英文原文：Easily Secure Your Spring Boot Applications With Keycloak

虽然平安性是使用程序的一个关键点，可是在开发中施行起来的确比较费事。愈加费事的是，这个关键点凡是不怎样受注重，完成的后果广泛的 low，并且遭到诸多方面的掣肘。而比来平安Server的呈现，就能够将认证和受权方面的营业逻辑外包和分拨出去。 在这些Server中，最有盼望的是 Keycloak，由于它开放源代码，灵敏，并且将来能合适任何技术亦未可知，它也能够轻松地安排并适应于其本身的根底设备当中。

别的，Keycloak 也不单单是一个身份验证Server，它还供给了完好的身份管理系统，可以完成诸如 LDAP 那样的第三方的用户同盟。可以看看这里。

该项目可以在GitHub上找到。

Spring Boot 和 Keycloak

Keycloak 为需求与 Keycloak 实例交互的使用程序供给适配器。 有效于 WildFly / EAP，NodeJS，JavaScript 的适配器，固然也有效于 Spring Boot 的适配器。

设置 Keycloak 服务

你有多个选项来设置一个 Keycloak Server，但最容易的一个多是获得一个自力的发布。解紧缩，瞧着！ 翻开一个终端，然后切换到你解紧缩的 Keycloak 服务，并从 bin 目次下运转：

./standalone.sh(bat)

然后翻开阅读器，然后转到进入 http://localhost:8080/auth。

因为这是服务的第一次运转，你必需创立一个***账户才行，所以让来我们创立一个***用户，用户名为 admin，密码为 admin：

如今您可以登录到管理把持台并Start设置装备摆设 Keycloak。

创立一个新的 Realm

Keycloak 定义了一个 realm 的观点，而且你将在 realm 中定义客户端，在 Keycloak 中的术语是指由 Keycloak 维护的使用程序。 它可所以 Web App，Java EE 后端，Spring Boot 等等。

所以让我们创立一个新的 realm，只需点击“添加范畴”按钮：

让我们称之为“SpringBoot.”

创立客户端，脚色和用户

如今我们需求定义一个客户端，这就会是我们的 Spring Boot 使用程序。转到“Clients”部分，然后单击“Create”按钮。我们把这个客户端叫做“product-app”：

在接下来的界面上，我们可让大部分工具都保存默许设置，只需求输出一个有效的重定向 URL，让 Keycloak 将其用于用户实行了身份验证以后。这里我们输出这个 URL：“http：// localhost：8081 / *”。

不要忘了把这些设置装备摆设保管下来哦！

如今，我们要把需求分派给用户的脚色定义好。创立一个名为“user”的容易脚色：

最初，我们得创立一个用户。这里只需求用户名属性就能够了，这里我们就叫他“testuser”吧：

最初，我们需求设置一下根据，所以要转到用户的“Credencials（根据）”选项卡界面，并选择一个密码。我会在本文的余下部分运用“password”，还得确保把“Temporary（暂时）”这个标记封闭了，除非你是想要用户可以在初次认证时更改密码。

如今转到“Role Mappings（脚色映照）”选项卡界面来分派“user”这个脚色：

如今我们就完成了 Keycloak Server的设置装备摆设，可以Start构建 Spring Boot App 了！

创立一个容易的 App

让我们来创立一个容易的 Spring Boot App。你或许会想要运用 Spring Initializrr，这时候候要把以下选项给选上：

• Web

• Freemarker

• Keycloak

将你的 App 定名为“product-app”，然后把生成的工程下载下来：

将使用程序导入你爱好运用的 IDE 外面，这里我会运用 IntelliJ。

我们的使用程序会比较容易，只包括两个页面：

• 一个 index.html，它将是登录页面，外面只包括产品页面的链接。

• Products.ftl，它将是我们的产品页面的模板，只能被经过了身份验证的用户拜访到。

起首我们在“/src/resources/static”目次中创立一个容易的 index.html 文件：

<html>

 <head>
   <title>My awesome landing page</title>
 </head>

 <body>
   <h1>Landing page</h1> <a href="/products" rel="external nofollow" >My products</a>
 </body>

</html>

如今，我们需求一个把持器：

@Controller
class ProductController {

  @Autowired ProductService productService;

  @GetMapping(path = "/products")
  public String getProducts(Model model){
     model.addAttribute("products", productService.getProducts());
     return "products";
  }

  @GetMapping(path = "/logout")
  public String logout(HttpServletRequest request) throws ServletException {
     request.logout();
     return "/";
  }
}

你会发明这很容易，就是定义了产品页面的映照，然后再为注销操作定义一个映照。你还会留意到，我们挪用了一个“ProductService”，它会前往一个字符串列表，我们把这个列表放到 Spring MVC Model 工具外面去，所以我们要创立这个服务：

@Component
class ProductService {
  public List<String> getProducts() {
     return Arrays.asList("iPad","iPod","iPhone");
  }
}

我们还需求创立 product.ftl 模板。要在“src/resources/templates”中创立此文件：

<#import "/spring.ftl" as spring>
   <html>
   <h1>My products</h1>
   <ul>
       <#list products as product>
           <li>${product}</li>
       </#list>
   </ul>
   <p> <a href="/logout" rel="external nofollow" >Logout</a> </p>

   </html>

在这里，我们容易地遍历了 Spring MVC Model 工具中的产品列表，并添加一个从我们的使用程序中注销的链接。

我们要做的就是向 application.properties 中添加一些 keycloak 相干的属性。

定义 Keycloak 的设置装备摆设

一些属性是必需要有的：

keycloak.auth-server-url=http://localhost:8080/auth keycloak.realm=springboot keycloak.public-client=true keycloak.resource=product-app

