Keycloak 为流行的Java 应用程序提供适配器。在本系列的上一篇文章中，我们使用一种适配器演示了Spring Boot 的安全保护。 Keycloak 还提供Spring Security 适配器。在接下来的文章中，我们将学习如何使用Spring Security 适配器。

Keycloak的安装请参考之前的系列教程。

适配器集成

在Spring 应用程序中，我们集成了keycloak-spring-security-adapter：

org.keycloakkeycloak-spring-security-adapter15.0.0 可以像这样集成到Spring Boot 中：

org.springframework.bootspring-boot-starter-securityorg.keycloakkeycloak-spring-boot-starter15.0.0 然后就可以利用Spring Security的特性来集成Keycloak了。 Keycloak 提供了KeycloakWebSecurityConfigurerAdapter 作为创建WebSecurityConfigurer 实例的便捷基类。我们可以编写一个配置类来自定义我们的安全策略，如下所示：

@keycloakconfigurationpublicClassSecurityConfigextendSkeyCloakWebseCurityConfigurerAdapter {/***注册了keycloak authenticationProvider*/@autoWiredPubliredpublicPublicVoidConfigureGlobal（euthenticationManagerbuilglobal） ）;}/***定义会话策略*/@bean@OverRidePretected sessionAuthentIcationsTrategySessionAuthentIcationStrateGy（）{returnNewRegisterSessionAuthentIcationsTrateTrateTrateGy（newsessionSessionRegrympl） ());}/***常用SpringSecurity安全策略*/@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{super.configure(http);http.authorizeRequests().antMatchers('/customers*').hasRole('USER ') .antMatchers('/admin/**').hasRole('base_user').anyRequest().permitAll();}} 注意：以上配置不会成功。

配置完上面的内容后，我们直接启动应用程序，但是结果并没有达到预期：

java.io.FileNotFoundException:UnabletolocateKeycloakconfigurationfile:keycloak.json 抛出找不到keycloak.json 文件的异常。 Keycloak 支持的每个Java 适配器都可以通过一个简单的JSON 文件进行配置，这正是我们所缺少的。

{'领域':'演示'，'资源':'客户门户'，'领域公钥':'MIGfMA0GCSqGSIb3D.31LwIDAQAB'，'auth-server-url':'https://localhost:8443/auth'，' ssl-required':'外部'，'use-resource-role-mappings':false，'enable-cors':true，'cors-max-age':1000，'cors-allowed-methods':'POST，PUT，DELETE ,GET','cors-expose-headers':'WWW-Authenticate,我的自定义暴露标头','仅承载':false,'enable-basic-auth':false,'expose-token':true,' verify-token-audience':true，'凭据':{'秘密':'234234-234234-234234'}，'连接池大小':20，'套接字超时毫秒':5000，'连接超时毫秒':6000，'连接-ttl-millis':500，'禁用信任管理器':假，'允许任何主机名':假，'truststore':'path/to/truststore.jks'，'truststore-password': 'geheim'，'client-keystore':'path/to/client-keystore.jks'，'client-keystore-password':'geheim'，'client-key-password':'geheim'，'令牌最小值-生存时间':10，'jwks-请求之间的最短时间':10，'公钥缓存-ttl':86400，'重定向重写规则':{'^/wsmaster/api/( .*)$':'/api/$1'}} 上面包含的客户端配置属性可以在Keycloak控制台中配置，如下图所示：

配置Keycloak客户端属性

也就是说我们需要的json文件对应图中的配置项。更方便的是我们不需要自己去写这个json文件。 Keycloak提供了下载客户端配置的方法。这里我只使用必要的配置项：

可以下载客户端json配置

引入客户端配置

虽然成功获取了json文件，但是加载json配置并不顺利。经过我的探索，我需要实现一个KeycloakConfigResolver 并注入Spring IoC。有两种实现方法。

复用Spring Boot Adapter配置/***复用springboot的方法**@returnthekeycloakconfigresolver*/@BeanpublicKeycloakConfigResolverkeycloakConfigResolver(){returnnewKeycloakSpringBootConfigResolver();} 然后复用Spring Boot的application.yaml的配置项：

