Два года назад я получил задачу, которая сначала показалась тривиальной: интегрировать корпоративную аутентификацию в микросервисную архитектуру. На тот момент у нас было семь Spring Boot приложений, каждое со своей системой входа. Пользователи жаловались на необходимость помнить семь паролей, а администраторы тратили часы на синхронизацию доступов между системами. "Keycloak решит все проблемы за пару дней", - самоуверенно заявил я на планёрке. Как же я ошибался! Первая попытка интеграции превратилась в трёхнедельный кошмар с циклическими редиректами, потерянными сессиями и загадочными ошибками CORS.
Помню, как в первый день развертывания Keycloak локально я радостно запустил Docker контейнер и попытался сразу подключить первое приложение. Через час отладки выяснилось, что я неправильно настроил redirect URI, а еще через два часа оказалось, что не учёл особенности работы с локальными доменами в браузере. Самым болезненным моментом стала попытка заставить работать Single Sign-On между приложениями на разных поддоменах. Браузер Chrome начал блокировать cookies, сессии терялись при переходах, а пользователи снова вводили логин и пароль в каждом приложении. На тот момент я всерьёз подумывал вернуться к самописной JWT-авторизации. Но через месяц упорной работы система заработала как часы. Пользователи входили один раз и получали доступ ко всем сервисам, администраторы управляли правами из единого интерфейса, а разработчики избавились от головной боли с поддержкой кода аутентификации в каждом микросервисе. Сейчас эта система обслуживает около тысячи пользователей ежедневно без серьёзных проблем.
Что такое Keycloak и зачем он нужен
Keycloak - это открытый сервер управления идентификацией и доступом, разработанный Red Hat. По сути, это готовое решение для всех задач, связанных с аутентификацией и авторизацией в современных приложениях. Основное предназначение Keycloak заключается в централизации управления пользователями, их ролями и правами доступа. Вместо того чтобы в каждом приложении реализовывать собственную систему логина, хранить хеши паролей и изобретать велосипед авторизации, вы делегируете эти задачи специализированному сервису.
В моем случае переход на Keycloak был продиктован растущими требованиями к безопасности и удобству пользователей. До внедрения у нас работало семь независимых Spring Boot приложений - CRM система, система документооборота, HR-портал, аналитический дашборд, система мониторинга, API Gateway и административная панель. Каждое приложение имело собственную базу пользователей, свои правила паролей и уникальные механизмы сброса доступов.
Пользователи запускали браузер утром и вводили логин-пароль семь раз подряд. Попытки "запомнить пароль" в браузере приводили к хаосу, когда при смене пароля в одной системе остальные шесть становились недоступными. HR-отдел тратил часы на создание аккаунтов для новых сотрудников в каждой системе отдельно, а при увольнении кого-то из команды администраторы обходили все приложения, чтобы заблокировать доступ. Keycloak решает эти проблемы через концепцию Single Sign-On (SSO). Пользователь аутентифицируется один раз в Keycloak, после чего получает доступ ко всем подключенным приложениям без повторного ввода учетных данных. Технически это реализуется через протоколы OAuth 2.0, OpenID Connect и SAML 2.0.
Интересная особенность Keycloak заключается в поддержке концепции realm'ов - изолированных пространств для разных организаций или проектов. В одной инсталляции Keycloak можно создать realm для внутренних сотрудников, отдельный realm для клиентов и ещё один для партнёров. Каждый realm имеет собственные настройки безопасности, темы оформления, провайдеры аутентификации и пользователей. Архитектурно Keycloak построен на основе стандартных протоколов. OpenID Connect используется для аутентификации и получения информации о пользователе, OAuth 2.0 - для авторизации и управления доступом к ресурсам, SAML 2.0 - для интеграции с корпоративными системами вроде Active Directory. Такой подход гарантирует совместимость с большинством современных фреймворков и библиотек.
Для Spring Boot разработчика Keycloak особенно привлекателен благодаря готовым адаптерам и стартерам. Spring Security поддерживает OAuth 2.0 Resource Server из коробки, что делает интеграцию относительно безболезненной. Хотя "относительно" - ключевое слово здесь, потому что подводных камней всё равно хватает.
Помимо базовой аутентификации Keycloak предоставляет продвинутые возможности: многофакторную аутентификацию, социальные логины, федерацию с внешними провайдерами, тонкую настройку политик паролей, аудит действий пользователей, кастомные темы для страниц входа и даже возможность писать собственные провайдеры на Java.
В production окружении Keycloak показал себя достаточно стабильным решением. За два года работы у нас было всего несколько инцидентов, связанных с недоступностью сервиса, и ни одного случая компрометации данных. Производительность тоже устраивает - сервер на двух ядрах и 4 ГБ памяти спокойно обслуживает тысячу активных сессий. Однако внедрение Keycloak требует серьёзного планирования архитектуры приложений. Нужно продумать стратегию обработки ошибок сети, кеширование токенов, обновление access token'ов и graceful degradation при недоступности Keycloak сервера. Без этого система может стать более хрупкой, чем была изначально.
Project 'org.springframework.boot:spring-boot-starter-parent:2.3.2.RELEASE' not found
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
... Что такое Spring, Spring Boot?
Здравствуйте.
Никогда не использовал Spring, Spring Boot.
Возник такой вопрос можно ли его... Spring в Spring Boot context
ClassPathXmlApplicationContext context = new ClassPathXmlApplicationContext(
... Spring Boot VS Tomcat+Spring - что выбрать?
Всем доброго дня!
Я наверное еще из старой школы - пилю мелкие проект на Spring + Tomcat...
...
