吊炸天授權(quán)碼多少錢（吊炸天的可視化安全框架）

原文鏈接：https://mp.weixin.qq.com/s/yXSVbgkYIcJWPe4n2hSeUA原作者：macrozheng之前我們?cè)趯W(xué)習(xí)Oauth2的時(shí)候，需要通過寫代碼來實(shí)現(xiàn)認(rèn)證授權(quán)服務(wù)。最近發(fā)現(xiàn)一款可視化的安全框架Keyc

原文鏈接：https://mp.weixin.qq.com/s/yXSVbgkYIcJWPe4n2hSeUA

原作者：macrozheng

之前我們?cè)趯W(xué)習(xí)Oauth2的時(shí)候，需要通過寫代碼來實(shí)現(xiàn)認(rèn)證授權(quán)服務(wù)。最近發(fā)現(xiàn)一款可視化的安全框架Keycloak，只需幾個(gè)命令就可以快速搭建認(rèn)證授權(quán)服務(wù)，無(wú)需自行開發(fā)。原生支持SpringBoot，使用起來非常簡(jiǎn)單，推薦給大家！

簡(jiǎn)介

Keycloak是一款開源的認(rèn)證授權(quán)平臺(tái)，在Github上已有9.4k+Star。Keycloak功能眾多，可實(shí)現(xiàn)用戶注冊(cè)、社會(huì)化登錄、單點(diǎn)登錄、雙重認(rèn)證 、LDAP集成等功能。

安裝

使用Docker搭建Keycloak服務(wù)非常簡(jiǎn)單，兩個(gè)命令就完事了，我們將采用此種方式。

• 首先下載Keycloak的Docker鏡像，注意使用jboss的鏡像，官方鏡像不在DockerHub中；

docker pull jboss/keycloak:14.0.0 

• 使用如下命令運(yùn)行Keycloak服務(wù)：

docker run -p 8080:8080 --name keycloak  -e KEYCLOAK_USER=admin  -e KEYCLOAK_PASSWORD=admin  -d jboss/keycloak:14.0.0 

• 運(yùn)行成功后可以通過如下地址訪問Keycloak服務(wù)，點(diǎn)擊圈出來的地方可以訪問管理控制臺(tái)，訪問地址：http://192.168.7.142:8080

控制臺(tái)使用

接下來我們來體驗(yàn)下Keycloak的管理控制臺(tái)，看看這個(gè)可視化安全框架有什么神奇的地方。

• 首先輸入我們的賬號(hào)密碼admin:admin進(jìn)行登錄；

• 登錄成功后進(jìn)入管理控制臺(tái)，我們可以發(fā)現(xiàn)Keycloak是英文界面，良心的是它還支持多國(guó)語(yǔ)言（包括中文），只要將Themes->Default Locale改為zh-CN即可切換為中文；

• 修改完成后保存并刷新頁(yè)面，Keycloak控制臺(tái)就變成中文界面了；

• Keycloak非常良心的給很多屬性都添加了解釋，而且還是中文的，基本看下解釋就可以知道如何使用了；

• 在我們開始使用Keycloak保護(hù)應(yīng)用安全之前，我們得先創(chuàng)建一個(gè)領(lǐng)域（realm），領(lǐng)域相當(dāng)于租戶的概念，不同租戶之間數(shù)據(jù)相互隔離，這里我們創(chuàng)建一個(gè)macrozheng的領(lǐng)域；

• 接下來我們可以在macrozheng領(lǐng)域中去創(chuàng)建用戶，創(chuàng)建一個(gè)macro用戶；

• 之后我們編輯用戶的信息，在憑據(jù)下設(shè)置密碼；

• 創(chuàng)建完用戶之后，就可以登錄了，用戶和管理員的登錄地址并不相同，我們可以在客戶端頁(yè)面中查看到地址；

• 訪問該地址后即可登錄，訪問地址：http://192.168.7.142:8080/auth/realms/macrozheng/account

• 用戶登錄成功后即可查看并修改個(gè)人信息。

結(jié)合Oauth2使用

OAuth 2.0是用于授權(quán)的行業(yè)標(biāo)準(zhǔn)協(xié)議，在《Spring Cloud Security：Oauth2使用入門》一文中我們?cè)敿?xì)介紹了Oauth2的使用，當(dāng)然Keycloak也是支持的，下面我們通過調(diào)用接口的方式來體驗(yàn)下。

