请教一下 keycloak 应用权限设置

2022-09-19 09:10:20 +08:00
 yaott2020
创建一个 realm(auth),创建两个 client(app1 app2),创建两个 role(role1 role2),创建两个 user(userA userB)并且分别分配到 role1 和 role2 。

现在想做这样的权限设置:app1 只允许 role1 访问,app2 只允许 role2 访问,应该怎么设置?

两个应用都是 openid-connect 接入,client 都是 web 应用,使用 openresty+lua-resty-openidc
1183 次点击
所在节点    问与答
12 条回复
hmz0327
2022-09-19 09:38:50 +08:00
client 里好像可以创建 role
hmz0327
2022-09-19 09:40:53 +08:00
创建 user 时可以指定 clientRoles
yaott2020
2022-09-19 10:00:30 +08:00
clientRole 和 role 要怎么关联呢
Casbin
2022-09-19 10:02:01 +08:00
@yaott2020 用 casdoor ,可以很容易设置角色的应用权限: https://casdoor.cn/
yaott2020
2022-09-19 10:04:37 +08:00
@Casbin 就是刚从 casdoor 切过来。。。感觉 casdoor bug 还挺多的。。。
hmz0327
2022-09-19 11:31:45 +08:00
在 Configure->Roles 里创建的是 realmRole ,Client 里创建的 Role 是 clientRole ,它们的权限范围是不一样的。
hmz0327
2022-09-19 11:39:58 +08:00
我也刚用没多久,懂得也不太多
yaott2020
2022-09-19 11:49:51 +08:00
@hmz0327 那需要怎样关联呢,如果在用户设置里面关联,好像只能关联一个 client
hmz0327
2022-09-19 13:11:48 +08:00
在用户设置里面是可以关联多个的,切换另一个 client 然后关联就行了。
hmz0327
2022-09-19 13:12:53 +08:00
在 UserRepresentation 类里,clientRoles 是个 Map 类型。
protected Map<String, List<String>> clientRoles;
clickhouse
2022-09-19 13:42:53 +08:00
不确定 lua-resty-openidc 是否可以拿到用户在特定 client 或者 realm 的 role 信息, 如果可以的话直接判断就行。
如果只能拿到用户基本信息,可以依靠 keycloak 本身去做权限判断和拦截,用这个插件: https://github.com/sventorben/keycloak-restrict-client-auth
yaott2020
2022-09-20 14:33:38 +08:00
11 楼方法可行

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/881148

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX