如何解决保护 API 和 Keycloak
我部署了一个独立的 Keycloak (KC) 服务器,并且我开发了一个 API,它用作资源服务器(它不应该处理用户的登录/注册等)与 Spring Boot。我希望使用 KC JWT 令牌保护此 API。我希望每个来的用户都已经获得了 JWT 令牌。我在 API 的安全配置中添加了以下配置:
spring.security.oauth2.resourceserver.jwt.issuer-uri=http://localhost:8180/auth/realms/<REALM_NAME>。
一切都按预期进行,我的 API 只能允许经过身份验证和授权的用户调用端点。但是,我有以下问题:
由于我现在的配置是这样,任何从我的 KC 服务器和 issuer-uri 接收令牌的人都可以构建另一个 API 并做她/他自己的事情。如何限制 KC 服务器以便仅从我允许的 API 中使用?例如:我的 API 应该提供一个 client_name 和一个 client-secret,然后才被允许向发行者验证令牌。
我使用 spring-boot-starter-oauth2-resource-server 来配置 OAuth2,而不是 Keycloak 提供的。我正在运行 Spring Boot 2.4、Spring Security 5 和 Keycloak 12.0.4。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
