17.1遠程資源授權準備

17.1.1認證和訪問流程圖

參考：http://www.zyiz.net/tech/detail-141309.html

17.1.2為用戶指定角色

可以使用ROLE_USER和ROLE_ADMIN 兩種角色

17.1.3添加認證服務和資源服務

17.1.4配置客戶端的認證許可權

17.1.5資源伺服器打開遠程授權

Policy Enforcement Mode：指定授權伺服器接受到請求時策略如何執行

• Enforcing：當資源沒有配置關聯的策略時，請求預設被拒絕訪問，這也是預設的選項
• Permissive：當資源沒有配置關聯的策略時，請求允許訪問，但也需要先登錄，否則拒絕訪問
• Disabled：禁用所有資源的所有訪問策略

Decision Strategy：表示許可權最終是如何計算的策略，以決定相應的資源是否能獲得授權

• Affirmative ：至少一個許可權計算做出正向決定
• Unanimous：所有的許可權計算都要做出正向決定

17.1.6配置資源客戶端的uma_protection角色

這一步非常重要，如果沒有配置，遠程授權會是403
這個參考資料：https://stackoverflow.com/questions/47199243/spring-keycloak-adapter-permissions-policy-enforcer-how-to-set-it-up

17.1.7資源和許可權及策略關係圖

17.2對資源授權的步驟

17.2.1建立資源

17.2.2建立策略

17.2.3建立許可權

一個許可權用關聯一個資源和多個策略

遠程授權配置

keycloak:
  auth-server-url: http://localhost:8080/auth
  realm: myrealm
  resource: resource-server
  credentials:
    secret: 0da76edf-e2df-49a9-a336-6b9bc35afa7e
  policy-enforcer-config:
    enforcement-mode: ENFORCING
   security-constraints:
    - auth-roles:
        - "*"
  security-collections:
    - name:
      patterns:
       - /*

作者：倉儲大叔，張占嶺，
榮譽：微軟MVP
QQ：853066980

支付寶掃一掃，為大叔打賞!