开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在后端API前端使用Keycloak Gatekeeper

是一种常见的身份验证和授权解决方案。Keycloak Gatekeeper是一个轻量级的反向代理，用于保护后端API，并提供基于OpenID Connect和OAuth 2.0的身份验证和授权功能。

Keycloak Gatekeeper的工作原理如下：

前端应用向Keycloak Gatekeeper发送请求。
Keycloak Gatekeeper将请求转发到后端API，并在转发之前验证请求的身份。
如果请求未经身份验证或授权失败，Keycloak Gatekeeper将返回适当的错误响应。
如果请求通过身份验证和授权检查，Keycloak Gatekeeper将转发请求到后端API，并将API的响应返回给前端应用。

Keycloak Gatekeeper的主要优势包括：

安全性：Keycloak Gatekeeper提供了强大的身份验证和授权功能，可以确保只有经过身份验证和授权的用户才能访问后端API。
简化开发：使用Keycloak Gatekeeper可以减少开发人员在身份验证和授权方面的工作量，因为大部分的身份验证和授权逻辑已经由Keycloak Gatekeeper处理。
可扩展性：Keycloak Gatekeeper可以与其他云原生技术和工具集成，如Kubernetes、Istio等，以实现更高级的身份验证和授权方案。

Keycloak Gatekeeper适用于以下场景：

前后端分离应用：当前端应用和后端API分离部署时，可以使用Keycloak Gatekeeper来保护后端API，确保只有经过身份验证和授权的用户才能访问API。
多租户应用：当需要为不同的租户提供独立的身份验证和授权时，可以使用Keycloak Gatekeeper来实现多租户身份验证和授权方案。

腾讯云提供了一系列与Keycloak Gatekeeper相关的产品和服务，包括身份认证服务、API网关等。您可以通过以下链接了解更多信息：

相关搜索:Keycloak前端和后端客户端使用API后端处理UI前端权限针对后端/前端/ API的Laravel DIR结构在reactJS前端获取后端数据使用React前端设置Express后端前端抓取不起作用，但后端显示API 使用React前端进行AJAX调用时，无法使用CORS访问后端API 使用Express后端重定向React前端使用vanilla Javascript在Django中将前端链接到后端如何将React前端连接到NodeJS后端API 在kubernetes中从前端与后端通信使用与后端端口不同的前端端口使用Gulp启动MEAN Stack (前端和后端)使用Flask连接Python后端和Flutter前端使用Keycloak Java API重置用户密码如何使用API在Keycloak中设置用户属性值？PHP laravel前端如何上传/发送csv文件到后端api？cookie设置为安全，但您的重定向url在keycloak-gatekeeper中是非tls错误前端和后端在单个docker容器中。使用哪个IP地址？在dockerfile中运行nginx，后端和前端并行

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Vue+Golang接入KeyCloakVue+Golang接入KeyCloakVue+Golang接入KeyCloak

本人Golang苦手，也是第一次接触Keycloak。网上资料太少，我的方案大概率非最佳实践。仅供参考。欢迎批评意见。

03

（译）Kubernetes 单点登录详解

本文中我们将会为 Kuebernetes 构建一个完备的单点登录系统，这个系统会为 kubectl、Web 应用的 Ingress，以及 Docker 镜像仓库和 Gitea 提供服务，本文中会涉及多数单点登录模型，对于 Gitlab、Kibana、Grafana 等其它应用，应该也是适用的。

05

一个全栈SpringBoot项目-Book Social Network

BSN是一个会员之间交换图书的社交网络平台。图书社交网络是一个全栈应用程序，使用户能够管理他们的图书收藏并与图书爱好者社区互动。它提供的功能包括用户注册、安全电子邮件验证、图书管理（包括创建、更新、共享和归档）、图书借阅（检查可用性）、图书归还功能以及图书归还批准。该应用程序使用 JWT 令牌确保安全性，并遵循 REST API 设计的最佳实践。后端是使用 Spring Boot 3 和 Spring Security 6 构建的，而前端是使用 Angular 和 Bootstrap 进行样式开发的。作者是ali-bouali

