目录
- Github
- Keycloak介绍
- Keycloak配置
- Spring Security集成Keycloak
- 启动Keycloak客户端
- SSO授权码模式访问过程
- 总结
在企业众多的应用系统中,如果每个应用都有独立的用户认证和权限管理,这不仅需要维护多套用户管理系统,用户使用每个系统也非常的不便。如果能够将所有应用系统的用户集中管理,用户使用一套用户名登录所有系统,将会大大改善用户体验。下面将基于Keycloak搭建单点登录系统。
GitHub
Keycloak介绍
Keycloak是为现代应用和服务提供了开源IAM(Identity and Access Management)解决方案。下面简单的介绍几种功能:
- SSO
通过Keycloak处理用户认证,意味着你的应用不需要处理登录界面,认证用户,存储用户信息。一旦登录Keycloak, 用户不需要再次登录Keycloak管理下的其它应用。实现一次登录,多处登录不同应用,一处登出,所有应用登出。 -
Identity Brokering and Social Login
Keycloak通过配置,可实现对不同身份认证服务的集成,通过这些身份认证服务登录应用。
-
User Federation
在企业系统中有使用LDAP/AD管理用户,同样,Keycloak 提供了对LDAP/AD的集成方案,可以方便的同步用户。
- Client Adapters
Keycloak提供了不同平台多种语言的支持,支持标准的OpenID Connect, OAuth 2.0, and SAML等。 -
后台管理
Keycloak不仅提供了后台管理界面,同时还有CLI,和RESTFul API方式管理后台。
- 集群方案
Keycloak Setup
-
创建Client: login-app, login-backup
-
创建client Roles
-
创建用户, 并分配角色
如果需要获取所有用户信息,配置realm-management
- 启动Keycloak standalone 模式,端口号为8180
如果需要配置连接postgresql,请参考Github./standalone.sh -Djboss.socket.binding.port-offset=100
Spring Security集成Keycloak
- 配置application.properties
其中keycloak.resource根据不同的client配置不同的变量,内容请参考Keycloak client installation,如下图keycloak.realm=demo keycloak.resource=login-app keycloak.auth-server-url=http://localhost:8180/auth keycloak.ssl-required=external keycloak.public-client=true keycloak.use-resource-role-mappings=true keycloak.confidential-port=0 keycloak.principal-attribute=preferred_username
启动Keycloak客户端
- 启动client: login-app, login-backup,端口号分别为8081,8082,在keycloak client 配置页面 ‘Valid Redirect URIs’ 填写相应的端口号
java -Dserver.port=8081 -jar login-app.jar java -Dserver.port=8082 -jar login-backup.jar
SSO授权码模式访问过程
- 访问login-app,图中http://rp.example.com,当浏览器登录Keycloak(OP)后,会在浏览器保存KEYCLOAK_SESSION
- 当访问login-backup时,图中http://rp-2.example.com,浏览器将KEYCLOAK_SESSION一起请求Keycloak(OP), Keycloak(OP)根据KEYCLOAK_SESSION判断用户已登录,直接授权,不需要用户再次输入用户名和密码。
-
登录login-app页面跳转,包的抓取
总结
- keycloak有对应的单点登出,通过postman请求测试
- 集成LDAP,测试可进行连接,用户属性Map,并可选择用户数据同步方式
- 使用keycloak docker时偶尔不能获取client role, 没有解决
- 使用keycloak docker时不能获取用户列表, 没有解决,即使配置了相应的获取权限
- keycloak session没有持久化的postgresql数据库中,没有解决
