Keycloak将权限与角色一起包含到访问令牌中

Keycloak 是一个开源的身份和访问管理解决方案，它允许开发者将权限与角色一起包含到访问令牌中，从而实现对资源的细粒度访问控制。以下是如何在 Keycloak 中实现这一功能的步骤：

1. 配置 Realm 和客户端

1. 创建 Realm：
   • 登录到 Keycloak 管理控制台。
   • 创建一个新的 Realm 或选择一个现有的 Realm。
2. 创建客户端：
   • 在 Realm 中，导航到 Clients 并创建一个新的客户端。
   • 确保客户端类型设置为 confidential 或 bearer-only，具体取决于你的应用需求。

2. 配置角色和权限

1. 创建角色：
   • 导航到 Roles 并创建新的角色。
   • 为每个角色分配适当的权限。
2. 配置权限：
   • 导航到 Permissions 并创建新的权限。
   • 为每个权限分配适当的资源和作用域。
   • 使用 Policies 来定义谁可以访问这些资源。

3. 将角色和权限包含到访问令牌中

1. 启用访问令牌中的角色：
   • 在客户端设置中，导航到 Access Type 和 Service Accounts。
   • 确保 Service Accounts Enabled 被启用。
   • 在 Mappers 标签下，添加一个 User Realm Role 或 User Model Attribute mapper，以确保角色信息包含在访问令牌中。
2. 启用访问令牌中的权限：
   • 在客户端设置中，导航到 Advanced Settings。
   • 启用 Use Resource Roles 选项。
   • 在 Mappers 标签下，添加一个 Resource Scopes mapper，以确保权限信息包含在访问令牌中。

4. 验证访问令牌

1. 获取访问令牌：
   • 使用 Postman 或其他工具，通过 OAuth2 或 OpenID Connect 流程获取访问令牌。
   • 确保在请求中包含必要的范围（scopes）。
2. 验证令牌内容：
   • 解码访问令牌（可以使用 JWT.io 等工具）。
   • 检查 realm_access 和 resource_access 部分，确保角色和权限信息包含在内。

示例配置

假设我们有一个名为 myrealm 的 Realm 和一个名为 myclient 的客户端。

1. 创建角色：
   • 角色：user 和 admin。
2. 配置权限：
   • 资源：myresource。
   • 作用域：read 和 write。
   • 权限：myresource:read 和 myresource:write。
   • 策略：user 角色可以 read，admin 角色可以 read 和 write。
3. 配置客户端：
   • 在 Mappers 标签下，添加 User Realm Role mapper。
   • 在 Advanced Settings 中，启用 Use Resource Roles。
4. 获取访问令牌：
   • 使用 user 角色请求 read 作用域的访问令牌。
   • 使用 admin 角色请求 read 和 write 作用域的访问令牌。
5. 验证令牌：
   • 解码访问令牌，检查 realm_access 和 resource_access 部分，确保角色和权限信息正确。

通过以上步骤，你可以在 Keycloak 中将权限与角色一起包含到访问令牌中，从而实现对资源的细粒度访问控制。