Keycloak快速上手指南，只需10分鐘即可接入Spring Boot/Vue前後端分離應用實現SSO單點登入

vigoz發表於2020-06-02

登入及身份認證是現代web應用最基本的功能之一，對於企業內部的系統，多個系統往往希望有一套SSO服務對企業使用者的登入及身份認證進行統一的管理，提升使用者同時使用多個系統的體驗，Keycloak正是為此種場景而生。本文將簡明的介紹Keycloak的安裝、使用，並給出目前較流行的前後端分離應用如何快速接入Keycloak的示例。

Keycloak是什麼

Keycloak是一種面向現代應用和服務的開源IAM（身份識別與訪問管理）解決方案

Keycloak提供了單點登入（SSO）功能，支援OpenID Connect、OAuth 2.0、SAML 2.0標準協議，擁有簡單易用的管理控制檯，並提供對LDAP、Active Directory以及Github、Google等社交賬號登入的支援，做到了非常簡單的開箱即用。

Keycloak常用核心概念介紹

首先通過官方的一張圖來了解下整體的核心概念

keycloak-core-concepts

這裡先只介紹4個最常用的核心概念：

Users: 使用者，使用並需要登入系統的物件
Roles: 角色，用來對使用者的許可權進行管理
Clients: 客戶端，需要接入Keycloak並被Keycloak保護的應用和服務
Realms: 領域，領域管理著一批使用者、證照、角色、組等，一個使用者只能屬於並且能登陸到一個域，域之間是互相獨立隔離的，一個域只能管理它下面所屬的使用者

Keycloak服務安裝及配置

安裝Keycloak

Keycloak安裝有多種方式，這裡使用Docker進行快速安裝

docker run -d --name keycloak \
    -p 8080:8080 \
    -e KEYCLOAK_USER=admin \
    -e KEYCLOAK_PASSWORD=admin \
    jboss/keycloak:10.0.0

訪問http://localhost:8080並點選Administration Console進行登入

keycloak-web-home

建立Realm

建立一個新的realm: demo，後續所有的客戶端、使用者、角色等都在此realm中建立

keycloak-web-add-realm-1

keycloak-web-add-realm-2

keycloak-web-add-realm-3

建立客戶端

建立前端應用客戶端

建立一個新的客戶端：vue-demo，Access Type選擇public

keycloak-web-add-client-1

建立後端應用客戶端

建立一個新的客戶端：spring-boot-demo，Access Type選擇bearer-only

keycloak-web-add-client-2

儲存之後，會出現Credentials的Tab，記錄下這裡的secret，後面要用到

keycloak-web-add-client-3

關於客戶端的訪問型別（Access Type）

上面建立的2個客戶端的訪問型別分別是public、bearer-only，那麼為什麼分別選擇這種型別，實際不同的訪問型別有什麼區別呢？

事實上，Keycloak目前的訪問型別共有3種：

confidential：適用於服務端應用，且需要瀏覽器登入以及需要通過金鑰獲取access token的場景。典型的使用場景就是服務端渲染的web系統。

public：適用於客戶端應用，且需要瀏覽器登入的場景。典型的使用場景就是前端web系統，包括採用vue、react實現的前端專案等。

bearer-only：適用於服務端應用，不需要瀏覽器登入，只允許使用bearer token請求的場景。典型的使用場景就是restful api。

建立使用者和角色

建立角色

建立2個角色：ROLE_ADMIN、ROLE_CUSTOMER

keycloak-web-add-role

建立使用者

建立2個使用者：admin、customer

keycloak-web-add-user

繫結使用者和角色

給admin使用者分配角色ROLE_ADMIN

keycloak-web-add-user-role-1

給customer使用者分配角色ROLE_CUSTOMER

keycloak-web-add-user-role-2

Vue應用整合Keycloak簡明指南

建立vue專案

vue create vue-demo

新增官方Keycloak js介面卡

npm i keycloak-js --save
npm i axios --save

main.js

import Vue from 'vue'
import App from './App.vue'
import Keycloak from 'keycloak-js'