Проблемы самописной аутентификации в энтерпрайз-разработке
Перед переходом на Keycloak я провел несколько лет, разрабатывая и поддерживая самописные системы аутентификации. Каждый раз казалось, что "на этот раз мы всё сделаем правильно", но реальность оказывалась куда суровее. Теперь, с высоты накопленного опыта, понимаю: создание надёжной системы аутентификации с нуля - это не просто сложная задача, а целый комплекс взаимосвязанных проблем.
Первая и самая очевидная проблема - безопасность хранения паролей. Сколько раз я видел проекты, где пароли хранились в открытом виде или хешировались простым MD5! Даже когда команда использует bcrypt или Argon2, возникают вопросы с правильной настройкой параметров хеширования. Слишком быстрое хеширование оставляет систему уязвимой для brute-force атак, слишком медленное - создает проблемы с производительностью при высокой нагрузке.
Управление сессиями превращается в отдельную головную боль. В одном проекте мы хранили сессии в памяти приложения, что работало отлично до момента масштабирования на несколько инстансов. Пользователи постоянно "выбрасывались" из системы при переключении между серверами. Переход на Redis для хранения сессий решил проблему горизонтального масштабирования, но добавил новые сложности с настройкой кластера и обработкой отказов. Особенно болезненной становится проблема с JWT токенами. На первый взгляд JWT кажется идеальным решением - stateless, компактные, поддерживаются всеми фреймворками. Но когда дело доходит до реализации логики отзыва токенов, всё становится намного сложнее. Как запретить доступ пользователю, если его JWT токен действителен еще час? Blacklist токенов? Тогда система перестает быть stateless. Короткое время жизни токенов? Тогда пользователи постоянно переавторизуются.
Интеграция с корпоративными системами идентификации приносит свои трудности. В одном проекте потребовалось подключить LDAP интеграцию с Active Directory. Казалось бы, стандартный протокол, множество библиотек... Но оказалось, что у каждой корпоративной AD настройки индивидуальные схемы атрибутов, разные способы группировки пользователей и уникальные политики безопасности. Код интеграции превратился в лоскутное одеяло из костылей и исключений. Многофакторная аутентификация - ещё одна область, где самописные решения быстро становятся неподъёмными. Нужно поддерживать SMS, TOTP, email-подтверждение, аппаратные токены... Каждый метод требует интеграции с внешними сервисами, обработки ошибок, резервных механизмов. А ещё пользователи теряют телефоны, меняют email адреса, забывают backup коды. В итоге значительная часть времени техподдержки тратится на восстановление доступа.
Проблема разграничения прав доступа усложняется с ростом системы. Начинаешь с простой проверки "админ или обычный пользователь", через полгода добавляется роль "модератор", потом "только чтение", "региональный администратор", "временный доступ"... Система ролей разрастается в неуправляемую иерархию, где никто не может точно сказать, какие права у конкретного пользователя.
Архитектурные принципы Identity Provider и OpenID Connect vs SAML
Чтобы понять, почему Keycloak работает именно так, а не иначе, нужно разобраться в фундаментальных принципах Identity Provider архитектуры. За годы работы с различными системами аутентификации я убедился: без понимания базовых концепций любая интеграция превращается в шаманство с танцами вокруг конфигурационных файлов.
Identity Provider (IdP) - это центральный компонент в архитектуре федеративной аутентификации. Его основная задача заключается в том, чтобы принимать на себя ответственность за проверку подлинности пользователей и предоставление их учетных данных другим системам. Вместо того чтобы каждое приложение хранило собственную базу пользователей, все они доверяют единому авторитетному источнику - Identity Provider.
Принцип разделения ответственности лежит в основе этой архитектуры. Приложения (Service Provider или Relying Party) перестают заниматься вопросами хранения паролей, проверки учетных данных и управления сессиями. Они делегируют эти функции специализированному сервису и получают обратно стандартизированные токены или утверждения о том, кого представляет текущий пользователь.
Такое разделение приносит множество преимуществ, но требует надёжного механизма доверия между компонентами. Как приложение может убедиться, что токен действительно выдан доверенным IdP? Как защититься от подделки токенов или их перехвата злоумышленниками? Эти вопросы решаются через криптографические подписи, сертификаты и строго определённые протоколы обмена данными. В мире корпоративной разработки доминируют два основных протокола: SAML 2.0 и OpenID Connect (построенный поверх OAuth 2.0). Каждый из них решает схожие задачи, но по-разному подходит к реализации.
SAML (Security Assertion Markup Language) - это более старый и формальный протокол, появившийся в эпоху SOA архитектур. Он основан на XML и предполагает обмен детализированными утверждениями о пользователе между провайдером идентификации и сервис-провайдером. SAML assertion содержит не только информацию об аутентификации, но и атрибуты пользователя - роли, группы, департамент, email и другие метаданные. Основное преимущество SAML заключается в его зрелости и широкой поддержке в корпоративной среде. Практически любая enterprise система - от SharePoint до SAP - имеет встроенную поддержку SAML. Протокол предоставляет детальный контроль над процессом аутентификации, позволяет настраивать сложные сценарии с множественными Identity Provider'ами и поддерживает продвинутые возможности вроде единого выхода (Single Logout).
Однако SAML показывает свой возраст в эпоху микросервисов и SPA приложений. XML-based сообщения громоздки для современных REST API, конфигурация требует глубоких знаний стандарта, а отладка интеграции превращается в изучение многостраничных XML документов. В одном проекте я потратил целый день на поиск проблемы в SAML Response, которая оказалась лишним пробелом в XML namespace declaration.
OpenID Connect представляет собой современную альтернативу, построенную поверх OAuth 2.0. Вместо XML он использует JSON Web Tokens (JWT), что делает интеграцию намного проще для веб-разработчиков. Протокол специально создавался с учётом потребностей современных приложений - SPA, мобильных apps, REST API. Ключевое отличие OpenID Connect от чистого OAuth 2.0 состоит в добавлении слоя аутентификации. OAuth изначально решал задачи авторизации - предоставления доступа к ресурсам без раскрытия учетных данных. OpenID Connect добавляет стандартизированный способ получения информации о том, кто является текущим пользователем.