兩種常用的授權(quán)模式

我們?cè)倩仡櫹聝煞N常用的Oauth2授權(quán)模式。

授權(quán)碼模式

• (A)客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器；
• (B)用戶在認(rèn)證服務(wù)器進(jìn)行登錄并授權(quán)；
• (C)認(rèn)證服務(wù)器返回授權(quán)碼給客戶端；
• (D)客戶端通過授權(quán)碼和跳轉(zhuǎn)地址向認(rèn)證服務(wù)器獲取訪問令牌；
• (E)認(rèn)證服務(wù)器發(fā)放訪問令牌（有需要帶上刷新令牌）。

密碼模式

• (A)客戶端從用戶獲取用戶名和密碼；
• (B)客戶端通過用戶的用戶名和密碼訪問認(rèn)證服務(wù)器；
• (C)認(rèn)證服務(wù)器返回訪問令牌（有需要帶上刷新令牌）。

密碼模式體驗(yàn)

• 首先需要在Keycloak中創(chuàng)建客戶端mall-tiny-keycloak；

• 然后創(chuàng)建一個(gè)角色mall-tiny；

• 然后將角色分配給macro用戶；

• 一切準(zhǔn)備就緒，在Postman中使用Oauth2的方式調(diào)用接口就可以獲取到Token了，獲取token的地址：http://192.168.7.142:8080/auth/realms/macrozheng/protocol/openid-connect/token

結(jié)合SpringBoot使用

接下來我們體驗(yàn)下使用Keycloak保護(hù)SpringBoot應(yīng)用的安全。由于Keycloak原生支持SpringBoot，所以使用起來還是很簡(jiǎn)單的。

• 由于我們的SpringBoot應(yīng)用將運(yùn)行在localhost:8088上面，我們需要對(duì)Keycloak的客戶端的有效的重定向URI進(jìn)行配置；

• 接下來我們需要修改應(yīng)用的pom.xml，集成Keycloak；

      org.keycloak     keycloak-spring-boot-starter     14.0.0  

• 再修改應(yīng)用的配置文件application.yml，具體屬性參考注釋即可，需要注意的是給路徑綁定好可以訪問的角色；

# Keycloak相關(guān)配置 keycloak:   # 設(shè)置客戶端所在領(lǐng)域   realm: macrozheng   # 設(shè)置Keycloak認(rèn)證服務(wù)訪問路徑   auth-server-url: http://192.168.7.142:8080/auth   # 設(shè)置客戶端ID   resource: mall-tiny-keycloak   # 設(shè)置為公開客戶端，不需要秘鑰即可訪問   public-client: true   # 配置角色與可訪問路徑的對(duì)應(yīng)關(guān)系   security-constraints:     - auth-roles:         - mall-tiny       security-collections:         - patterns:             - '/brand/*'             - '/swagger-ui/*' 

• 接下來訪問下應(yīng)用的Swagger頁(yè)面，訪問的時(shí)候會(huì)跳轉(zhuǎn)到Keycloak的控制臺(tái)去登錄，訪問地址：http://localhost:8088/swagger-ui/

• 登錄成功后，即可訪問被保護(hù)的Swagger頁(yè)面和API接口，一個(gè)很標(biāo)準(zhǔn)的Oauth2的授權(quán)碼模式，流程參考授權(quán)碼模式的說明即可。

總結(jié)

Keycloak是一款非常不錯(cuò)的可視化安全框架，讓我們無(wú)需搭建認(rèn)證服務(wù)即可完成認(rèn)證和授權(quán)功能。原生支持SpringBoot，基本無(wú)需修改代碼即可集成，不愧為現(xiàn)代化的安全框架！

參考資料

• Keycloak官方文檔：https://www.keycloak.org/getting-started/getting-started-docker
• 保護(hù)SpringBoot應(yīng)用安全：https://www.keycloak.org/docs/latest/securing_apps/index.html#_spring_boot_adapter

項(xiàng)目源碼地址

https://github.com/macrozheng/mall-learning/tree/master/mall-tiny-keycloak