Vue.config.productionTip = false

// keycloak init options
const initOptions = {
  url: 'http://127.0.0.1:8080/auth',
  realm: 'demo',
  clientId: 'vue-demo',
  onLoad:'login-required'
}

const keycloak = Keycloak(initOptions)

keycloak.init({ onLoad: initOptions.onLoad, promiseType: 'native' }).then((authenticated) =>{
  if(!authenticated) {
    window.location.reload();
  } else {
    Vue.prototype.$keycloak = keycloak
    console.log('Authenticated')
  }

  new Vue({
    render: h => h(App),
  }).$mount('#app')

  setInterval(() =>{
    keycloak.updateToken(70).then((refreshed)=>{
      if (refreshed) {
        console.log('Token refreshed');
      } else {
        console.log('Token not refreshed, valid for '
            + Math.round(keycloak.tokenParsed.exp + keycloak.timeSkew - new Date().getTime() / 1000) + ' seconds');
      }
    }).catch(error => {
      console.log('Failed to refresh token', error)
    })
  }, 60000)

}).catch(error => {
  console.log('Authenticated Failed', error)
})

HelloWorld.vue

<template>
  <div class="hello">
    <h1>{{ msg }}</h1>
    <div>
      <p>
        current user: {{user}}
      </p>
      <p>
        roles: {{roles}}
      </p>
      <p>
        {{adminMsg}}
      </p>
      <p>
        {{customerMsg}}
      </p>
    </div>
  </div>
</template>

<script>
import axios from 'axios'

export default {
  name: 'HelloWorld',
  props: {
    msg: String
  },
  data() {
    return {
      user: '',
      roles: [],
      adminMsg: '',
      customerMsg: ''
    }
  },
  created() {
    this.user = this.$keycloak.idTokenParsed.preferred_username
    this.roles = this.$keycloak.realmAccess.roles

    this.getAdmin()
            .then(response=>{
              this.adminMsg = response.data
            })
            .catch(error => {
              console.log(error)
            })

    this.getCustomer()
            .then(response => {
              this.customerMsg = response.data
            })
            .catch(error => {
              console.log(error)
            })
  },
  methods: {
    getAdmin() {
      return axios({
        method: 'get',
        url: 'http://127.0.0.1:8082/admin',
        headers: {'Authorization': 'Bearer ' + this.$keycloak.token}
      })
    },
    getCustomer() {
      return axios({
        method: 'get',
        url: 'http://127.0.0.1:8082/customer',
        headers: {'Authorization': 'Bearer ' + this.$keycloak.token}
      })
    }
  }
}
</script>

getAdmin()及getCustomer()這2個方法內部分別請求restful api

Spring Boot應用整合Keycloak簡明指南

新增Keycloak Maven依賴

<dependency>
    <groupId>org.keycloak</groupId>
    <artifactId>keycloak-spring-boot-starter</artifactId>
    <version>10.0.0</version>
</dependency>

Spring Boot配置檔案

官方文件及網上大部分示例使用的都是properties格式的配置檔案，而yaml格式的配置檔案相對更簡潔清晰些，此示例使用yaml格式的配置檔案，內容如下

server:
  port: 8082
keycloak:
  realm: demo
  auth-server-url: http://127.0.0.1:8080/auth
  resource: spring-boot-demo
  ssl-required: external
  credentials:
    secret: 2d2ab498-7af9-48c0-89a3-5eec929e462b
  bearer-only: true
  use-resource-role-mappings: false
  cors: true
  security-constraints:
    - authRoles:
        - ROLE_CUSTOMER
      securityCollections:
        - name: customer
          patterns:
            - /customer
    - authRoles:
        - ROLE_ADMIN
      securityCollections:
        - name: admin
          patterns:
            - /admin

除了幾個必填的配置項外，另外需要注意的幾個配置項如下

credentials.secret：上文新增客戶端後Credentials Tab內對應的內容

bearer-only：設定為true，表示此應用的Keycloak訪問型別是bearer-only

cors：設定為true表示允許跨域訪問

security-constraints：主要是針對不同的路徑定義角色以達到許可權管理的目的

/customer：只允許擁有ROLE_CUSTOMER角色的使用者才能訪問
/admin：只允許擁有ROLE_ADMIN角色的使用者才能訪問
未配置的路徑表示公開訪問

Controller內容

@RestController
public class HomeController {
    @RequestMapping("/")
    public String index() {
        return "index";
    }

