我正在尝试使用 Spring 的 Oauth2RestTemplate,但我们需要它在进行 Rest 调用时使用一些超级用户(我们已经定义了用户),而不是通过最初进行服务调用的用户。
所以情况如下:
userA打电话给endpointA. 自然,他有权访问此端点(基于他在 Keycloak 中分配的角色中允许的操作)。 endpointA然后将使用 OAuth2RestTemplate 对另一个服务进行 Rest 调用,endpointB. 但是,userA没有访问该端点的权限。这个调用应该作为一个service-user,在我们的 keycloak 中,他本质上是一个可以做任何事情的超级用户。问题是,OAuth2RestTemplate 保留了进行原始调用的同一用户userA( )。
有没有办法使用访问权限受限的 访问端点,并使用有权访问所有内容userA的 OAuth2RestTemplate 触发 REST 调用?service-user注意:该 OAuth2 信息service-user仍应被检索,就像它仍然一样userA(在 keycloak 中查找)。本质上,这只是我们在进行 REST 调用之前更改用户名(嗯......我认为这就是它所需要的)。
注意:我找到了一种暂时通过这个的方法。那就是在进行 REST 调用之前创建一个新线程。这是因为 Spring 不再有权访问该新线程中的用户安全上下文,从而强制它使用创建 OAuth2RestTemplate 时提供的安全详细信息检索新令牌。这表明另一种解决方案(实际上是首选)是强制 OAuth2RestTemplate 在命中时始终检索新令牌(使用 ResourceDetails,而不是用户令牌的“刷新”),而不是使用存储在 SecurityContextHolder 中的令牌请求的开始。