В процессе аутентификации OIDC приложение получает два типа токенов: access token для обращения к защищённым ресурсам и id token с информацией о пользователе. ID token представляет собой JWT, подписанный Identity Provider'ом, который содержит claims о пользователе - уникальный идентификатор, email, имя, время аутентификации.
Архитектурно OIDC использует концепцию "flows" - различные сценарии обмена токенами в зависимости от типа клиентского приложения. Authorization Code Flow подходит для серверных приложений, где можно безопасно хранить client secret. Implicit Flow (сейчас deprecated) использовался для SPA приложений. Authorization Code Flow with PKCE становится современным стандартом для публичных клиентов. Практический опыт показывает, что выбор между SAML и OIDC часто определяется не техническими, а организационными факторами. Если у вас уже есть корпоративная инфраструктура с ADFS или другими enterprise IdP, которые требуют SAML интеграции, то выбор очевиден. Если же вы строите новую систему с нуля или интегрируетесь с современными cloud провайдерами, OIDC окажется намного проще в реализации и поддержке.
Keycloak поддерживает оба протокола, что делает его универсальным решением. Можно настроить SAML для интеграции с legacy системами и одновременно использовать OIDC для новых микросервисов. Такая гибкость оказалась критически важной в нашем проекте, где требовалось интегрироваться одновременно с корпоративной Active Directory (через SAML) и современными React приложениями (через OIDC).
Важный архитектурный принцип - это stateless природа токенов. В отличие от традиционных сессий, JWT токены содержат всю необходимую информацию о пользователе и не требуют обращения к централизованному хранилищу для валидации. Это существенно упрощает масштабирование приложений, но создает новые вызовы с отзывом токенов и обновлением информации о пользователе.
Docker-окружение и подготовка инфраструктуры для разработки
Первое, что понимаешь при работе с Keycloak - без правильно настроенного окружения разработки ты обречён на бесконечную отладку проблем, которые в production работают совсем по-другому. Я потратил несколько недель на создание воспроизводимой среды разработки, которая максимально близко имитирует боевое окружение. Классический подход "скачать архив, распаковать, запустить" с Keycloak не работает в долгосрочной перспективе. Слишком много зависимостей, настроек, переменных окружения. Docker Compose становится единственным разумным способом организации локальной разработки, особенно когда в команде больше двух человек.
Мой базовый docker-compose.yml для Keycloak выглядит обманчиво просто, но за каждой строкой скрывается опыт решения специфических проблем:
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
| version: '3.8'
services:
postgres:
image: postgres:15-alpine
container_name: keycloak-db
environment:
POSTGRES_DB: keycloak
POSTGRES_USER: keycloak
POSTGRES_PASSWORD: password
volumes:
- postgres_data:/var/lib/postgresql/data
ports:
- "5432:5432"
networks:
- keycloak-network
keycloak:
image: quay.io/keycloak/keycloak:23.0
container_name: keycloak-server
environment:
KC_DB: postgres
KC_DB_URL: jdbc:postgresql://postgres:5432/keycloak
KC_DB_USERNAME: keycloak
KC_DB_PASSWORD: password
KC_HOSTNAME: localhost
KC_HOSTNAME_PORT: 8080
KC_HOSTNAME_STRICT: false
KC_HOSTNAME_STRICT_HTTPS: false
KC_HTTP_ENABLED: true
KC_HEALTH_ENABLED: true
KC_METRICS_ENABLED: true
KEYCLOAK_ADMIN: admin
KEYCLOAK_ADMIN_PASSWORD: admin
ports:
- "8080:8080"
depends_on:
- postgres
command: start-dev
networks:
- keycloak-network
volumes:
- ./realm-export.json:/opt/keycloak/data/import/realm-export.json
volumes:
postgres_data:
networks:
keycloak-network:
driver: bridge |
|
Настройка KC_HOSTNAME_STRICT: false решает множество проблем с локальной разработкой. По умолчанию Keycloak требует HTTPS и строго проверяет соответствие hostname в запросах. В development окружении это создаёт ненужные сложности с сертификатами и доменными именами. Отключение strict режима позволяет работать с localhost без дополнительных настроек.
Переменная KC_HEALTH_ENABLED: true включает health check endpoints, которые критически важны для мониторинга в production. Лучше сразу привыкать к их использованию в development. Endpoint `/health` возвращает статус Keycloak сервера, /health/ready показывает готовность к обработке запросов, а /health/live - что процесс живой и отвечает.
Команда start-dev автоматически применяет оптимальные настройки для разработки: отключает кеширование настроек, включает hot reload конфигурации, снижает уровень логирования. В production используется команда start с предварительной сборкой оптимизированного образа.
Монтирование realm-export.json позволяет автоматически импортировать предварительно настроенный realm при первом запуске. Это экономит десятки минут на каждом пересоздании окружения. Файл генерируется через админскую панель Keycloak: Administration Console → Realm Settings → Action → Partial export.
