avkazakov 14 апр 2021 в 12:22

Подключение Keycloak к Spring Boot приложению

20 мин

64K

Блог компании ReksoftJava*

+10

Комментарии 13

gsaw 14 апр 2021 в 12:59

Мне вот интересно. Это обычная практика вставлять аутентификацию в само spring приложение?

А то я решил в проекте использовать Apache модуль для аутентификации пользователя. Мне показалось так правильнее отделить бизнесприложение от наносного. И вроде как к примеру mod_auth_openidc сертифицирован, но почему то очень мало по нему находится примеров использования в интернете. Практически только документация на гитхабе и пара комментариев на в issues на том же гитхабе.

Так то оно все прекрасно работает, но что то меня грызут червяки сомнений.

avkazakov 14 апр 2021 в 13:07

Мне вот интересно. Это обычная практика вставлять аутентификацию в само spring приложение?

Здесь аутентификация на стороне Keycloak происходит

gsaw 14 апр 2021 в 14:11

Да это понятно. Не знаю тогда как назвать ту часть, что встраивается в приложение. На ум больше ничего не приходит. Проверка наличия токена, переадресация кейклоку, запрос токена итд. Все это имхо часть аутентификации.

avkazakov 14 апр 2021 в 14:15

Если большая система, то обязанность проверки и переадресации обычно возлагают на API Gateway. Но часто оставляют проверку на наличие токена и валидацию его подписи в самих сервисах, чтобы предотвратить, на всякий случай, несанкционированный доступ.

ladutsko 14 апр 2021 в 16:45

Поддержу Вас в вопросе выноса аутентификации из приложения. Конечно нужно рассматривать каждый случай отдельно и если в принципе только одно приложение, то почему бы и да.

Другое дело авторизация. Проверка разрешений бывает вшита в сервисы и по этому все равно придется получать эти разрешения для текущего пользователя. Это может не сильно отличаться от процесса аутентификации.

shuron 25 апр 2021 в 20:57

У меня такой случай. Gateway есть…
Вот думаю может там токены в едином месте и проверять. А сервисам за Gateway слать клеймы в headerах. Обычно нужен только ID пользователя…
Мне кажется преимуществом была бы единая точка проверки. Все сервисы из одной домены и в кругу одной команды и одном уровне доверия.
Или есть в этой практике прям очевидные минусы?

avkazakov 25 апр 2021 в 22:11

Такой подход тоже часто используют. Если у вас сервисы хорошо защищены от запросов извне, то можно убрать security совсем из сервисов, так мы уберем дополнительную обязанность с микросервисов. Но в этом случае у вас Gateway становится бутылочным горлышком.

А как вы планируете разделять API по ролям по url запроса на gateway или в header класть информацию о роли пользователя?
Или различные точки входа(возможно разные API Gateway) для разных ролей пользователя?

shuron 25 апр 2021 в 23:50

У нас пока онда роль и одна гейтвей. Разделять особо нечего. Бутылочное горлышко — это гейтвей по определению ;)

maxkan 14 апр 2021 в 13:37

Спасибо, очень полезная статья

saakovv 14 апр 2021 в 14:10

Добрый день,
Важно в сервисах авторизации не забывать об использовании SSL…

Iamme 22 июн 2021 в 20:55

Спасибо, полезно. Но почему для клиента использован spring-boot-starter-oauth2-client, а для сервера ресурсов spring-security-oauth2-resource-server? (есть spring-boot-starter-oauth2-resource-server; он новее, как я понимаю)

avkazakov 23 июн 2021 в 12:07

Добрый день!
spring-boot-starter-oauth2-resource-server это стартер, он в себе содержит также зависимость spring-security-oauth2-resource-server, вы можете в этом убедиться, посмотрев зависимости, которые он загружает

Lastro 17 апр 2023 в 14:52

Отличная статья!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий