java - 如何配置 Thorntail 2.5.0.Final 以使用 Keycloak 中的 JWT token 授权用户？-6ren

java - 如何配置 Thorntail 2.5.0.Final 以使用 Keycloak 中的 JWT token 授权用户？

转载作者：太空宇宙更新时间：2023-11-04 09:30:05

25

4

我在通过从 Keycloak 收到的不记名 token 授权用户时遇到问题。

任务是将来自 Angular 应用程序的用户请求授权给我的后端 Thorntail 2.5.0.Final 微服务。我已经涵盖了前端部分，并且应用程序将 Authorization: Bearer {TOKEN} 附加到对我的服务的每个请求。

我尝试遵循这两个指南: https://rieckpil.de/howto-microprofile-jwt-authentication-with-keycloak-and-react/ https://kodnito.com/posts/microprofile-jwt-with-keycloak/

使用thorntail microprofile和keycloak-micropfofile-jwt-fractions，但它们似乎都不起作用。

    @Inject
    @ConfigProperty(name = "message")
    private String message;
    @Inject
    private JsonWebToken callerPrincipal;


    @GET
    @RolesAllowed("testrole")
    @ApiOperation(value = "Pridobi uporabnike", notes = "Pridobi vse uporabnike iz baze.", response = Uporabnik.class)
    public Response getUsers() {
        return Response.ok(callerPrincipal.getRawToken() + " is allowed to read message: " + message).build();
    }

并得到以下响应

允许 null 读取消息:非常安全 42!

我尝试的第二件事是添加 keycloak 分数并按照此示例 https://github.com/thorntail/thorntail-examples/tree/master/security/keycloak 通过 header 发送 token

我添加了 resources/keycloak.json

{
  "realm": "Intra",
  "auth-server-url": "https://idm.ra.net/auth",
  "ssl-required": "external",
  "resource": "prenosOSBE",
  "verify-token-audience": true,
  "credentials": {
    "secret": "e9709793-9333-40a7-bb95-2026ad98b568"
  },
  "use-resource-role-mappings": true,
  "confidential-port": 0
}

以及示例中的 KeycloakSecurityContextFilter.java。如果我尝试调用我的端点，并且未随请求发送 token ，则会收到 401 Unauthorized 或 403 Forbidden。

那么我想知道的是，如果我的任务是通过 Thorntail 微服务上的 Bearer token 对用户进行授权，则应使用哪一部分？

microprofile-jwt、keycloak-microprofile-jwt 或 keycloak 以及其工作所需的最低配置是什么？

最佳答案

keycloak fraction 是 WildFly 的 Keycloak 适配器，按照 https://www.keycloak.org/docs/4.8/securing_apps/index.html#jboss-eap-wildfly-adapter它允许您使用 Java EE 中的常见安全机制(<security-constraint> 中的 web.xml 等)您可以在此处查看示例:https://github.com/rhoar-qe/thorntail-test-suite/tree/master/wildfly/keycloak

microprofile-jwt允许您使用裸 MicroProfile JWT(即 JAX-RS 资源上的 @RolesAllowed 等)。您必须配置预期的颁发者、其公钥等，如 MP JWT 文档中所述。您可以在此处查看示例:https://github.com/rhoar-qe/thorntail-test-suite/tree/master/microprofile/microprofile-jwt-1.0

keycloak-microprofile-jwt有点混合。它不会公开 Keycloak 适配器，而是在内部使用它来验证 Keycloak 颁发的 token ，并通过 MicroProfile JWT 公开 token 。您可以在此处查看示例:https://github.com/thorntail/thorntail/tree/master/testsuite/testsuite-keycloak-mpjwt

关于java - 如何配置 Thorntail 2.5.0.Final 以使用 Keycloak 中的 JWT token 授权用户？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/57183088/

