keycloak~巧用client-scope实现token字段和userinfo接口的授权

最新推荐文章于 2025-06-01 09:04:31 发布
转载 最新推荐文章于 2025-06-01 09:04:31 发布 · 72 阅读 · 0

keycloak中的client-scope允许你为每个客户端分配scope,而scope就是授权范围,它直接影响了token中的内容,及userinfo端点可以获取到的用户信息,这块我们可以通过自定义scope/mapper,来实现粒度的控制,并且这个mapper可以控制添加到token,或者添加到userinfo端点,这两块配置也是独立的,下面我们通过一个登录IP地址的mapper,来实现将登录ip添加到token和userinfo端点。

添加Mapper对象

public class ExtensionLoginIpMapper
        extends AbstractOIDCProtocolMapper
        implements OIDCAccessTokenMapper, OIDCIDTokenMapper, UserInfoTokenMapper {
    public static final String CONFIG_NAME = "ExtensionLoginIp";//配置里的名称
    public static final String PROVIDER_ID = "oidc-extension-login-ip-mapper";
    private static final List<ProviderConfigProperty> configProperties = new ArrayList<ProviderConfigProperty>();
    private static final String LOGIN_IP = "loginIp";

    static {
        configProperties.add(createConfigProperty(CONFIG_NAME, "Token申请名", "在jwt中的属性名称,默认loginIp"));
        OIDCAttributeMapperHelper.addIncludeInTokensConfig(configProperties, ExtensionLoginIpMapper.class);
    }

    protected static ProviderConfigProperty createConfigProperty(String claimName, String label, String help) {
        ProviderConfigProperty property = new ProviderConfigProperty();
        property.setName(claimName);
        property.setLabel(label);
        property.setHelpText(help);
        property.setType(ProviderConfigProperty.STRING_TYPE);
        return property;
    }

    @Override
    protected void setClaim(IDToken token, ProtocolMapperModel mappingModel, UserSessionModel userSession,
                            KeycloakSession keycloakSession, ClientSessionContext clientSessionCtx) {
        try {
            String key = LOGIN_IP;
            if (mappingModel.getConfig().containsKey(CONFIG_NAME)) {
                key = mappingModel.getConfig().get(CONFIG_NAME);
            }

            if (userSession.getNotes().containsKey(LOGIN_IP)) {
                String val = userSession.getNote(LOGIN_IP);
                token.setOtherClaims(key, val);
            }

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public List<ProviderConfigProperty> getConfigProperties() {
        return configProperties;
    }

    @Override
    public String getId() {
        return PROVIDER_ID;
    }

    @Override
    public String getDisplayType() {
        return CONFIG_NAME;
    }

    @Override
    public String getDisplayCategory() {
        return TOKEN_MAPPER_CATEGORY;
    }

    @Override
    public String getHelpText() {
        return "Maps Extension Login Ip Address.";
    }
}

将Mapper添加到Client Scope

  • 添加 client scope

  • 在client scope中添加mapper

设置access_token可见和userinfo可见

  • Add to ID token
  • Add to access token
  • Add to access token

为客户端指定scope

  • 这对于根据客户端来控制token和userinfo端点是非常必要的功能
  • 这是oauth2授权的重要组成部分

通过oauth2中的密码认证时的注意点

  • 客户端不能是同意必选的,这种客户端需要通过浏览器认证,由用户自己确认它公开的信息

通过token获取用户信息

  • userinfo端点:/auth/realms/{realms}/protocol/openid-connect/userinfo
  • 获取到时的用户信息中的字段,是通过scope来控制的

