Quarkus 和 Keycloak:评估基于范围的权限
Quarkus and Keycloak: evaluate scope based permission
我有一个 REST API,应该使用 Keycloak 来授权传入请求。我在 API.
中配置所需范围时遇到问题
在 Keycloak 中,我为我的 API 定义了一个客户端,一个调用服务的客户端和两个用户。两个用户都有一些领域角色。我的 API 的客户端定义了资源、一些范围(例如读取、删除)、策略和权限。
一种权限允许具有管理员角色的用户对资源执行范围读取和删除。另一个允许具有监视角色的用户读取资源。
我知道我的端点的路径将根据 Keycloak 客户端资源中定义的路径进行检查。
我这里的具体问题是我不知道如何告诉我的端点,他需要哪些范围。
最后我希望有多个端点具有相同的路径但不同的范围(对于每个 HTTP 方法)。
这是我的示例配置:
quarkus.http.port=8080
quarkus.resteasy.path=/api
quarkus.oidc.auth-server-url=https://myUrl:8443/auth/realms/enaq
quarkus.oidc.client-id=rest-api
quarkus.oidc.credentials.secret=secret-string
quarkus.oidc.enabled=true
quarkus.application.name=keycloak-test-api
quarkus.application.version=0.0.1
quarkus.keycloak.policy-enforcer.enable=true
这是一个示例实现:
@Path("/measurements")
public class MeasurementResource {
@Autowired
MeasurementService delegate;
@GET
@Path("/{id}/{from}/{to}/{resolution}")
@Produces(MediaType.APPLICATION_JSON)
public MeasurementHistory getMeasurementHistory(@PathParam("id") String deviceId, @PathParam("from") Long from,
@PathParam("to") Long to, @PathParam("resolution") Integer resolution) {
return delegate.getMeasurementHistory(from, to, resolution, deviceId);
}
}
在我的示例中,我的权限将被评估,但只有管理员可以访问。监控用户将被拒绝,尽管他应该能够阅读。
我有一个 REST API,应该使用 Keycloak 来授权传入请求。我在 API.
中配置所需范围时遇到问题
在 Keycloak 中,我为我的 API 定义了一个客户端,一个调用服务的客户端和两个用户。两个用户都有一些领域角色。我的 API 的客户端定义了资源、一些范围(例如读取、删除)、策略和权限。
一种权限允许具有管理员角色的用户对资源执行范围读取和删除。另一个允许具有监视角色的用户读取资源。
我知道我的端点的路径将根据 Keycloak 客户端资源中定义的路径进行检查。
我这里的具体问题是我不知道如何告诉我的端点,他需要哪些范围。
最后我希望有多个端点具有相同的路径但不同的范围(对于每个 HTTP 方法)。
这是我的示例配置:
quarkus.http.port=8080
quarkus.resteasy.path=/api
quarkus.oidc.auth-server-url=https://myUrl:8443/auth/realms/enaq
quarkus.oidc.client-id=rest-api
quarkus.oidc.credentials.secret=secret-string
quarkus.oidc.enabled=true
quarkus.application.name=keycloak-test-api
quarkus.application.version=0.0.1
quarkus.keycloak.policy-enforcer.enable=true
这是一个示例实现:
@Path("/measurements")
public class MeasurementResource {
@Autowired
MeasurementService delegate;
@GET
@Path("/{id}/{from}/{to}/{resolution}")
@Produces(MediaType.APPLICATION_JSON)
public MeasurementHistory getMeasurementHistory(@PathParam("id") String deviceId, @PathParam("from") Long from,
@PathParam("to") Long to, @PathParam("resolution") Integer resolution) {
return delegate.getMeasurementHistory(from, to, resolution, deviceId);
}
}
在我的示例中,我的权限将被评估,但只有管理员可以访问。监控用户将被拒绝,尽管他应该能够阅读。