Пример минимального realm-export.json для быстрого старта:
| JSON | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
| {
"realm": "development",
"enabled": true,
"displayName": "Development Realm",
"accessTokenLifespan": 3600,
"refreshTokenMaxReuse": 0,
"ssoSessionIdleTimeout": 1800,
"ssoSessionMaxLifespan": 36000,
"clients": [
{
"clientId": "spring-boot-app",
"enabled": true,
"protocol": "openid-connect",
"publicClient": false,
"standardFlowEnabled": true,
"implicitFlowEnabled": false,
"directAccessGrantsEnabled": true,
"serviceAccountsEnabled": true,
"redirectUrls": [
"http://localhost:8081/*",
"http://localhost:8082/*"
],
"webOrigins": ["*"],
"protocolMappers": [
{
"name": "roles",
"protocol": "openid-connect",
"protocolMapper": "oidc-usermodel-realm-role-mapper",
"config": {
"claim.name": "roles",
"jsonType.label": "String",
"multivalued": "true",
"usermodel.realmRoleMapping.rolePrefix": ""
}
}
]
}
],
"roles": {
"realm": [
{"name": "user"},
{"name": "admin"},
{"name": "manager"}
]
},
"users": [
{
"username": "testuser",
"enabled": true,
"credentials": [
{
"type": "password",
"value": "password",
"temporary": false
}
],
"realmRoles": ["user"],
"attributes": {
"email": ["test@example.com"],
"firstName": ["Test"],
"lastName": ["User"]
}
}
]
} |
|
webOrigins: ["*"] решает большинство CORS проблем в development, но в production следует указывать конкретные домены. CORS ошибки - одна из самых частых причин нерабочих интеграций с Keycloak, особенно в SPA приложениях.
Для команды разработчиков критически важен единообразный способ запуска окружения. Я создаю Makefile с набором команд для типовых операций:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
| .PHONY: start stop restart logs clean
start:
docker-compose up -d
@echo "Waiting for Keycloak to start..."
@until curl -s http://localhost:8080/health/ready > /dev/null; do sleep 2; done
@echo "Keycloak is ready: http://localhost:8080"
@echo "Admin Console: http://localhost:8080/admin (admin/admin)"
stop:
docker-compose down
restart: stop start
logs:
docker-compose logs -f keycloak
clean:
docker-compose down -v
docker system prune -f
reset: clean start
export-realm:
docker exec keycloak-server /opt/keycloak/bin/kc.sh export \
--dir /tmp --realm development --users different_files
docker cp keycloak-server:/tmp/development-realm.json ./realm-export.json
test-health:
curl -s http://localhost:8080/health | jq .
curl -s http://localhost:8080/health/ready | jq . |
|
export-realm автоматизирует создание актуального экспорта realm'а после внесения изменений через админскую панель. Это гарантирует, что все разработчики получат одинаковую конфигурацию при следующем запуске.
Отдельного внимания заслуживает вопрос с SSL сертификатами в локальной разработке. Многие современные браузеры требуют HTTPS для работы с некоторыми API (например, Service Workers или Web Crypto). Простейшее решение - использовать mkcert для генерации локальных сертификатов:
| Bash | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| # Установка mkcert
brew install mkcert # macOS
# или
choco install mkcert # Windows
# Создание локального CA
mkcert -install
# Генерация сертификатов для localhost
mkcert localhost 127.0.0.1 ::1
[/JAVA]
После генерации сертификатов можно модифицировать docker-compose.yml для включения HTTPS:
[/JAVA]yaml
keycloak:
# ... остальная конфигурация
environment:
# ... остальные переменные
KC_HTTP_ENABLED: true
KC_HTTPS_CERTIFICATE_FILE: /opt/keycloak/certs/localhost.pem
KC_HTTPS_CERTIFICATE_KEY_FILE: /opt/keycloak/certs/localhost-key.pem
volumes:
- ./certs:/opt/keycloak/certs:ro
ports:
- "8080:8080"
- "8443:8443" |
|
Мониторинг состояния Keycloak в development требует более продуманного подхода, чем простая проверка доступности порта. В реальных проектах я столкнулся с ситуациями, когда Keycloak отвечал на health check'и, но базовый функционал не работал из-за проблем с подключением к базе данных или некорректной конфигурации realm'а.
Для комплексной проверки состояния системы создаю скрипт health-check.sh:
| Bash | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
| #!/bin/bash
KEYCLOAK_URL="http://localhost:8080"
REALM="development"
CLIENT_ID="spring-boot-app"
echo "Checking Keycloak health..."
# Базовая проверка health endpoint
if ! curl -s -f "$KEYCLOAK_URL/health" > /dev/null; then
echo "Keycloak health endpoint not responding"
exit 1
fi
# Проверка готовности к работе
if ! curl -s -f "$KEYCLOAK_URL/health/ready" > /dev/null; then
echo "Keycloak not ready"
exit 1
fi
# Проверка доступности OIDC конфигурации
OIDC_CONFIG=$(curl -s "$KEYCLOAK_URL/realms/$REALM/.well-known/openid_configuration")
if [ $? -ne 0 ] || [ -z "$OIDC_CONFIG" ]; then
echo "OIDC configuration not available for realm $REALM"
exit 1
fi
echo "Keycloak is healthy and ready"
echo "Admin Console: $KEYCLOAK_URL/admin"
echo "Account Management: $KEYCLOAK_URL/realms/$REALM/account"
echo "OIDC Configuration: $KEYCLOAK_URL/realms/$REALM/.well-known/openid_configuration" |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
| keycloak:
# ... остальная конфигурация
environment:
# ... остальные переменные
KC_LOG_LEVEL: INFO
KC_LOG: console
QUARKUS_LOG_CATEGORY_ORG_KEYCLOAK_EVENTS_LEVEL: DEBUG
QUARKUS_LOG_CATEGORY_ORG_KEYCLOAK_AUTHENTICATION_LEVEL: DEBUG
volumes:
- ./keycloak-logs:/opt/keycloak/data/log |
|
KC_LOG_LEVEL: INFO убирает избыточные DEBUG сообщения, но оставляет включенным детальное логирование для событий аутентификации. Это позволяет видеть все попытки входа, ошибки валидации токенов и проблемы с OIDC flows.