原创作者: lori 转载于: https://www.cnblogs.com/lori/p/18669091
Machinery Ly
关注
keycloak配置选项之Unmanaged Attributes(未管理属性)(通过 Protocol Mapper 将用户属性映射到令牌(如 Access Token)中)
西京刀客
04-29 137
Keycloak 的设计逻辑 Keycloak 默认只管理 基础用户属性(如 username、email、firstName 等)。 自定义属性需要明确赋值,否则系统会视为“不存在”。 Protocol Mapper 负责将 已存在的用户属性 映射到令牌声明。
微信授权登录:接口数据库设计
专注于计算机研发知识和资讯分享
11-21 387
请注意,网页授权获取用户基本信息也遵循UnionID机制。即如果开发者有在多个公众号,或在公众号、移动应用之间统一用户账号的需求,需要前往微信开放平台(open.weixin.qq.com)绑定公众号后,才可利用UnionID机制来满足上述需求。UnionID机制的作用说明:如果开发者拥有多个移动应用、网站应用公众账号,可通过获取用户基本信息中的unionid来区分用户的唯一性,因为同一用户,对同一个微信开放平台下的不同应用(移动应用、网站应用公众账号),unionid是相同的。
基于Keycloak的权限控制
m0_49294242的博客
10-30 2638
Keycloak授权功能负责设置哪些资源(resource)的那些范围(scope)要被权限控制。资源通常是一个或者一组URI,比如/protected/*,而范围(scope)是一个很灵活的概念,既可以是对资源的CRUD,也可以是具有某一种特质的一组对象。通常,我们可以用scope来标识对资源的CRUD,比如:urn:demo:protected:view,urn:demo:protected:delete等等。下面的部分,我称之为执行策略,负责设置执行权限的方式。
Keycloak客户端作用域(Client Scopes)深度解析
gitblog_00915的博客
06-01 241
Keycloak客户端作用域(Client Scopes)深度解析 什么是客户端作用域 在Keycloak中,客户端作用域(Client Scopes)是一种用于定义共享客户端配置的实体。它允许管理员为多个客户端统一配置协议映射器(Protocol Mappers)角色作用域映射(Role Scope Mappings),从而简化客户端管理并提高配置的一致性。 客户端作用域的核心功能 客户端作用...
KEYCLOAK 23.0.4 获取 userinfo 报 403
xyp632的博客
01-24 1237
记录日期:2024.1.24。
java调用授权接口oauth2_微信授权就是这个原理,Spring Cloud OAuth2 授权码模式
weixin_35690449的博客
02-27 1448
上一篇文章Spring Cloud OAuth2 实现单点登录介绍了使用 password 模式进行身份认证单点登录。本篇介绍 Spring Cloud OAuth2 的另外一种授权模式-授权码模式。授权码模式的认证过程是这样的:1、用户客户端请求认证服务器的认证接口,并附上回调地址;2、认证服务接口接收到认证请求后调整到自身的登录界面;3、用户输入用户名密码,点击确认,跳转到授权、拒绝提示页...
spring-authorization-server 授权码许可类型授权页面自定义JSON响应,应用前后端分离场景
。。。。。。。
05-18 2387
spring-authorization-server 授权码许可类型授权页面自定义JSON响应,应用前后端分离场景
sa-token 是一个轻量级 Java 权限认证框架,而 OAuth 2.0 是一个开放标准,允许第三方应用获取对HTTP服务上用户帐户的有限访问权限,无需用户提供用户名密码。将 sa-token 与 OAuth 2.0 整合可以使得你的 Java 应用支持更加灵活的认证授权机制。 整合 sa-token 与 OAuth 2.0 通常涉及以下步骤: 添加依赖:首先,你需要在你的项目中添加 sa-token 可能的 OAuth 2.0 客户端库(如 Spring Security OAuth2 Client)的依赖。 配置 OAuth 2.0:配置 OAuth 2.0 的授权服务器信息、客户端ID、客户端密钥等。这通常在你的 Spring Boot 配置文件中完成,例如 application.yml 或 application.properties。 实现 OAuth 2.0 登录流程:你需要实现 OAuth 2.0 的登录流程,包括重定向用户到授权服务器、处理授权服务器的回调等。 将 OAuth 2.0 的令牌转换为 sa-token 的令牌:当用户通过 OAuth 2.0 成功认证后,授权服务器会返回一个访问令牌。你需要将这个令牌转换为 sa-token 的令牌,以便在你的应用中使用 sa-token 的权限控制功能。 