我们需求定义一些平安方面的束缚，就像你在 web.xml 中运用 Java EE 使用的时分要实行的设置装备摆设一样：

keycloak.security-constraints[0].authRoles[0]=user keycloak.security-constraints[0].securityCollections[0].patterns[0]=/products/*

在这里，我们容易地定义每一个向 /products/* 倡议的恳求都应当经过用户验证，并且该用户得有“user”这个脚色。

如今，我们只需求设置装备摆设最初一个属性来确保我们的使用程序将会在端口8081上运转：

server.port=8081

如许我们就都设置好了，可以把使用程序运转起来了！

要运转这个 Spring Boot 使用程序，有非常多方法可以选择。运用 Maven 的话，你可以容易地像下面如许做就好了：

mvn clean spring-boot:run

如今导航到“http//localhost8080”，你应当就能够看到登录页面你了。点击“products”链接，会被重定向到 Keycloak 登录页面：

运用我们的用户“testuser/password”实行登录，应当会重定向到产品页面：

祝贺哦！如今你曾经运用 Keycloak 为你的第一个 Spring Boot 使用程序加入了防护办法。如今注销并前往到 Keycloak ***把持台，你就会晓得怎么去“调剂”登录页面。例如，您可以启用“Remember Me（记着我）”和“User Registration（用户注册）”功用。为此，请点击保管按钮并前往到登录界面。在那边你会这些功用曾经添加入了。

引入 Spring Security 支撑

假如你是 Spring 用户并且不断在玩平安方面的工具的话，那末很有可能就会要用到 Spring Security。而我这里有一个好音讯：我们另有一个 Keycloak Spring Security Adapter，并且它曾经被包括在我们的 Spring Boot Keycloak Starter 中了。

我们来看看怎么将 Spring Security 和 Keycloak 放到一同运用。

添加 Spring Security Starter

起首，我们需求 Spring Security 的库。最轻易的办法就是将 spring-boot-starter-security  的 artifact 添加到你的 pom.xml 中:

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

创立一个 SecurityConfig 类

同其它的失掉 Spring Security 防护的使用程序一样, 这里也需求一个扩大自 WebSecurityConfigurerAdapter 的设置装备摆设类。Keycloak 供给了它本人的一个子类来给你实行再次承继：

@Configuration
@EnableWebSecurity
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter
{
  /**
   * Registers the KeycloakAuthenticationProvider with the authentication manager.
   */
  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
     KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
     keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper());
     auth.authenticationProvider(keycloakAuthenticationProvider);
  }

  @Bean
  public KeycloakConfigResolver KeycloakConfigResolver() {
     return new KeycloakSpringBootConfigResolver();
  }

  /**
   * Defines the session authentication strategy.
   */
  @Bean
  @Override
  protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
     return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
  }

  @Override
  protected void configure(HttpSecurity http) throws Exception
  {
     super.configure(http);
     http
           .authorizeRequests()
           .antMatchers("/products*").hasRole("user")
           .anyRequest().permitAll();
  }
}

让我们来细心看看最主要的几个办法：

• configureGlobal: 这里我们修正 Granted Authority Mapper。在 Spring Security 中脚色都默许带上了前缀 ROLE_。我们可以在我们的 Realm 设置装备摆设中把这个改掉，不外如许做会让其它不晓得这个商定的使用程序觉得迷惑, 所以这里我们分派了一个 SimpleAuthorityMapper 来确保不会有前缀被加入去。

• keycloakConfigResolver: Keycloak Spring Security Adapter 默许会从你的 classpath 中找一个叫做 keycloak.json 的文件。不外这里我们其实不像要应用上 Spring Boot 的属性文件支撑。

• configure: 这就是我们定义平安限制的地方。这个相当轻易了解。我们要做的就是把带有“user” 脚色的途径 “/products” 给维护起来。

如今我们可以在我们的 application.properties 文件中将之前曾经定义的平安限制给去掉了，然后添加别的一个属性来将我们的 KeyCloak 用户名映照到 Principal 称号上去：

keycloak.principal-attribute=preferred_username

如今我们设置可以将规矩诸如到我们的把持器办法中去，而且将用户名放到 Spring 的 MVC model 中:

@GetMapping(path = "/products")
public String getProducts(Principal principal, Model model){
  model.addAttribute("principal",principal);
  model.addAttribute("products", productService.getProducts());
  return "products";
}

最初，我们可以更新 product.ftl 模板，来把用户名打印出来：

<#import "/spring.ftl" as spring>
   <html>
   <h1>Hello ${principal.getName()}</h1>
   <ul>
       <#list products as product>
           <li>${product}</li>
       </#list>
   </ul>
   <p> <a href="/logout" rel="external nofollow" >Logout</a> </p>

   </html>

再一次重启你的 App，可以看到它依然可以运转起来，你也应当能看到你的用户打印在了产品页面之上：

本文中的一切译文仅用于进修和交换目标，转载请务必注明文章译者、出处、和本文链接。 2KB翻译任务按照 CC 协议，假如我们的任务有进犯到您的权益，请实时联络我们。

2KB项目（www.2kb.com，源码交易平台）,提供担保交易、源码交易、虚拟商品、在家创业、在线创业、任务交易、网站设计、软件设计、网络兼职、站长交易、域名交易、链接买卖、网站交易、广告买卖、站长培训、建站美工等服务