Для упрощения отладки интеграций создаю набор тестовых пользователей с различными ролями и атрибутами. Это экономит время на создание тестовых данных руками через админскую панель:
| JSON | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
| "users": [
{
"username": "admin",
"enabled": true,
"credentials": [{"type": "password", "value": "admin", "temporary": false}],
"realmRoles": ["admin", "user"],
"attributes": {
"email": ["admin@example.com"],
"firstName": ["Admin"],
"lastName": ["User"],
"department": ["IT"],
"employeeId": ["EMP001"]
}
},
{
"username": "manager",
"enabled": true,
"credentials": [{"type": "password", "value": "manager", "temporary": false}],
"realmRoles": ["manager", "user"],
"attributes": {
"email": ["manager@example.com"],
"department": ["Sales"],
"region": ["EMEA"]
}
},
{
"username": "testuser",
"enabled": true,
"credentials": [{"type": "password", "value": "password", "temporary": false}],
"realmRoles": ["user"],
"attributes": {
"email": ["test@example.com"],
"department": ["HR"]
}
},
{
"username": "disabled",
"enabled": false,
"credentials": [{"type": "password", "value": "password", "temporary": false}],
"realmRoles": ["user"]
}
] |
|
"enabled": false специально создан для тестирования сценариев с заблокированными аккаунтами. В реальных приложениях важно правильно обрабатывать такие ситуации.
Вопрос производительности в development окружении становится критичным при работе в команде. Keycloak может потреблять значительные ресурсы, особенно при включенном отладочном логировании. Оптимизация конфигурации JVM помогает сократить время запуска и потребление памяти:
| YAML | 1
2
3
4
5
6
7
| keycloak:
# ... остальная конфигурация
environment:
# ... остальные переменные
JAVA_OPTS: "-Xms512m -Xmx1024m -XX:+UseG1GC -XX:+UseStringDeduplication"
KC_CACHE: local
KC_CACHE_STACK: tcp |
|
KC_CACHE: local отключает кластерное кеширование, которое бессмысленно в single-instance окружении разработки. Параметры JVM ограничивают потребление памяти и включают оптимизации для быстрого старта.
Автоматизация backup'а и восстановления данных спасает от потери настроек при экспериментах с конфигурацией. Скрипт backup.sh создаёт полный снимок состояния:
| Bash | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| #!/bin/bash
BACKUP_DIR="./backups/$(date +%Y%m%d_%H%M%S)"
mkdir -p "$BACKUP_DIR"
echo "Creating backup to $BACKUP_DIR"
# Экспорт realm конфигурации
docker exec keycloak-server /opt/keycloak/bin/kc.sh export \
--dir /tmp --realm development --users different_files
docker cp keycloak-server:/tmp/development-realm.json "$BACKUP_DIR/"
docker cp keycloak-server:/tmp/development-users-0.json "$BACKUP_DIR/"
# Дамп PostgreSQL базы
docker exec keycloak-db pg_dump -U keycloak keycloak > "$BACKUP_DIR/database.sql"
# Копирование конфигурационных файлов
cp docker-compose.yml "$BACKUP_DIR/"
cp realm-export.json "$BACKUP_DIR/"
echo "Backup completed: $BACKUP_DIR" |
|
restore.sh особенно полезно при экспериментах с продвинутыми настройками, которые могут сломать рабочую конфигурацию:
| Bash | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| #!/bin/bash
if [ $# -eq 0 ]; then
echo "Usage: $0 <backup-directory>"
echo "Available backups:"
ls -la backups/
exit 1
fi
BACKUP_DIR="$1"
echo "Restoring from $BACKUP_DIR"
# Остановка и очистка
docker-compose down -v
# Восстановление PostgreSQL
docker-compose up -d postgres
sleep 10
cat "$BACKUP_DIR/database.sql" | docker exec -i keycloak-db psql -U keycloak keycloak
# Запуск Keycloak
docker-compose up -d keycloak
echo "Restore completed" |
|
test-integration.sh:
| Bash | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
| #!/bin/bash
KEYCLOAK_URL="http://localhost:8080"
REALM="development"
CLIENT_ID="spring-boot-app"
CLIENT_SECRET="your-secret-here"
echo "Running integration tests..."
# Тест получения токена через client credentials
TOKEN_RESPONSE=$(curl -s -X POST \
"$KEYCLOAK_URL/realms/$REALM/protocol/openid-connect/token" \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "grant_type=client_credentials&client_id=$CLIENT_ID&client_secret=$CLIENT_SECRET")
if echo "$TOKEN_RESPONSE" | grep -q "access_token"; then
echo "Client credentials flow working"
else
echo "Client credentials flow failed"
echo "$TOKEN_RESPONSE"
fi
# Тест аутентификации пользователя
USER_TOKEN=$(curl -s -X POST \
"$KEYCLOAK_URL/realms/$REALM/protocol/openid-connect/token" \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "grant_type=password&client_id=$CLIENT_ID&client_secret=$CLIENT_SECRET&username=testuser&password=password")
if echo "$USER_TOKEN" | grep -q "access_token"; then
echo "Password grant flow working"
else
echo "Password grant flow failed"
echo "$USER_TOKEN"
fi |
|
Интеграция с Spring Boot и настройка Spring Security OAuth2
После того как Docker окружение настроено и работает стабильно, наступает самая интересная часть - интеграция Spring Boot приложения с Keycloak. На первый взгляд кажется, что достаточно добавить пару зависимостей и указать URL Keycloak сервера. В реальности же каждый шаг таит подводные камни, которые проявляются только в production или при нестандартных сценариях использования.
Начинаю с добавления необходимых зависимостей в pom.xml. Spring Boot предоставляет отличную интеграцию с OAuth2 через стартер spring-boot-starter-oauth2-client, но для полноценной работы с Keycloak потребуется несколько дополнительных библиотек:
| XML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| <dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity6</artifactId>
</dependency>
</dependencies> |
|
oauth2-resource-server критически важно, если ваше приложение не только аутентифицирует пользователей, но и предоставляет API для других сервисов. Без этой зависимости Spring Security не сможет корректно валидировать JWT токены от внешних клиентов.
