Authentifizierung und Autorisierung selbst zu implementieren ist fehlertr\u00e4chtig und aufwendig. Keycloak, der Open-Source-Identity-Provider von Red Hat, \u00fcbernimmt diese Aufgaben \u2014 vom Login \u00fcber Social-Logins bis hin zum feingranularen Rechte-Management. In diesem Artikel zeige ich, wie Keycloak nahtlos in eine Spring-Boot-Anwendung integriert wird.<\/p>\n\n\n\n
Keycloak ist ein IAM-System (Identity and Access Management) mit folgenden Kernfunktionen:<\/p>\n\n\n\n
F\u00fcr die lokale Entwicklung starten wir Keycloak am einfachsten per Docker:<\/p>\n\n\n
docker run -d -p 127.0.0.1:8080:8080 \\\n -e KC_BOOTSTRAP_ADMIN_USERNAME=admin \\\n -e KC_BOOTSTRAP_ADMIN_PASSWORD=admin \\\n quay.io\/keycloak\/keycloak:26.6.3 start-dev\n<\/code><\/span><\/pre>\n\n\nDanach ist die Admin-Konsole unter http:\/\/localhost:8080\/admin<\/code> erreichbar. Dort legen wir einen Realm namens meine-anwendung<\/code> an, einen Client spring-boot-client<\/code> und einen Testbenutzer.<\/p>\n\n\n\n\nHinweis zur Keycloak-Distribution:<\/strong> Seit Keycloak 17 basiert die Server-Distribution auf Quarkus, einem Kubernetes-nativen Java-Stack. Die WildFly-basierte Distribution wurde mit Version 20 endg\u00fcltig entfernt. Der Docker-Befehl oben verwendet die Quarkus-Konfiguration (KC_BOOTSTRAP_ADMIN_*<\/code>).<\/p>\n<\/blockquote>\n\n\n\nSpring Boot konfigurieren<\/h2>\n\n\n\n
Die Integration auf Spring-Seite erfolgt \u00fcber den standardisierten Spring Security OAuth2-Client. Der veraltete keycloak-spring-boot-adapter<\/code> wurde mit Keycloak 19+ endg\u00fcltig durch OIDC\/OAuth2-basierte Adapter abgel\u00f6st und ist nicht mehr zu verwenden. Die moderne Konfiguration sieht so aus:<\/p>\n\n\n<dependency<\/span>><\/span>\n <groupId<\/span>><\/span>org.springframework.boot<\/groupId<\/span>><\/span>\n <artifactId<\/span>><\/span>spring-boot-starter-oauth2-client<\/artifactId<\/span>><\/span>\n<\/dependency<\/span>><\/span>\n<dependency<\/span>><\/span>\n <groupId<\/span>><\/span>org.springframework.boot<\/groupId<\/span>><\/span>\n <artifactId<\/span>><\/span>spring-boot-starter-security<\/artifactId<\/span>><\/span>\n<\/dependency<\/span>><\/span>\n<\/code><\/span>Code-Sprache:<\/span> HTML, XML<\/span> (<\/span>xml<\/span>)<\/span><\/small><\/pre>\n\n<em># application.yml<\/em><\/span>\nspring:\n security:\n oauth2:\n client:\n registration:\n keycloak:\n client-id: spring-boot-client\n client-secret: abc123def456\n scope: openid, profile, email\n authorization-grant-type: authorization_code\n redirect-uri: \"{baseUrl}\/login\/oauth2\/code\/{registrationId}\"<\/span>\n provider:\n keycloak:\n issuer-uri: http:\/\/localhost:8080\/realms\/meine-anwendung<\/span>\n user-name-attribute: preferred_username\n<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\nSecurity-Konfiguration<\/h2>\n\n\n\n
Die SecurityFilterChain<\/code>-Bean definiert, welche Pfade gesch\u00fctzt sind und wie authentifiziert wird:<\/p>\n\n\nimport<\/span> org.springframework.context.annotation.Bean;\nimport<\/span> org.springframework.context.annotation.Configuration;\nimport<\/span> org.springframework.security.config.annotation.web.builders.HttpSecurity;\nimport<\/span> org.springframework.security.web.SecurityFilterChain;\n\n@Configuration\npublic class<\/span> SecurityConfig<\/span> <\/span>{\n\n @Bean\n public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {\n http\n .authorizeHttpRequests(auth -> auth\n .requestMatchers(\"\/public\/**\"<\/span>).permitAll()\n .requestMatchers(\"\/api\/admin\/**\"<\/span>).hasRole(\"admin\"<\/span>)\n .anyRequest().authenticated()\n )\n .oauth2Login(oauth2 -> oauth2\n .defaultSuccessUrl(\"\/dashboard\"<\/span>, true<\/span>)\n )\n .logout(logout -> logout\n .logoutSuccessUrl(\"\/\"<\/span>)\n );\n return<\/span> http.build();\n }\n}\n<\/code><\/span>Code-Sprache:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\nRollenbasierte Zugriffskontrolle<\/h2>\n\n\n\n
