将 Spring 安全性全局方法安全性与 Keycloak 集成

我在使用Spring Security的Pre/Post授权注释和Servlet API与Keycloak集成时遇到问题。我调查了很多文章，教程和以下问题，但没有进一步的运气：

• 使用 keycloak 在 servlet 应用程序中获取用户角色
• Spring Boot Keycloak - 如何获取分配给用户的角色列表？
• 将弹簧安全注释与钥匙斗篷一起使用
Spring
• 引导 + Spring 安全性 + 分层角色
• 如何将基于方法的安全性添加到 Spring 引导项目？
• 使用 Spring Security Java Config 配置 DefaultMethodSecurityExpressionHandler
• SpringBoot + 基于方法的分层角色安全性：需要 ServletContext

我想要的只是删除ROLES_前缀，使用分层角色和一种舒适的方法来检索用户的角色。

截至目前，我能够在控制器中检索这样的分层角色，但无法使用注释：

@Controller
class HomeController {
@Autowired
AccessToken token
@GetMapping('/')
def home(Authentication auth, HttpServletRequest request) {
// Role 'admin' is defined in Keycloak for this application
assert token.getResourceAccess('my-app').roles == ['admin']
// All effective roles are mapped
assert auth.authorities.collect { it.authority }.containsAll(['admin', 'author', 'user'])
// (!) But this won't work:
assert request.isUserInRole('admin')
}
// (!) Leads to a 403: Forbidden
@GetMapping('/sec')
@PreAuthorize("hasRole('admin')") {
return "Hello World"
}
}

我猜@PreAuthorize注释不起作用，因为该 Servlet 方法不成功。

Keycloak和Spring中只定义了三个角色 - 管理员，作者，用户：

enum Role {
USER('user'),
AUTHOR('author'),
ADMIN('admin')
final String id
Role(String id) {
this.id = id
}
@Override
String toString() {
id
}
}

钥匙斗篷配置

从此网络安全中删除@EnableGlobalMethodSecurity注释后，会发现由No ServletContext set错误引起的Error creating bean with name 'resourceHandlerMapping'- 没有线索，这是从哪里来的！

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
/**
* Registers the KeycloakAuthenticationProvider with the authentication manager.
*/
@Autowired
void configureGlobal(AuthenticationManagerBuilder auth) {
auth.authenticationProvider(keycloakAuthenticationProvider().tap { provider ->
// Assigns the Roles via Keycloaks role mapping
provider.grantedAuthoritiesMapper = userAuthoritiesMapper
})
}
@Bean
RoleHierarchyImpl getRoleHierarchy() {
new RoleHierarchyImpl().tap {
hierarchy = "$Role.ADMIN > $Role.AUTHOR > $Role.USER"
}
}
@Bean
GrantedAuthoritiesMapper getUserAuthoritiesMapper() {
new RoleHierarchyAuthoritiesMapper(roleHierarchy)
}
SecurityExpressionHandler<FilterInvocation> expressionHandler() {
// Removes the prefix
new DefaultWebSecurityExpressionHandler().tap {
roleHierarchy = roleHierarchy
defaultRolePrefix = null
}
}
// ...
@Bean
@Scope(scopeName = WebApplicationContext.SCOPE_REQUEST, proxyMode = ScopedProxyMode.TARGET_CLASS)
AccessToken accessToken() {
def request = ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes()).getRequest()
def authToken = (KeycloakAuthenticationToken) request.userPrincipal
def securityContext = (KeycloakSecurityContext) authToken.credentials
return securityContext.token
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http)
http
.authorizeRequests()
.expressionHandler(expressionHandler())
// ...
}
}

全局方法安全配置

我需要明确允许allow-bean-definition-overriding，因为否则我会收到一个bean with that name already defined错误，这表明我完全失去了对整个情况的控制，不知道发生了什么。

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
class GlobalMethodSecurityConfig extends GlobalMethodSecurityConfiguration {
@Autowired
RoleHierarchy roleHierarchy
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
((DefaultMethodSecurityExpressionHandler)super.createExpressionHandler()).tap {
roleHierarchy = roleHierarchy
defaultRolePrefix = null
}
}
}

是否有任何可能很重要的进一步配置？非常感谢您的帮助！