整合权限控制:使用 sa-token 的注解或其他机制来控制你的应用的权限。 处理令牌刷新过期:确保你的应用能够处理 OAuth 2.0 访问令牌的刷新过期情况。 测试:对你的整合进行彻底的测试,确保 OAuth 2.0 登录流程正常工作,并且 sa-token 的权限控制也按预期工作。 具体的实现细节会根据你的项目需求、使用的技术栈 OAuth 2.0 服务器的具体实现而有所不同。 需要注意的是,Spring Security 5 提供了对 OAuth 2.0 的原生支持,如果你使用的是 Spring Boot,那么整合 Spring Security OAuth 2.0 可能是更直接的选择。然后,你可以将 Spring Security 的认证授权与 sa-token 进行整合 基于此要求 帮我详细编写代码
03-10
嗯,用户想整合sa-tokenOAuth 2.0,我得先理清楚这两个东西怎么结合。sa-token是处理权限的,而OAuth 2.0是第三方认证的标准。用户可能想在自己的应用里让用户通过第三方登录,比如微信或者GitHub,然后用sa-token...
【java毕业设计】喀什美食订餐网源码(ssm+mysql+说明文档+LW+PPT).zip
08-13
基于SSM框架的喀什美食订餐网的前台包含了用户注册、菜品列表、菜品排行、在线点餐菜品收藏功能,下面是对这些功能的详细介绍: (1)用户注册功能:允许新用户创建自己的账户,并提供基本信息如用户名、密码等。注册完成后,用户可以登录到系统中进行后续操作。 (2)菜品列表功能:展示了所有可供选择的菜品,每个菜品都配有详细的描述、图片价格等信息。用户可以通过搜索功能快速找到自己感兴趣的菜品,也可以按照分类或关键词进行筛选排序。 (3)菜品排行功能:显示了当前最受欢迎或高评分的菜品,帮助用户挑选热门菜品,并参考其他用户的评价推荐。 (4)在线点餐功能:允许用户在浏览菜品后直接下单,选择餐厅、菜品数量其他相关选项。用户还可以添加特殊要求或备注,以满足个性化的需求。提交订单后,用户可以实时查看订单状态并付款。 完整前后端源码,部署后可正常运行! 环境说明 开发语言:Java后端 框架:ssm,mybatis JDK版本:JDK1.8+ 数据库:mysql 5.7+ 数据库工具:Navicat11+ 开发软件:eclipse/idea Maven包:Maven3.3+ 部署容器:tomcat7.5+
电力电子仿真技术解析:MMC、HVDC与微电网的建模与应用
08-13
电力电子仿真领域的关键技术,重点讨论了模块化多电平换流器(MMC)仿真、高压直流输电(HVDC)仿真以及微电网仿真。首先,通过MATLAB Simulink环境构建MMC仿真模型,研究其工作原理性能特点,特别是如何通过级联子模块实现高电压、低谐波的效果。其次,探讨了柔性直流输电(VSC-HVDC)仿真,涉及SPWM、NLM、CPS-PWM等调制技术的应用,展示了这些技术如何提升系统的灵活性稳定性。最后,针对微电网仿真,模拟了风电、光伏、储能等多种能源形式的协同工作,优化微电网的设计运行。 适合人群:从事电力系统研究的技术人员、高校师生及相关领域的研究人员。 使用场景及目标:适用于电力系统设计、优化故障诊断的研究项目,帮助理解掌握电力电子仿真技术的基本原理实际应用。 其他说明:文中提供了部分MATLAB伪代码示例,便于读者理解实践。同时鼓励进一步咨询探讨相关话题,以深化对电力电子仿真的认识。
基于群智能算法优化随机森林分类预测的MATLAB实现及性能对比
08-13
利用多种群智能算法(如粒子群优化、阿基米德优化、黏菌优化、麻雀优化狼群优化)对随机森林(RF)进行参数优化的方法及其MATLAB代码实现。重点讨论了每种算法的工作原理、代码片段及其实验效果。实验结果显示,在UCI乳腺癌数据集上,不同算法优化后的RF模型表现各异,其中麻雀算法优化的RF模型达到了最高的准确率95.7%。 适合人群:对机器学习尤其是随机森林算法有一定了解的研究人员技术爱好者,熟悉MATLAB编程环境。 使用场景及目标:适用于希望提高随机森林模型分类预测性能的研究项目或应用开发。主要目标是通过引入不同的群智能算法来优化随机森林的关键参数(如树的数量最小叶子节点数),从而提升模型的整体性能。 其他说明:文中还提供了一些实用的小技巧,例如可以先使用收敛速度快的算法确定大致参数区间,然后采用精度更高的算法进行细调。此外,作者提到可以通过私信获取最新的混合优化方案。
基于 C# WinForm 技术的字体编辑器
08-13
在 Windows 桌面应用开发中,文本编辑工具是非常常见的需求,而字体样式的自定义更是提升用户体验的重要功能。本文将基于 C# WinForm 技术,解析两个字体编辑器版本(基础版与进阶版)的实现思路,带你了解如何从零开始构建一个支持字体自定义的文本编辑工具。 项目结构概览 整个项目包含两个主要版本: 字体编辑器(基础):实现基本的字体样式设置功能 字体编辑器(进阶):在基础版之上增加了右键菜单、更丰富的字体设置选项 两个版本均基于.NET Framework 4.7.2 开发,采用 WinForm 传统桌面应用架构,主要包含主窗体(Form1)字体设置窗体(Form2)两个核心界面。