00

Keycloak Spring Security适配器的常用配置

在Spring Security集成Keycloak 适配器时需要引入一些额外的配置属性。一般我们会把它配置到Spring Boot的配置文件中。

05

keycloak集群化的思考

单体服务如果想要突破到高并发服务就需要升级为集群服务。同时集群化也为高可用打下了坚实的基础。纵观现在比较流行的服务或者中间件，不管是RabbitMQ还是redis都提供了集群的功能。

02

aspnetcore 应用接入Keycloak快速上手指南

登录及身份认证是现代web应用最基本的功能之一，对于企业内部的系统，多个系统往往希望有一套SSO服务对企业用户的登录及身份认证进行统一的管理，提升用户同时使用多个系统的体验，Keycloak正是为此种场景而生。本文将简明的介绍Keycloak的安装、使用，并给出aspnetcore 应用如何快速接入Keycloak的示例。

03

keycloak集群化的思考

单体服务如果想要突破到高并发服务就需要升级为集群服务。同时集群化也为高可用打下了坚实的基础。纵观现在比较流行的服务或者中间件，不管是RabbitMQ还是redis都提供了集群的功能。

03

在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证

API Server 作为 Kubernetes 的网关，是用户访问和管理资源对象的入口。对于每个访问请求， API Server 都需要对访问者的合法性进行检查，包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式，本文将对 OpenID Connect 认证进行介绍。

02

开源认证和访问控制的利器keycloak使用简介

keycloak是一个开源的进行身份认证和访问控制的软件。是由Red Hat基金会开发的，我们可以使用keycloak方便的向应用程序和安全服务添加身份认证，非常的方便。

02

云原生策略引擎 Kyverno （上）

在之前的『K8S生态周报』和《搞懂 Kubernetes 准入控制（Admission Controller)》等文章中，我曾提到过 Kyverno 这个云原生策略引擎项目，很多小伙伴在后台私信我说对这个项目比较感兴趣。这篇文章我们专门来聊聊 Kyverno 吧。

01

使用OPA Gatekeeper执行Kubernetes的政策和治理

作者：Rita Zhang（微软）、Max Smythe（谷歌）、Craig Hooper（澳大利亚联邦银行）、Tim Hinrichs（Styra）、Lachie Evenson（微软）、Torin Sandall（Styra）

02

Policy as Code之OPA实现

在实际生产环境中，许多场景需要进行策略控制，例如，不同团队的API需要限制访问权限，以避免未经授权的网络访问。为实现这种控制，可以采用策略控制的方法。然而，实施策略控制需要修改代码，而且策略通常很分散。为了解决这个问题，可以使用OPA（Open Policy Agent）进行策略控制。

01

Keycloak简单几步实现对Spring Boot应用的权限控制

我们在上一篇初步尝试了keycloak，手动建立了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。今天就来尝试一下对应的Spring Boot Adapter，来看看keycloak是如何保护Spring Boot应用的。

05

OPA Gatekeeper 策略入门

Gatekeeper 是基于 OPA（Open Policy Agent）的一个 Kubernetes 策略解决方案。在之前的文章中说过，在 PSP/RBAC 等内置方案之外，在 Kubernetes 中还可以通过策略来实现一些额外的管理、安全方面的限制，本文将会从安装开始，介绍几条实用的小策略。

02

使用 Gatekeeper 进行 OPA 策略管理

前面我们介绍了使用 kube-mgmt 这个 sidecar 容器来完成 OPA 策略的自动同步，此外还有另外一个更加高级的工具 Gatekeeper，相比于之前的模式，Gatekeeper(v3.0) 准入控制器集成了 OPA Constraint Framework，以执行基于 CRD 的策略，并允许声明式配置的策略可靠地共享，使用 kubebuilder 构建，它提供了验证和修改准入控制和审计功能。这允许为 Rego 策略创建策略模板，将策略创建为 CRD，并在策略 CRD 上存储审计结果，这个项目是谷歌、微软、红帽和 Styra 一起合作实现的。

