一、环境描述

keycloak鉴权springboot的方式，此处简单介绍，springboot官方也提供了demo

https://github.com/keycloak/keycloak-quickstarts/tree/latest/spring/rest-authz-resource-server

以及文档说明

Securing Applications and Services Guide

本文环境
springboot版本：2.7.1，(此版本无所谓，都是一样的)

keycloak版本：23.0.7(截止目前最新版本)

二、keycloak配置

1、创建realm

登录keycloak后先新建一个realm，在realm中，可以很轻松使用一套用户体系，当然用户体系也可以跨realm使用。realm相当于一个微服务群，client相当于每一个服务。

输入名称，当然有realm配置文件备份的话还可以点击browse导入配置，然后点击create按钮创建realm

2、创建user

进入user列表，点击add user。此user可以使用本地服务的user，这样就能用本地服务用户体系登录系统了。此方法后续再演示

输入用户名，点击create，不用着急密码，下一步再新建密码

选择Credential tab签，点击set password

输入密码和确认密码，点击save

然后，用户创建成功，看到角色（role mapping）中用户默认绑定了 default-roles-quarkus-test 的默认角色。keycloak中角色是要和认证权限匹配的

3、创建client

23.0.7版本中此处授权不选，对应的是老版本(15前)的访问鉴权控制设置为public。

设置重定向rul

点击save，完成client创建

三、springboot配置

在application.properties中配置如下，本来想在.yml 中配置，结果官方例子是properties为了抄起来方便就这样吧。

# 对应keycloak的域realm
keycloak.realm = quarkus-test
# keycloak访问地址
keycloak.auth-server-url = http://127.0.0.1:8080
# https 验证
keycloak.ssl-required = external
# 对应keycloak中的client
keycloak.resource = login-test
# 鉴权时角色匹配
keycloak.use-resource-role-mappings = true
# 客户端（本服务）鉴权连接keycloak为public，不需要客户端secret之类
keycloak.public-client=true
# 鉴权keycloak角色
keycloak.security-constraints[0].authRoles[0]=default-roles-login-realm
# 鉴权springboot API 接口
keycloak.security-constraints[0].securityCollections[0].patterns[0]=/demo/*

官方说这个配置适用于keycloak新版本，我没用旧版本做过测试，没有发言权。

springboot controller 代码

截个图，代码不用粘贴了吧

启动springboot

在被keycloak拦截到的时候，控制台日志打印出了keycloak api地址，可以访问看看

四 、登录403问题处理

访问springboot后台接口

然后跳转到登录页

输入用户名密码后 403，说明用户没有配置client角色权限。

1、配置client权限角色

2、给用户匹配该角色

默认角色列表为域角色，选择客户端角色进行匹配

分配好角色后，保存，回到springboot访问页刷新如下