Базовая конфигурация в application.yml выглядит обманчиво просто:
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| spring:
security:
oauth2:
client:
registration:
keycloak:
client-id: spring-boot-app
client-secret: ${KEYCLOAK_CLIENT_SECRET:your-secret-here}
provider: keycloak
authorization-grant-type: authorization_code
redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
scope: openid,profile,email,roles
provider:
keycloak:
issuer-uri: ${KEYCLOAK_URL:http://localhost:8080}/realms/development
user-name-attribute: preferred_username
server:
port: 8081
logging:
level:
org.springframework.security: DEBUG
org.springframework.security.oauth2: DEBUG
org.springframework.web.client: DEBUG |
|
KEYCLOAK_URL будет указывать на реальный сервер, а KEYCLOAK_CLIENT_SECRET загружаться из секретов Kubernetes.
Параметр user-name-attribute: preferred_username решает проблему с идентификацией пользователя в Spring Security. По умолчанию используется sub claim, который содержит UUID пользователя. Для большинства приложений удобнее работать с человекочитаемым именем пользователя. Отладочное логирование Spring Security помогает понять, что происходит во время OAuth2 flow. Без него отладка превращается в гадание на кофейной гуще. В production эти настройки нужно отключить или перевести на уровень INFO. Security конфигурация требует более тонкой настройки для корректной работы с Keycloak:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
| @Configuration
@EnableWebSecurity
@EnableMethodSecurity(prePostEnabled = true)
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authz -> authz
.requestMatchers("/", "/public/**", "/health/[B]").permitAll()
.requestMatchers("/admin/[/B]").hasRole("ADMIN")
.requestMatchers("/api/**").authenticated()
.anyRequest().authenticated()
)
.oauth2Login(oauth2 -> oauth2
.loginPage("/oauth2/authorization/keycloak")
.defaultSuccessUrl("/dashboard", true)
.failureUrl("/login?error=true")
.userInfoEndpoint(userInfo ->
userInfo.userAuthoritiesMapper(authoritiesMapper())
)
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(jwt -> jwt
.jwtAuthenticationConverter(jwtAuthenticationConverter())
)
)
.logout(logout -> logout
.logoutUrl("/logout")
.logoutSuccessHandler(oidcLogoutSuccessHandler())
.invalidateHttpSession(true)
.clearAuthentication(true)
)
.sessionManagement(session -> session
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
.maximumSessions(1)
.maxSessionsPreventsLogin(false)
);
return http.build();
}
@Bean
public GrantedAuthoritiesMapper authoritiesMapper() {
return authorities -> {
Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
authorities.forEach(authority -> {
if (authority instanceof OidcUserAuthority oidcUserAuthority) {
mappedAuthorities.addAll(extractKeycloakRoles(oidcUserAuthority.getIdToken()));
} else if (authority instanceof OAuth2UserAuthority oauth2UserAuthority) {
mappedAuthorities.addAll(extractKeycloakRoles(oauth2UserAuthority.getAttributes()));
}
mappedAuthorities.add(authority);
});
return mappedAuthorities;
};
}
private Collection<GrantedAuthority> extractKeycloakRoles(OidcIdToken idToken) {
Map<String, Object> realmAccess = idToken.getClaim("realm_access");
if (realmAccess != null && realmAccess.get("roles") instanceof List) {
@SuppressWarnings("unchecked")
List<String> roles = (List<String>) realmAccess.get("roles");
return roles.stream()
.map(role -> new SimpleGrantedAuthority("ROLE_" + role.toUpperCase()))
.collect(Collectors.toSet());
}
return Collections.emptySet();
}
private Collection<GrantedAuthority> extractKeycloakRoles(Map<String, Object> attributes) {
Map<String, Object> realmAccess = (Map<String, Object>) attributes.get("realm_access");
if (realmAccess != null && realmAccess.get("roles") instanceof List) {
@SuppressWarnings("unchecked")
List<String> roles = (List<String>) realmAccess.get("roles");
return roles.stream()
.map(role -> new SimpleGrantedAuthority("ROLE_" + role.toUpperCase()))
.collect(Collectors.toSet());
}
return Collections.emptySet();
}
@Bean
public JwtAuthenticationConverter jwtAuthenticationConverter() {
JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
converter.setJwtGrantedAuthoritiesConverter(jwt -> {
Map<String, Object> realmAccess = jwt.getClaim("realm_access");
if (realmAccess != null && realmAccess.get("roles") instanceof List) {
@SuppressWarnings("unchecked")
List<String> roles = (List<String>) realmAccess.get("roles");
return roles.stream()
.map(role -> new SimpleGrantedAuthority("ROLE_" + role.toUpperCase()))
.collect(Collectors.toSet());
}
return Collections.emptySet();
});
return converter;
}
@Bean
public OidcClientInitiatedLogoutSuccessHandler oidcLogoutSuccessHandler() {
OidcClientInitiatedLogoutSuccessHandler handler =
new OidcClientInitiatedLogoutSuccessHandler(clientRegistrationRepository());
handler.setPostLogoutRedirectUri("{baseUrl}/");
return handler;
}
@Bean
public ClientRegistrationRepository clientRegistrationRepository() {
return new InMemoryClientRegistrationRepository(keycloakClientRegistration());
}
private ClientRegistration keycloakClientRegistration() {
return ClientRegistrations
.fromIssuerLocation("http://localhost:8080/realms/development")
.registrationId("keycloak")
.clientId("spring-boot-app")
.clientSecret("your-secret-here")
.scope("openid", "profile", "email", "roles")
.build();
}
} |
|
extractKeycloakRoles решает важную проблему маппинга ролей Keycloak на Spring Security authorities. Keycloak передаёт роли в специальном claim realm_access.roles, который не обрабатывается Spring Security автоматически. Без этого маппинга аннотации @PreAuthorize и проверки ролей работать не будут. Конфигурация logout'а через OidcClientInitiatedLogoutSuccessHandler обеспечивает корректный Single Logout. При выходе пользователь будет перенаправлен в Keycloak для завершения сессии во всех подключенных приложениях, а затем вернётся на главную страницу вашего приложения. Настройка maximumSessions(1) ограничивает количество одновременных сессий пользователя. Это полезно для корпоративных приложений, где важно контролировать доступ с разных устройств. Контроллер для демонстрации работы аутентификации покажет, как получить информацию о текущем пользователе:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
| @Controller
public class DashboardController {
@GetMapping("/")
public String home() {
return "index";
}
@GetMapping("/dashboard")
public String dashboard(Model model, Authentication authentication) {
if (authentication instanceof OidcUser oidcUser) {
model.addAttribute("user", oidcUser);
model.addAttribute("idToken", oidcUser.getIdToken());
model.addAttribute("authorities", authentication.getAuthorities());
// Извлечение дополнительных атрибутов
String department = oidcUser.getAttribute("department");
String employeeId = oidcUser.getAttribute("employeeId");
model.addAttribute("department", department);
model.addAttribute("employeeId", employeeId);
}
return "dashboard";
}
@GetMapping("/admin")
@PreAuthorize("hasRole('ADMIN')")
public String admin(Model model, @AuthenticationPrincipal OidcUser user) {
model.addAttribute("adminUser", user);
return "admin";
}
@ResponseBody
@GetMapping("/api/userinfo")
public Map<String, Object> userInfo(JwtAuthenticationToken token) {
Map<String, Object> userInfo = new HashMap<>();
userInfo.put("sub", token.getToken().getSubject());
userInfo.put("preferred_username", token.getToken().getClaimAsString("preferred_username"));
userInfo.put("email", token.getToken().getClaimAsString("email"));
userInfo.put("roles", token.getAuthorities().stream()
.map(GrantedAuthority::getAuthority)
.collect(Collectors.toList()));
return userInfo;
}
} |
|
/api/userinfo демонстрирует работу с JWT токенами. Этот endpoint может использоваться другими микросервисами для получения информации о пользователе без необходимости обращения к Keycloak.
Обработка ошибок аутентификации требует специального внимания. Пользователи должны получать понятные сообщения об ошибках, а не технические детали OAuth2 flow:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| @ControllerAdvice
public class AuthenticationErrorHandler {
@ExceptionHandler(OAuth2AuthenticationException.class)
public String handleOAuth2Exception(
OAuth2AuthenticationException ex,
RedirectAttributes redirectAttributes) {
String errorCode = ex.getError().getErrorCode();
String errorMessage = switch (errorCode) {
case "invalid_grant" -> "Неверное имя пользователя или пароль";
case "account_not_verified" -> "Аккаунт не подтверждён. Проверьте email";
case "account_disabled" -> "Аккаунт заблокирован. Обратитесь к администратору";
default -> "Ошибка входа в систему";
};
redirectAttributes.addFlashAttribute("error", errorMessage);
return "redirect:/login?error=true";
}
@ExceptionHandler(JwtException.class)
public ResponseEntity<Map<String, String>> handleJwtException(JwtException ex) {
Map<String, String> error = new HashMap<>();
error.put("error", "invalid_token");
error.put("error_description", "Токен недействителен или истёк");
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(error);
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| @Configuration
public class CorsConfig {
@Bean
public CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOriginPatterns(Arrays.asList(
"http://localhost:*",
"https://*.example.com"
));
configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS"));
configuration.setAllowedHeaders(Arrays.asList("*"));
configuration.setAllowCredentials(true);
configuration.setMaxAge(3600L);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/api/**", configuration);
source.registerCorsConfiguration("/oauth2/**", configuration);
return source;
}
} |
|
setAllowCredentials(true) необходима для корректной работы OAuth2 flows, но требует точного указания allowed origins. Wildcard * не работает с credentials.