03

（译）Kubernetes 策略引擎对比：OPA/Gatekeeper vs Kyverno

Kubernetes 的 Pod Security Policy（PSP）即将被淘汰和移除，所以需要找到一个替代方案来填补这个即将出现的空白。目前看来，Kubernetes 自身并没有准备相应的替代方案，因此需要在 Kubernetes 之外寻求解决之道。CNCF 的两个头部项目可能会成为首选的替代产品，它们分别是基于 Open Policy Agent（OPA）的 Gatekeeper 以及 Kyverno，两个产品各行有千秋，但是目前还没有对这两个产品进行过正式的比较，这就让面临选择的用户无从下手了。这两个项目都是全功能的 Kubernetes 策略引擎，因此其功能不仅限于替代 PSP。本文尝试对 Gatekeeper 和 Kyverno 进行一个中立客观的比较，让用户能够据此作出决策。这里仅从 Kubernetes 的视角来对这两个项目来进行评价。

02

（译）针对 Kubernetes 工作负载的策略工具

本文所讲的策略，指的是在 Kubernetes 中，阻止特定工作负载进行部署的方法。

03

通过管理API管理OAuth2 认证授权服务器Keycloak

我们在Keycloak Admin Console中的所有操作都有特定的Restful API，被统称为Keycloak Admin REST API。而 Keycloak Admin Client正是对Keycloak Admin REST API的Java HTTP客户端封装。我们只需要引入下面的依赖就可以集成了：

06

容器运行时安全是什么？

Kubernetes API 服务器是 Kubernetes 控制平面的核心组件之一。该组件暴露 Kubernetes API，并充当控制平面的前端。当用户或进程与 Kubernetes 交互时，API 服务器处理这些请求，并验证和配置 Kubernetes API 对象，如部署或命名空间。当然，这是在 Kubernetes Admission Controllers 的帮助下进行的。那么，什么是 Admission Controller？

02

kyverno VS gateKeeper

这两组开源工具都是是基于kubernetes 的webhook机制，支持validatingwebhook和mutatingwebhook。整体思路上是一样的，都是针对资源的字段，如标签、镜像等来设置规则，在对kubernetes资源的控制范围和粒度上，二者可以看作是一样的。

02

01 Feb 2023 operator lifecycle manager简介

operator lifecycle manager (olm)可帮助用户安装、更新和管理所有operator以及在用户集群中运行的关联服务的生命周期。operator lifecycle manager是operator framework的一部分，后者是一个开源工具包，用于以有效、自动化且可扩展的方式管理kubernetes operator。

02

Kubernetes 策略引擎对比：OPA/Gatekeeper 与 Kyverno

Kubernetes 的 Pod Security Policy（PSP）[1] 即将被淘汰和移除[2]，所以需要找到一个替代方案来填补这个即将出现的空白。目前看来，Kubernetes 自身并没有准备相应的替代方案，因此需要在 Kubernetes 之外寻求解决之道。CNCF 的两个头部项目可能会成为首选的替代产品，它们分别是基于 Open Policy Agent（OPA）的 Gatekeeper 以及 Kyverno，两个产品各行有千秋，但是目前还没有对这两个产品进行过正式的比较，这就让面临选择的用户无从下手了。这两个项目都是全功能的 Kubernetes 策略引擎，因此其功能不仅限于替代 PSP。本文尝试对 Gatekeeper 和 Kyverno 进行一个中立客观的比较，让用户能够据此作出决策。这里仅从 Kubernetes 的视角来对这两个项目来进行评价。

02

OAuth 2.0只是授权协议，OIDC才是认证授权协议

上一文我们对Keycloak保护Spring Boot应用进行了实操。让大家见识到了Keycloak的强大。为了掌握Keycloak就必须对OpenID Connect（OIDC）协议进行了解。OIDC是OAuth 2.0的一个扩展协议。它为什么要扩展OAuth 2.0？在搞清楚这个问题之前我们需要再回顾一下OAuth 2.0协议。

04

基于Keycloak的Grafana SSO身份认证过程剖析

Keycloak是一款主流的IAM（Identity and Access Management 的缩写，即“身份识别与访问管理”）开源实现，它具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

