使用 Spring Oauth2RestTemplate 时如何切换到服务用户
How to switch to a service user when using Spring Oauth2RestTemplate
我正在尝试使用 Spring 的 Oauth2RestTemplate,但我们需要它在进行 Rest 调用时使用一些超级用户(我们有用户定义),而不是通过最初的用户拨打了服务电话。
情况是这样的:
userA 调用 endpointA。自然地,他有权访问这个端点(基于他在 Keycloak 中分配的角色中允许的操作)。 endpointA 然后将使用 OAuth2RestTemplate 对另一个服务 endpointB 进行 Rest 调用。但是,userA 没有访问该端点的权限。这个调用应该以 service-user 的身份进行,在我们的 keycloak 中,他本质上是一个可以做任何事情的超级用户。问题是,OAuth2RestTemplate 保留了进行原始调用的同一用户 (userA) - 由于不允许他访问该端点,因此调用失败(基于我们设置的 RBAC 内容,与Oauth2 安全方面的事情)。
有没有办法使用访问受限的 userA 访问端点,并让它触发使用可以访问所有内容的 service-user 通过 OAuth2RestTemplate 进行 REST 调用?注意:service-user 的 OAuth2 信息仍应被检索,就像它仍然是 userA 一样(在 keycloak 中查找)。本质上,这只是我们在进行 REST 调用之前更改用户名(好吧......我认为这就是它所需要的)。
注意:我找到了一种暂时通过此方法的方法。那是通过在进行 REST 调用之前创建一个新线程。这是有效的,因为 Spring 不再有权访问该新线程中的用户安全上下文,迫使它使用创建 OAuth2RestTemplate 时提供的安全详细信息检索新令牌。这表明另一种解决方案(实际上是首选)是强制 OAuth2RestTemplate 在命中时始终检索新令牌(使用 ResourceDetails,而不是用户令牌的“刷新”),而不是使用存储在 SecurityContextHolder 中的令牌请求的开始。
我最终只是在进行 REST 调用之前清除了上下文:
SecurityContextHolder.clearContext()
当 OAuth2RestTemplate 进行调用时,它将检查是否已通过该持有者完成身份验证。如果它没有看到令牌(当您清除上下文时就是这种情况),它将使用 ResourceDetails 中定义的 OAuth2 配置查找新令牌。只需确保它引用具有所需权限的客户端即可。
我正在尝试使用 Spring 的 Oauth2RestTemplate,但我们需要它在进行 Rest 调用时使用一些超级用户(我们有用户定义),而不是通过最初的用户拨打了服务电话。
情况是这样的:
userA 调用 endpointA。自然地,他有权访问这个端点(基于他在 Keycloak 中分配的角色中允许的操作)。 endpointA 然后将使用 OAuth2RestTemplate 对另一个服务 endpointB 进行 Rest 调用。但是,userA 没有访问该端点的权限。这个调用应该以 service-user 的身份进行,在我们的 keycloak 中,他本质上是一个可以做任何事情的超级用户。问题是,OAuth2RestTemplate 保留了进行原始调用的同一用户 (userA) - 由于不允许他访问该端点,因此调用失败(基于我们设置的 RBAC 内容,与Oauth2 安全方面的事情)。
有没有办法使用访问受限的 userA 访问端点,并让它触发使用可以访问所有内容的 service-user 通过 OAuth2RestTemplate 进行 REST 调用?注意:service-user 的 OAuth2 信息仍应被检索,就像它仍然是 userA 一样(在 keycloak 中查找)。本质上,这只是我们在进行 REST 调用之前更改用户名(好吧......我认为这就是它所需要的)。
注意:我找到了一种暂时通过此方法的方法。那是通过在进行 REST 调用之前创建一个新线程。这是有效的,因为 Spring 不再有权访问该新线程中的用户安全上下文,迫使它使用创建 OAuth2RestTemplate 时提供的安全详细信息检索新令牌。这表明另一种解决方案(实际上是首选)是强制 OAuth2RestTemplate 在命中时始终检索新令牌(使用 ResourceDetails,而不是用户令牌的“刷新”),而不是使用存储在 SecurityContextHolder 中的令牌请求的开始。
我最终只是在进行 REST 调用之前清除了上下文:
SecurityContextHolder.clearContext()
当 OAuth2RestTemplate 进行调用时,它将检查是否已通过该持有者完成身份验证。如果它没有看到令牌(当您清除上下文时就是这种情况),它将使用 ResourceDetails 中定义的 OAuth2 配置查找新令牌。只需确保它引用具有所需权限的客户端即可。