如何获取访问令牌中的角色:keycloak
tec*_*amp 5 oauth-2.0 openid-connect keycloak keycloak-gatekeeper
我正在尝试做的事情:
我有一个接收登录凭据的应用程序:用户的用户名和密码。我有一个 rest api,它在内部调用 keycloak REST API:/auth/realms/realmname/protocol/openid-connect/token 并获取该用户的访问令牌。
现在我正在构建另一个 REST API 来访问我想要执行以下操作的资源:doSomething(accesstoken, data)
{
一种)
call keycloak API to validate access token and get roles.b) 如果角色 == 经理,流程(数据)
c) 其他:返回错误信息。
}
现在,我该怎么做 (a):验证访问令牌并获取与之关联的角色。我知道我们可以这样做:auth/realms/realmname/protocol/openid-connect/userinfo 但这仅提供有关用户的详细信息,如姓名、电子邮件等,但不显示任何角色。这是我得到的一个例子:
{
"name": "test user",
"sub": "e2bad34d-a1a9-4d70-ac84-bd3a3246023e",
"email_verified": false,
"preferred_username": "user",
"given_name": "test",
"family_name": "user"
}
正如所见,它根本没有给出角色。然后我如何知道这个访问令牌有什么角色?有趣的是,当我搜索这个时,很多资源都在建议上述 userinfo 端点。但这只是告诉我我提供的访问令牌是有效的。不给角色。换句话说 - 它进行身份验证但不授权。
请建议。
谢谢,阿南德
在 Keycloak 管理控制台中,您可以在客户端下配置映射器。添加一个“用户领域角色”类型的内置映射器,然后打开其配置,例如,如果需要,更改令牌声明名称。
客户端角色可以类似地配置,但它们默认在名称为 resource_access.${client_id}.roles 的令牌中返回
在客户端,您可以解析令牌以查找角色。例如,在 angular 应用程序中并使用 keycloak-angular 适配器,您可以通过调用 keycloak.getKeycloakInstance().tokenParsed 将令牌作为 json 对象。
在 Spring Boot 应用程序中并使用 Keycloak java api,您可以在以下类中的“otherClaim”字段下找到角色 https://www.keycloak.org/docs-api/10.0/javadocs/org/keycloak/representations /AccessTokenResponse.html
在这两种表示中,您都会在客户端映射器配置中定义的“令牌声明名称”下找到角色
| 归档时间: |
|
| 查看次数: |
9826 次 |
| 最近记录: |