复用Spring Boot配置项

原角色资源映射约束无效。

自定义实现还可以自定义编写和解析。这时候json格式就不再重要了。您可以将json 文件的内容存储在您擅长的任何地方。

/***自己写解析**@returnthekeycloakconfigresolver*/@BeanpublicKeycloakConfigResolverfileKeycloakConfigResolver(){returnnewKeycloakConfigResolver(){@SneakyThrows@OverridepublicKeycloakDeploymentresolve(HttpFacade.Requestrequest){//将json文件放在资源文件夹中ClassPathResourceclassPathResource=newClassP athResource('. /keycloak .json');AdapterConfigadapterConfig=newObjectMapper().readValue(classPathResource.getFile(),AdapterConfig.class);returnKeycloakDeploymentBuilder.build(adapterConfig);}};}

角色命名策略

KeycloakAuthenticationProviderauthenticationProvider=keycloakAuthenticationProvider();au thenticationProvider.setGrantedAuthoritiesMapper (newSimpleAuthorityMapper());

完整的配置

应用程序.yaml:

keycloak:realm:felord.cn#Keycloak授权服务器地址auth-server-url:http://localhost:8011/auth#客户端名称resources:springboot-clientpublic-client:true 这个要和Keycloak导出的json文件结合配置。

Spring Security配置：@KeycloakConfigurationpublicclassSecurityConfigextendsKeycloakWebSecurityConfigurerAdapter{/***复用springboot方法**@returnthekeycloakconfigresolver*/@BeanpublicKeycloakConfigResolverkeycloakConfigResolver(){returnnewKeycloakSpringBootConfigResolver();}/***写自己的解析**@returnthekeycloakconfigresolver*///@BeanpublicKeycloakConfigResolver文件KeycloakConfigResolver() {returnrequest-{//将json文件放入资源文件夹中ClassPathResourceclassPathResource=newClassPathResource('./keycloak.json');AdapterConfigadapterConfig=null;try{adapterConfig=newObjectMapper().readValue(classPathResource.getFile(),AdapterConfig.class );}catch(IOExceptione){e.printStackTrace();}returnKeycloakDeploymentBuilder.build(adapterConfig);};}/***配置{@linkAuthenticationManager}*这里会介绍Keycloak的{@linkAuthenticationProvider}实现**@paramauththeauth* /@AutowiredpublicvoidconfigureGlobal(AuthenticationManagerBuilderauth){KeycloakAuthenticationProviderauthenticationProvider=keycloakAuthenticationProvider();authenticationProvider.setGrantedAuthoritiesMapper(newSimpleAuthorityMapper());auth.authenticationProvider(authenticationProvider);}/***会话认证策略*/@Bean@OverrideprotectedSessionAuthenticationStrategysessionAuthenticationStrategy(){returnnewRegisterSessionAuthenticationStrategy(新的SessionRegistryImpl ());}/***配置会话监听器，确保单次退出生效**@returntheservletlistenerregistrationbean*/@BeanpublicServletListenerRegistrationBeanhttpSessionEventPublisher(){returnnewServletListenerRegistrationBean(newHttpSessionEventPublisher());}@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{super.配置(http) ;http.authorizeRequests().antMatchers('/customers*').hasRole('USER').antMatchers('/admin/**').hasRole('base_user').anyRequest().permitAll ();} }

调用流程

http://localhost:8011/auth/realms/felord.cn/protocol/openid-connect/auth?response_type=codeclient_id=springboot-clientredirect_uri=http%3A%2F%2Flocalhost%3A8080%2Fsso%2Floginstate=ec00d608- 5 ce7-47a0- acc8-8a20a2bfadfdlogin=truescope=openid 输入正确的用户密码后才能得到预期的结果。

典型的授权代码流程。

总结

这里需要整理一下Keycloak集成Spring Security的要点。原生情况下，Keycloak负责客户端配置、用户信息、角色信息；客户端只负责角色和资源之间的映射关系。稍后我们会深入定制Keycloak和Spring Security，以满足实际场景的需求。