25

4

0

文章推荐： java - 如何确定 Wildfly 10 支持的密码套件

文章推荐： Linux - linux 内核模块中的控制流

文章推荐： python - 如何让 0 作为我的斐波那契数列的第一项？

java - 在 Java 中，关键字 `final` 、 `finally` 和 `finalize` 实现什么目的？
关闭。这个问题需要更多 focused .它目前不接受答案。想要改进这个问题吗？更新问题，使其只关注一个问题 editing this post . 关闭 2 年前。 Improve this q
浅析final,finally,finalize 的区别
1.final final修饰类，说明这个类不能被继承，是以个顶级类。 final修饰变量，说明这个变量是常量。 final修饰方法，表示这个方法不能被重写，不过可以冲在final方法。比如有个
c++ - 干净地抑制 gcc 的 `final` 建议警告 (`-Wsuggest-final-types` 和 `-Wsuggest-final-methods` )
我喜欢使用 -Wsuggest-final-types 编译我的代码和 -Wsuggest-final-methods以便在可能使用 final 关键字以允许编译器更积极地优化的机会时收到警告。不过
java - 局部变量必须是 final 或有效的 final
我在 Java 8 中有一个异步操作，它返回一个 onError 回调或一个 onSuccess 回调。如果操作成功与否，我需要在我的方法内部返回。所以我返回一个 boolean 值来说明这个信息。我
java - 如果一个类被声明为 final 是否有必要将方法声明为 final
我正在阅读一些内容，需要对最终类和方法进行一些说明。我的理解是，将一个类声明为 final 会阻止该类被扩展。因此，是否有必要将最终类中的方法声明为最终的？在我看来，如果类不能扩展，则没有必要将方法声
java - finally 和 no finally 和有什么不一样？
有什么区别 try { // action A } catch(Exception e) { // action B } finally { // action C }
java - 从内部类引用的局部变量必须是 final 或有效的 final
这个程序是我类(class)的最终作业，我无法弄清楚为什么我收到错误“从内部类引用的局部变量必须是最终的或有效的最终”。该程序正在运行并发线程来对# 数组进行排序，然后找到该数组的高值和低值。当我在没
c++ - C++ final 是否在所有方面都暗示 final？
C++11 added final. 终于! 我了解 final 做了两件事: 使类不可继承。使类中的(虚拟)函数不可覆盖(在派生类中)。这两者似乎是相互独立的。但以以下为例: class Foo
react-final-form - 如何使用带有react-final-form的多个提交按钮？
我想使用具有多个提交按钮的react-final-form构建表单，其中每个提交按钮在表单中设置不同的值。本质上，我想创建一个在呈现的HTML中看起来像这样的表单: Are you over 1
java - static、final、static Final - 正确用法以及何时使用它们？
我想知道什么时候应该对变量和(或)方法使用静态、最终、静态最终参数。据我了解: final:类似于c++中的const参数。它基本上意味着值(或在方法中 - 返回值)不会改变。静态:这意味着值(或方
java - 在内部类中绕过 "final or effectively final"会给出非常随机的结果
我正在做一个编程类(class)项目，用于 400 行矩阵本身的矩阵乘法。我让它以顺序模式工作，该项目的目标是编写并行实现。我有以下代码，当然，当我尝试引用内部类中的计数器 j 时，我收到一个关于
java - 声明为 Final 的经典变量是否包含与非 Final 变量不同的内存段？
也许这是简单的问题，但我找不到答案。声明为final的经典变量是否包含与非final变量不同的内存段？最佳答案我想说，谈到局部变量，基于 this answer 是不行的。 : The trut
c++ - 为什么要将 final 添加到 final 类的成员函数中？
考虑以下代码: #include class B { virtual void f() { std::cout << "Base" << '\n'; } }; class D
Final 和有效 Final 变量的 JavaFX EventHandling
这个问题已经有答案了: java: Is it possible to set a lambda expression for an array of Buttons is a for loop? I
java - final 和非 final int 变量相乘有什么区别？
考虑这个代码片段 public class ConstantFolding { static final int number1 = 5; static final int numbe
java - Final 或 Effectively final 混淆
我确定在内部类中访问的变量应该声明为final 或有效final。但在下面的情况下我很困惑。不知道是不是我理解错了。 public class MyClass { private boolea
java - final 关键字并在 java 中将连接对象声明为 final
我必须将一个 java.sql.Connection 对象传递给一个匿名内部类，这意味着我必须对它进行 final 引用。但是，我担心任何资源泄漏。 public static String foo(
java - 为什么在覆盖 finalize() 方法时首选调用 super.finalize()？
我收到 SonarQube 错误:“强烈建议在此方法实现结束时调用 super.finalize()，以防父实现也必须释放一些系统资源。” 但我发现 Object 类没有实现 finalize方法。
java - 清理 finalize() 或 finally() 中的代码？
我一般认为资源清理是在 finally block 中完成的，最近我在一个类中发现了这个特定的代码片段，它覆盖了 Object 类'finalize()方法。 protected void fina
java - final 和非 final 方法参数，它们在确定方法重载或覆盖时是否被视为不同？
让我们在父类中使用这个方法: public void calculateSum(int a, final int b) { } 子类有: public void calculateSum(int a,

首页

博学

6Ren·AI

商城

java - 如何配置 Thorntail 2.5.0.Final 以使用 Keycloak 中的 JWT token 授权用户？