如何解决使用 Spring Oauth2RestTemplate 时如何切换到服务用户
我正在尝试使用 Spring 的 Oauth2RestTemplate,但我们需要它在进行 Rest 调用时使用一些超级用户(我们定义了用户),而不是通过最初进行服务调用的用户。
情况是这样的:
userA 调用 endpointA。自然,他有权访问此端点(基于他在 Keycloak 中分配的角色中允许的操作)。 endpointA 然后将使用 OAuth2RestTemplate 对另一个服务 endpointB 进行 Rest 调用。但是,userA 没有访问该端点的权限。这个调用应该以 service-user 的身份进行,在我们的 keycloak 中,他本质上是一个可以做任何事情的超级用户。问题是,OAuth2RestTemplate 保留了进行原始调用 (userA) 的同一用户 - 由于他未被允许访问该端点,因此调用失败(基于我们设置的 RBAC 内容,与Oauth2 安全方面的事情)。
有没有办法使用访问权限有限的 userA 访问端点,并让它触发通过 OAuth2RestTemplate 使用可以访问所有内容的 service-user 进行 REST 调用?注意:该 service-user 的 OAuth2 信息仍然应该像它仍然是 userA 一样被检索(在 keycloak 中查找)。本质上,这只是我们在进行 REST 调用之前更改用户名(嗯……我认为这就是它所需要的)。
注意:我找到了一种暂时通过这个的方法。那是通过在进行 REST 调用之前创建一个新线程。这是有效的,因为 Spring 不再有权访问该新线程中用户的安全上下文,迫使它使用创建 OAuth2RestTemplate 时提供的安全详细信息检索新令牌。这表明另一种解决方案(实际上是首选)是强制 OAuth2RestTemplate 在命中时始终检索新令牌(使用 ResourceDetails,而不是用户令牌的“刷新”),而不是使用存储在 SecurityContextHolder 中的令牌请求的开始。
解决方法
我最终只是在进行 REST 调用之前清除了上下文:
SecurityContextHolder.clearContext()
当 OAuth2RestTemplate 开始调用时,它会检查是否已通过该持有者完成身份验证。如果它没有看到令牌(清除上下文时就是这种情况),它将使用 ResourceDetails 中定义的 OAuth2 配置查找新令牌。只需确保它引用具有所需权限的客户端即可。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