【办公自动化】Python自动生成Excel报表系统:数据处理、图表生成与邮件发送全流程详解
最新发布
08-13
内容概要:本文介绍了如何利用Python自动化生成专业的Excel报表,涵盖数据提取、格式美化、图表自动生成等功能,帮助用户从重复性劳动中解放出来。文章详细描述了整个流程,包括环境准备与库安装、数据准备与读取、创建Excel报表框架、设计专业表格样式、添加专业图表、插入自动计算公式以及完整代码实现。此外,还提供了扩展功能,如邮件自动发送报表定时自动生成报表。 适合人群:具备一定编程基础,尤其是对Python有一定了解,并希望提高办公效率的办公人员或数据分析师。 使用场景及目标:①需要定期生成销售报表或其他类型的数据报表;②希望通过自动化工具减少手动操作,提高工作效率;③希望掌握Python在办公自动化中的应用技巧,特别是结合pandas、openpyxl等库进行数据处理Excel操作。 阅读建议:此资源不仅提供了完整的源码详细注释,更重要的是引导读者理解每个步骤背后的逻辑技术细节。因此,在学习过程中,建议读者跟随代码逐步实践,同时理解每一步骤的目的实现方法。
从无标签语料到打标签,用 SVM 与 LSTM 建模 NLP 情感分析全流程
08-13
资源下载链接为: https://pan.quark.cn/s/6651ac4a793e 从无标签语料到打标签,用 SVM 与 LSTM 建模 NLP 情感分析全流程(最新、最全版本!打开链接下载即可用!)
无人驾驶车辆第七章:高速MPC例子的复现(包含Caraim、SimulinkM文件,版本18 MATLAB 19 CarSim,已成功转换为双移线版本)
08-13
无人驾驶车辆中高速MPC(模型预测控制)的应用实例,特别是双移线版本的具体实现。文章首先概述了高速MPC在无人驾驶领域的关键作用,随后深入探讨了系统架构、算法实现仿真模型的构建。重点在于使用MATLAB的Cara im文件Simulink文件来实现MPC算法,通过构建预测模型实时数据处理,最终完成仿真实验并验证了控制效果。文中还提供了详细的复现步骤,包括软件版本的选择、数据准备、模型构建测试验证。 适合人群:从事无人驾驶技术研发的专业人士,尤其是对模型预测控制感兴趣的工程师技术研究人员。 使用场景及目标:适用于希望深入了解掌握无人驾驶车辆中MPC控制技术的研究人员开发者,旨在帮助他们理解复现高速MPC的实际应用场景,提升无人驾驶车辆的稳定性安全性。 其他说明:本文提供的资料包括MATLAB 18CarSim 19的相关文件,但不包含详细的指导说明。读者需具备一定的MATLABCarSim操作经验才能顺利完成复现过程。
基于Comsol仿真的涡流无损检测模型:频率、电导率、提离与线径对阻抗特性的影响 · 无损检测 教程
08-13
内容概要:本文详细探讨了基于Comsol仿真的涡流无损检测模型,重点分析了频率、电导率、提离线径对阻抗特性的影响。通过四个二维模型的仿真结果,展示了涡流的形成、传播及其与周围介质的关系。具体而言,文章分别探讨了频率与磁通密度模的关系、频率与阻抗的关系、不同电导率阻抗的关系,以及不同提离阻抗的关系。这些仿真结果不仅揭示了涡流检测的关键机制,还为无损检测技术的发展提供了重要参考。 适合人群:从事无损检测领域的研究人员、工程师及相关专业学生。 使用场景及目标:适用于需要深入了解涡流无损检测技术的工作环境,帮助相关人员掌握涡流检测的基本原理应用方法,优化检测参数设置,提高检测精度。 其他说明:文中提供的仿真结果图表有助于读者更直观地理解涡流检测的技术细节,为实际操作提供理论指导。
基于萤火虫算法优化BP神经网络的Matlab数据分类预测代码实现
08-13
内容概要:本文档提供了一份详细的指南,介绍如何使用Matlab编写基于萤火虫算法优化BP神经网络(FA-BP)的数据分类预测代码。首先,文档解释了如何准备划分数据集,接着详细介绍了BP神经网络萤火虫算法的基本概念及其在Matlab中的实现方法。然后,展示了如何通过萤火虫算法优化BP神经网络的权重偏置,从而提高数据分类预测的准确性。最后,提供了完整的代码框架,但指出某些部分如'FA_BP'函数的具体实现需要用户自行补充。同时强调了代码仅作为一个基础示例,实际应用时需根据具体情况调整。 适用人群:对机器学习感兴趣的研究人员技术爱好者,尤其是那些希望深入了解BP神经网络以及萤火虫算法优化机制的人群。 使用场景及目标:适用于希望通过优化BP神经网络提升数据分类效果的研究项目或应用场景。主要目标是在掌握BP神经网络基本原理的基础上,学会用萤火虫算法对其进行优化,进而改善模型性能。 其他说明:由于代码并非完整实现,因此使用者应当具备一定的Matlab编程能力相关理论知识才能顺利完成整个项目的开发。此外,在实际操作前还需做好数据预处理等工作。
会议既要【指令+教程】.zip
08-13
精选AIGC高效提示词,覆盖文案/绘图/编程等多场景,开箱即用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值