloak 4.3 中解决了这个问题,因为属性策略不存在(尚不存在)。这是我工作的代码示例(请注意,属性值是一个列表,因此您必须与列表中的第一项进行比较):

var permission = $evaluation.getPermission();
var resource = permission.getResource();
var attributes = resource.getAttributes();

if (attributes.status !== null && attributes.status[0] == "draft") {
    $evaluation.grant();
} else {
    $evaluation.deny();
}
于 2018-10-15T14:15:13.967 回答
1

目前没有办法做你想做的事。ResourceRepresentation 类只有 (id, name, uri, type, iconUri, owner) 字段。因此,您可以使用 owner 来确定每个 Keycloak 示例的所有权。我见过一个讨论添加额外资源属性的线程,但还没有看到 Keycloak JIRA。

也许您可以通过在运行时设置您需要的内容并围绕它编写策略来以某种方式使用上下文属性。

var context = $evaluation.getContext();
var attributes = context.getAttributes();
var fooValue = attributes.getValue("fooAttribute");

if (fooValue.equals("something")) 
{
   $evaluation.grant();
}
于 2017-06-26T17:54:18.550 回答