使用keycloak实现k8s用户权限的统一管理

以最小的麻烦为应用程序和安全服务添加身份验证。无需处理存储用户或认证用户。开箱即用。您甚至可以获得高级功能，例如用户联合，身份代理和社交登录。

02

微服务下使用GraphQL构建BFF | 洞见

微服务架构，这个在几年前还算比较前卫的技术在如今遍地开花。得益于开源社区的支持，我们可以轻松地利用 Spring Cloud 以及 Docker 容器化快速搭建一个微服务架构的原型。不管是成熟的互联网公司、创业公司还是个人开发者，对于微服务架构的接纳程度都相当高，微服务架构的广泛应用也自然促进了技术本身更好的发展以及更多的实践。本文将结合项目实践，剖析在微服务的背景下，如何通过前后端分离的方式开发移动应用。对于微服务本身，我们可以参考 Martin Fowler 对 Microservice 的阐述。简单

06

keycloak_keycloak 同步用户表

第一步：下载keycloak安装包 https://www.keycloak.org/downloads

01

深度解读-如何用keycloak管理external auth

简单来说，以google授权为例，一般就是通过用户授权页面登录google账号，再跳转用code换取到相应权限的token，就可以代表用户去发起一些google api的请求。

03

如何利用Opa Gatekeeper为Kubernetes集群编写策略

了解如何利用 OPA Gatekeeper 在 Kubernetes 集群中编写和执行策略，确保环境的安全性和高效资源管理。

01

Keycloak单点登录平台｜技术雷达

Keycloak首次在ThoughtWorks技术雷达第16期中以“评估”的状态出现。技术雷达15期正式提出“安全是每一个人的问题”，同时也对Docker和微服务进行了强调。在微服务盛行的时代，

03

在wildfly中使用SAML协议连接keycloak

我们知道SSO的两个常用的协议分别是SAML和OpenID Connect,我们在前一篇文章已经讲过了怎么在wildfly中使用OpenID Connect连接keycloak,今天我们会继续讲解怎么使用SAML协议连接keycloak。

03

部署 Casdoor 身份认证管理系统并实现透过 OAuth2.0 登录到 WordPress

由于考虑到 XCTRA 未来可能会有非常多的子服务，如果全部采用单一认证可能会非常复杂，于是这几天一直在研究 IAM（Identity and Access Management）系统，在尝试了 Apache keycloak，JustAuthPlus 等开源项目后，最终选择了 Casdoor。

03

吊炸天的可视化安全框架，轻松搭建自己的认证授权平台！

Keycloak是一款开源的认证授权平台，在Github上已有9.4k+Star。Keycloak功能众多，可实现用户注册、社会化登录、单点登录、双重认证、LDAP集成等功能。

02

为什么需要 Kubernetes 准入控制器

Kubernetes 准入控制器是集群管理必要功能。这些控制器主要在后台工作，并且许多可以作为编译插件使用，它可以极大地提高部署的安全性。

03

一个接口是如何在Keycloak和Spring Security之间执行的

在适配了Keycloak和Spring Security的Spring Boot应用中，我编写了一个/admin/foo的接口并对这个接口进行了权限配置：

02

Kubernetes 中的策略管理正在改变

在前面的一篇文章中我们介绍了如何实现 Kubernetes 的策略管理。下面，让我们了解一下 Kubernetes 开发中的内置策略管理工具。译自 Policy Management in Kubernetes is Changing。

01

Kyverno 和 OPA/Gatkeeper 的一点对比

在生产环境中应用 Kubernetes 时，出于安全、合规等管控目的，经常需要对工作负载进行审计、校验以及变更，例如下列场景：

02

OAuth2 服务器Keycloak中的Realm

Realm翻译成中文为领域。用来逻辑隔离一些特定空间，有点多租户的感觉，不同的Realm之间互相隔离，有各自的特色配置，互不影响。

06

Harbor制品仓库的访问控制（1）

题图摄于圣安东尼奥注：微信公众号不按照时间排序，请关注“亨利笔记”，并加星标以置顶，以免错过更新。（本文作者何威威系Harbor开源项目贡献者，本文节选自《Harbor权威指南》一书。）《Harbor权威指南》目前京东优惠中，点击下图直接购买。访问控制是 Harbor 系统数据安全的一个基本组成部分，定义了哪些用户可以访问和使用 Harbor 里的项目（project）、项目成员、Repository 仓库、Artifact 等资源。通过身份认证和授权，访问控制策略可以确保用户身份真实和拥有访问