    @RequestMapping("/customer")
    public String customer() {
        return "only customer can see";
    }

    @RequestMapping("/admin")
    public String admin() {
        return "only admin cas see";
    }
}

專案效果演示

分別啟動前後端專案後，本地8081埠對應vue前端專案，本地8082埠對應Spring Boot實現的restful api專案

首次訪問vue前端專案

第一次訪問vue專案會跳轉Keycloak登入頁

keycloak-demo-1

登入admin使用者

keycloak-demo-2

登入customer使用者

keycloak-demo-3

總結

Keycloak部署及接入簡單，輕量的同時功能又不失強大，非常適合企業內部的SSO方案。

本文示例專案地址：keycloak-demo

企業快速開發平臺Spring Cloud實現前後端分離之CAS SSO單點登入服務端環境搭建
2021-12-10
SpringCloud後端服務端
aspnetcore 應用接入Keycloak快速上手指南
2021-05-10
NetCore
實戰！Spring Boot Security+JWT前後端分離架構登入認證！
2021-12-04
Spring BootJWT後端架構
實戰！spring Boot security+JWT 前後端分離架構認證登入！
2021-11-30
Spring BootJWT後端架構
使用Vue,Spring Boot,Flask,Django 完成Vue前後端分離開發(二)
2018-08-01
VueSpring BootFlaskDjango後端
記一次Spring boot 和Vue前後端分離的入門培訓
2019-02-12
Spring BootVue後端
Django + Taro 前後端分離專案實現企業微信登入
2022-04-06
Django後端
利用Spring boot+react快速搭建一個部落格站點(前後端完全分離)
2016-11-28
Spring BootReact後端
vue前後端分離修改webpack
2018-11-29
Vue後端Web
實現前後端分離的心得
2018-08-31
後端
Vue+Spring Boot 前後端分離的商城專案開源啦！
2020-08-13
VueSpring Boot後端
Django+Vue.js搭建前後端分離專案 web前後端分離專案實踐
2017-11-01
DjangoVue.js後端Web
前後端分離使用 Token 登入解決方案
2018-08-24
後端
springBoot整合spring security+JWT實現單點登入與許可權管理前後端分離--築基中期
2020-09-04
Spring BootJWT後端
前後端分離Ajax入門
2024-03-15
後端
Spring Boot + Vue 前後端分離，兩種檔案上傳方式總結
2019-04-28
Spring BootVue後端
oracle 前10分鐘後10分鐘
2013-04-17
Oracle
Spring Security 前後端分離登入，非法請求直接返回 JSON
2019-10-10
Spring後端JSON
10分鐘快速上手angular cdk
2018-04-07
Angular
前後端分離的優缺點
2019-02-27
後端
前後端分離，最佳實踐
2016-11-07
後端
前後端分離實踐有感
2018-01-14
後端
前後端分離，我怎麼就選擇了 Spring Boot + Vue 技術棧？
2020-01-20
後端Spring BootVue
Spring Boot前後端分離專案Session問題解決
2020-10-16
Spring Boot後端Session
簡單的前後端分離 Cas
2018-12-27
後端
前後端分離之Ajax入門
2024-03-14
後端
node-vue前後端分離記錄
2019-02-16
Vue後端
前後端分離下的第三方登入
2021-07-16
後端
Spring+ Spring cloud + SSO單點登入應用認證
2018-11-26
SpringCloud
Spring Boot + Vue 前後端分離開發，前端網路請求封裝與配置
2019-05-21
Spring BootVue後端前端封裝
ruoyi vue 前後端分離版本打包分離jar包至lib
2023-11-28
Vue後端JAR
實踐中的前後端分離
2017-10-09
後端
java版Spring Cloud、Vue前後端分離社交電商微服務
2020-09-25
JavaSpringCloudVue後端微服務
Casdoor + OAuth 實現單點登入 SSO
2022-04-12
OAuth
單點登入 SSO 的實現原理
2015-10-10
Vue微信授權登入前後端分離較為優雅的解決方案
2018-06-28
Vue後端
centos7.9 配置nginx實現前後端分離
2022-01-24
CentOSNginx後端
NCF 如何通過WebApi實現前後端分離
2021-06-06
WebAPI後端