6

我正在尝试做的事情:

  1. 我有一个接受登录凭据的应用程序:用户的用户名和密码。我有一个内部调用 keycloak REST API 的 api:/auth/realms/realmname/protocol/openid-connect/token 并获取该用户的访问令牌。

  2. 现在我正在构建另一个 REST API 来访问我想要执行以下操作的资源: doSomething(accesstoken, data)

    {

    一个)call keycloak API to validate access token and get roles.

    b)如果角色==经理,流程(数据)

    c) 其他:返回错误信息。

    }

现在,我该怎么做 (a):验证访问令牌并获取与之关联的角色。我知道我们可以这样做:auth/realms/realmname/protocol/openid-connect/userinfo 但这仅提供有关用户的详细信息,例如姓名、电子邮件等,但不显示任何角色。这是我得到的一个例子:

{
    "name": "test user",
    "sub": "e2bad34d-a1a9-4d70-ac84-bd3a3246023e",
    "email_verified": false,
    "preferred_username": "user",
    "given_name": "test",
    "family_name": "user"
}

正如所见,它根本没有给出角色。然后,我如何判断此访问令牌具有哪些角色?有趣的是,当我搜索这个时,许多资源都在建议上面的 userinfo 端点。但这只是告诉我我提供的访问令牌是有效的。不为此提供角色。换句话说 - 它验证但不授权。

请建议。

谢谢, 阿南德

4

3 回答 3

10

在 Keycloak 管理控制台中,您可以在客户端下配置 Mappers。添加“用户领域角色”类型的内置映射器,然后打开其配置,例如,如果需要,更改令牌声明名称。

客户端角色可以类似地配置,但默认情况下,它们在名为 resource_access.${client_id}.roles 的令牌中返回

在客户端,您可以解析令牌以查找角色。例如,在 Angular 应用程序中并使用 keycloak-angular 适配器,您可以通过调用 keycloak.getKeycloakInstance().tokenParsed 将令牌作为 json 对象。

在 Spring Boot 应用程序中并使用 Keycloak java api,您可以在以下类 https://www.keycloak.org/docs-api/10.0/javadocs/org/keycloak/representations中的“otherClaim”字段下找到角色/AccessTokenResponse.html

在这两种表示中,您都会在客户端映射器配置中定义的“令牌声明名称”下找到角色

于 2020-06-13T12:08:33.450 回答
2

此外,如果不允许使用完整范围,则需要将相关角色添加到范围中,以便它们可以出现在令牌中。

在此处输入图像描述

于 2020-11-30T00:34:33.987 回答
0

在角色部分添加角色后,需要将可用角色移动到相应客户端部分的范围选项卡的分配角色中。

[1]:https://i.stack.imgur.com/rPI0V.png

于 2021-05-19T15:49:14.207 回答