03

Spring Security 中使用Keycloak作为认证授权服务器

Keycloak对流行的Java应用提供了适配器。在系列文章的上一篇我们演示了针对Spring Boot的安全保护，用的就是适配器的一种。Keycloak同样提供Spring Security的适配器，后续的几篇文章我们就来共同学习Spring Security适配器的使用。 ❝ Keycloak的安装可参考前面的系列教程。适配器集成在Spring 应用中我们集成keycloak-spring-security-adapter： <dependency> <groupId>org.keycloa

02

云原生策略引擎 OPA 介绍

OPA（发音为 “oh-pa”）是一个全场景通用的轻量策略引擎（Policy Engine），OPA 提供了声明式表达的 Rego 语言来描述策略，并将策略的决策 offload 到 OPA，从而将策略的决策过程从策略的执行中解耦。OPA 可适用于多种场景，比如 Kubernetes、Terraform、Envoy 等等，简而言之，以前需要使用到 Policy 的场景理论上都可以用 OPA 来做一层抽象，如下所示：

01

keycloak12+mysql5.7 初次启动报错处理

可以看见keycloak使用了liquibase管理数据库版本修改表REALEM字段CERTIFICATE为VARCHAR(4000)时,导致行大小超过了MYSQL上限65535

01

使用 Kyverno 进行 Kubernetes 策略管理

OPA 的 Gatekeeper 以及 Kyverno 是 CNCF 的两个头部策略管理项目，两个产品各有千秋，前面我们已经学习了 Gatekeeper，接下来我们就来了解下如何使用 Kyverno。

03

云原生 PostgreSQL 集群 - PGO：5分钟快速上手

首先，转到 GitHub 并 fork Postgres Operator 示例存储库：

01

前后端分离之领域模型的思考

我们总以为前后端分离之后，我们就可以写出更干净的View。然而，现实并没有那么美好。因为在我们的View层里，不仅仅只有Template，还有Controller。因为在我们的Controller可

05

keycloak+istio实现基于jwt的服务认证授权

基于角色的访问控制(RBAC)为服务提供服务级别和方法级别的访问控制。RBAC政策是附加的。依次检查策略。根据操作以及是否找到匹配的策略，允许或拒绝请求。

04

设置axios格式为form-data

在后端与前端约定好application/json格式传递数据时，因为后台是go强类型语言，在定义api接口时，某些字段要求是整型类型，但是对于前端来说输入框或者从url中的search取到的参数都是字符串，不得不进行前端类型转换。

03

强大而灵活的身份验证和授权服务

这篇文章介绍了几个优秀的开源项目，它们都有一些共同点。首先，这些项目都是关于身份验证和授权的解决方案，可以帮助应用程序提供安全可靠的用户认证功能。其次，这些项目都支持单点登录 (SSO) 功能，使用户能够在多个系统之间无缝切换。最后，这些项目注重安全性，并提供了各种安全技术来保护数据和通信链路。总体而言，这些开源项目具有丰富的功能、易于集成和使用，并且拥有强大的社区支持。

01

使用 WordPress 做纯后端和管理界面，实现前后端分离

WordPress 除了做博客之外，其实还可以做成纯后端服务和管理界面（Admin UI），前端的模板可以不需要使用 WordPress 模板。

02

无需CORS，用nginx解决跨域问题，轻松实现低代码开发的前后端分离

在技术层面，前后端分离指在同一个Web系统中，前端服务器和后端服务器采用不同的技术栈，利用标准的WebAPI完成协同工作。这种前后端分离的"混合开发"模式下，前后端通常会部署到不同的服务器上，即便部署在同一台机器，因为宿主程序（如后端用Tomcat，前端用nginx）不同，端口号也很难统一。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