我想使用Keycloak和Bearer令牌在我的Java REST端点中对用户进行身份验证.
我想要实现的工作流程如下:
'Authorization' : 'Bearer <token>'标头执行Http请求.1,2,3和5已经实现并正常工作但我找不到实现方法4.
我已经尝试过不同的方法:
我的Java端点在WildFly 10.x上发布的EAR中运行,所以我security-constraint在我的web.xml配置Keycloak中使用了一个keycloak.json.
这工作正常,但我需要在同一个Web上下文中保留一些REST端点公开(即使没有'授权'标题也可访问),据我所知,我无法过滤安全约束中的某些请求.
我尝试实现一个BearerTokenRequestAuthenticator绝对没有成功,即使我可以,我不认为我会收到一个校长作为我的身份验证请求.
现在我已经实现了一种过滤请求的方法,那些需要身份验证的方法被ServiceSecurityInterceptor我实现的类拦截.
在该类的某个时刻,我检查'Authorization'标题是否包含a Basic或Bearer:
User loggedUser = null;
if (authorizationType.equals("Basic")) {
// ... decode Base64 username and password ...
loggedUser = userManagerBean.login(username, password);
} else if (authorizationType.equals("Bearer")) {
String token = ...; // Get token from header
// ... Here is where I need to send the token …