17.1遠程資源授權準備
17.1.1認證和訪問流程圖
參考:http://www.zyiz.net/tech/detail-141309.html
17.1.2爲用戶指定角色
可以使用ROLE_USER和ROLE_ADMIN 兩種角色
17.1.3添加認證服務和資源服務
17.1.4配置客戶端的認證權限
17.1.5資源服務器打開遠程授權
Policy Enforcement Mode:指定授權服務器接受到請求時策略如何執行
- Enforcing:當資源沒有配置關聯的策略時,請求默認被拒絕訪問,這也是默認的選項
- Permissive:當資源沒有配置關聯的策略時,請求允許訪問,但也需要先登錄,否則拒絕訪問
- Disabled:禁用所有資源的所有訪問策略
Decision Strategy:表示權限最終是如何計算的策略,以決定相應的資源是否能獲得授權
- Affirmative :至少一個權限計算做出正向決定
- Unanimous:所有的權限計算都要做出正向決定
17.1.6配置資源客戶端的uma_protection角色
這一步非常重要,如果沒有配置,遠程授權會是403
這個參考資料:https://stackoverflow.com/questions/47199243/spring-keycloak-adapter-permissions-policy-enforcer-how-to-set-it-up
17.1.7資源和權限及策略關係圖
17.2對資源授權的步驟
17.2.1建立資源
17.2.2建立策略
17.2.3建立權限
一個權限用關聯一個資源和多個策略
遠程授權配置
keycloak:
auth-server-url: http://localhost:8080/auth
realm: myrealm
resource: resource-server
credentials:
secret: 0da76edf-e2df-49a9-a336-6b9bc35afa7e
policy-enforcer-config:
enforcement-mode: ENFORCING
security-constraints:
- auth-roles:
- "*"
security-collections:
- name:
patterns:
- /*