Keycloak-Rollen werden automatisch als Spring-Security-Authorities abgebildet. Mit @PreAuthorize<\/code> lassen sich Methoden granular sch\u00fctzen:<\/p>\n\n\nimport<\/span> org<\/span>.springframework<\/span>.security<\/span>.access<\/span>.prepost<\/span>.PreAuthorize<\/span>;\nimport<\/span> org<\/span>.springframework<\/span>.web<\/span>.bind<\/span>.annotation<\/span>.GetMapping<\/span>;\nimport<\/span> org<\/span>.springframework<\/span>.web<\/span>.bind<\/span>.annotation<\/span>.RestController<\/span>;\n\n@RestController<\/span>\npublic class UserController {\n\n @GetMapping<\/span>(\"\/api\/admin\/dashboard\")\n @PreAuthorize(\"hasRole('admin')\"<\/span>)\n public String adminDashboard() {\n return<\/span> \"Willkommen<\/span> im<\/span> Admin-Bereich<\/span>!\";\n }\n\n @GetMapping<\/span>(\"\/api\/user\/profile\")\n @PreAuthorize(\"hasAnyRole('user', 'admin')\"<\/span>)\n public String userProfile() {\n return<\/span> \"Ihr<\/span> Benutzerprofil<\/span>\";\n }\n}\n<\/code><\/span>Code-Sprache:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\nBenutzerinformationen auslesen<\/h2>\n\n\n\n
\u00dcber @AuthenticationPrincipal<\/code> lassen sich die OIDC-Benutzerdaten direkt in Controller-Methoden injizieren:<\/p>\n\n\nimport<\/span> org<\/span>.springframework<\/span>.security<\/span>.core<\/span>.annotation<\/span>.AuthenticationPrincipal<\/span>;\nimport<\/span> org<\/span>.springframework<\/span>.security<\/span>.oauth2<\/span>.core<\/span>.oidc<\/span>.user<\/span>.OidcUser<\/span>;\n\n@GetMapping<\/span>(\"\/whoami\")\npublic Map<String, Object> whoami(@AuthenticationPrincipal OidcUser user) {\n return<\/span> Map<\/span>.of<\/span>(\n \"name<\/span>\", user<\/span>.getFullName<\/span>(),\n \"email<\/span>\", user<\/span>.getEmail<\/span>(),\n \"roles<\/span>\", user<\/span>.getAuthorities<\/span>()\n );\n}\n<\/code><\/span>Code-Sprache:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\nFazit<\/h2>\n\n\n\n
Keycloak in Kombination mit Spring Boot und Spring Security 7 bietet eine produktiv getestete L\u00f6sung f\u00fcr Authentifizierung und Autorisierung. Statt Passwort-Hashing, Session-Management und Rollen-Logik selbst zu bauen, konzentriert man sich auf die Fachdom\u00e4ne \u2014 Keycloak erledigt den Rest. Die Konfiguration ist dank Spring-Security-Autokonfiguration und standardisiertem OIDC-Protokoll in wenigen Minuten erledigt.<\/p>\n","protected":false},"excerpt":{"rendered":"
Authentifizierung und Autorisierung selbst zu implementieren ist fehlertr\u00e4chtig und aufwendig. Keycloak, der Open-Source-Identity-Provider von Red Hat, \u00fcbernimmt diese Aufgaben \u2014 vom Login \u00fcber Social-Logins bis hin zum feingranularen Rechte-Management. In diesem Artikel zeige ich, wie Keycloak nahtlos in eine Spring-Boot-Anwendung integriert wird. Was Keycloak kann Keycloak ist ein IAM-System (Identity and Access Management) mit folgenden […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5],"tags":[],"class_list":["post-673","post","type-post","status-publish","format-standard","hentry","category-plain_java","category-spring"],"_links":{"self":[{"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=\/wp\/v2\/posts\/673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=673"}],"version-history":[{"count":1,"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=\/wp\/v2\/posts\/673\/revisions"}],"predecessor-version":[{"id":674,"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=\/wp\/v2\/posts\/673\/revisions\/674"}],"wp:attachment":[{"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.xn--javaeinfacherklrt-4qb.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}