Тестирование интеграции начинаю с простого unit теста, который проверяет корректность маппинга ролей:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
| @SpringBootTest
@TestPropertySource(properties = {
"spring.security.oauth2.client.provider.keycloak.issuer-uri=http://localhost:8080/realms/development"
})
class SecurityConfigTests {
@Autowired
private SecurityConfig securityConfig;
@Test
void shouldMapKeycloakRolesToSpringAuthorities() {
// Создаём mock ID token с ролями
Map<String, Object> claims = new HashMap<>();
Map<String, Object> realmAccess = new HashMap<>();
realmAccess.put("roles", Arrays.asList("admin", "user"));
claims.put("realm_access", realmAccess);
OidcIdToken idToken = new OidcIdToken("token",
Instant.now(),
Instant.now().plusSeconds(3600),
claims);
OidcUserAuthority authority = new OidcUserAuthority(idToken);
Collection<GrantedAuthority> authorities =
Arrays.asList(authority);
GrantedAuthoritiesMapper mapper = securityConfig.authoritiesMapper();
Collection<GrantedAuthority> mappedAuthorities = mapper.mapAuthorities(authorities);
assertThat(mappedAuthorities).anyMatch(auth ->
auth.getAuthority().equals("ROLE_ADMIN"));
assertThat(mappedAuthorities).anyMatch(auth ->
auth.getAuthority().equals("ROLE_USER"));
}
} |
|
Integration testing с реальным Keycloak сервером требует более сложной настройки, но дает уверенность в работоспособности всего flow целиком:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
| @SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@Testcontainers
class KeycloakIntegrationTest {
@Container
static KeycloakContainer keycloak = new KeycloakContainer("quay.io/keycloak/keycloak:23.0")
.withRealmImportFile("test-realm.json");
@Autowired
private TestRestTemplate restTemplate;
@LocalServerPort
private int port;
@DynamicPropertySource
static void configureProperties(DynamicPropertyRegistry registry) {
registry.add("spring.security.oauth2.client.provider.keycloak.issuer-uri",
() -> keycloak.getAuthServerUrl() + "/realms/test");
}
@Test
void shouldRedirectUnauthenticatedToKeycloak() {
ResponseEntity<String> response = restTemplate.getForEntity(
"http://localhost:" + port + "/dashboard", String.class);
assertThat(response.getStatusCode()).isEqualTo(HttpStatus.FOUND);
assertThat(response.getHeaders().getLocation().toString())
.contains(keycloak.getAuthServerUrl());
}
@Test
void shouldAllowAccessAfterAuthentication() throws Exception {
String accessToken = getAccessToken("testuser", "password");
HttpHeaders headers = new HttpHeaders();
headers.setBearerAuth(accessToken);
HttpEntity<String> entity = new HttpEntity<>(headers);
ResponseEntity<Map> response = restTemplate.exchange(
"http://localhost:" + port + "/api/userinfo",
HttpMethod.GET,
entity,
Map.class);
assertThat(response.getStatusCode()).isEqualTo(HttpStatus.OK);
assertThat(response.getBody())
.containsEntry("preferred_username", "testuser");
}
private String getAccessToken(String username, String password) throws Exception {
MultiValueMap<String, String> params = new LinkedMultiValueMap<>();
params.add("grant_type", "password");
params.add("client_id", "test-client");
params.add("username", username);
params.add("password", password);
ResponseEntity<Map> response = restTemplate.postForEntity(
keycloak.getAuthServerUrl() + "/realms/test/protocol/openid-connect/token",
params,
Map.class);
return (String) response.getBody().get("access_token");
}
} |
|
Spring Boot Actuator добавляет важные возможности для мониторинга состояния аутентификации в production:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
| @Component
public class KeycloakHealthIndicator implements HealthIndicator {
private final ReactiveOAuth2AuthorizedClientService authorizedClientService;
private final WebClient webClient;
private final String keycloakUrl;
public KeycloakHealthIndicator(
ReactiveOAuth2AuthorizedClientService authorizedClientService,
@Value("${spring.security.oauth2.client.provider.keycloak.issuer-uri}") String issuerUri) {
this.authorizedClientService = authorizedClientService;
this.keycloakUrl = issuerUri;
this.webClient = WebClient.create();
}
@Override
public Health health() {
try {
// Проверяём доступность OIDC configuration endpoint
String configUrl = keycloakUrl + "/.well-known/openid_configuration";
Map<String, Object> config = webClient.get()
.uri(configUrl)
.retrieve()
.bodyToMono(new ParameterizedTypeReference<Map<String, Object>>() {})
.timeout(Duration.ofSeconds(5))
.block();
if (config != null && config.containsKey("issuer")) {
return Health.up()
.withDetail("issuer", config.get("issuer"))
.withDetail("authorization_endpoint", config.get("authorization_endpoint"))
.withDetail("token_endpoint", config.get("token_endpoint"))
.build();
} else {
return Health.down()
.withDetail("error", "Invalid OIDC configuration")
.build();
}
} catch (Exception ex) {
return Health.down()
.withDetail("error", ex.getMessage())
.withDetail("keycloak_url", keycloakUrl)
.build();
}
}
} |
|
/actuator/health endpoint.
Кеширование публичных ключей Keycloak критически важно для производительности. По умолчанию Spring Security запрашивает ключи при каждой валидации JWT, что создает ненужную нагрузку:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
| @Configuration
public class JwtConfig {
@Bean
public CacheManager cacheManager() {
return new ConcurrentMapCacheManager("jwt-keys");
}
@Bean
public NimbusJwtDecoder jwtDecoder(@Value("${spring.security.oauth2.client.provider.keycloak.issuer-uri}") String issuerUri) {
String jwkSetUri = issuerUri + "/protocol/openid-connect/certs";
NimbusJwtDecoder decoder = NimbusJwtDecoder
.withJwkSetUri(jwkSetUri)
.cache(Duration.ofMinutes(15))
.build();
// Дополнительная валидация claims
decoder.setJwtValidator(jwtValidator());
return decoder;
}
@Bean
public Converter<Jwt, AbstractAuthenticationToken> jwtAuthenticationTokenConverter() {
JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
converter.setJwtGrantedAuthoritiesConverter(this::extractAuthorities);
converter.setPrincipalClaimName("preferred_username");
return converter;
}
private Collection<GrantedAuthority> extractAuthorities(Jwt jwt) {
Collection<GrantedAuthority> authorities = new ArrayList<>();
// Извлечение realm ролей
Map<String, Object> realmAccess = jwt.getClaim("realm_access");
if (realmAccess != null) {
List<String> roles = (List<String>) realmAccess.get("roles");
if (roles != null) {
authorities.addAll(roles.stream()
.map(role -> new SimpleGrantedAuthority("ROLE_" + role.toUpperCase()))
.collect(Collectors.toList()));
}
}
// Извлечение client-specific ролей
Map<String, Object> resourceAccess = jwt.getClaim("resource_access");
if (resourceAccess != null) {
resourceAccess.forEach((clientId, access) -> {
if (access instanceof Map) {
Map<String, Object> clientAccess = (Map<String, Object>) access;
List<String> clientRoles = (List<String>) clientAccess.get("roles");
if (clientRoles != null) {
authorities.addAll(clientRoles.stream()
.map(role -> new SimpleGrantedAuthority("CLIENT_" + clientId + "_" + role.toUpperCase()))
.collect(Collectors.toList()));
}
}
});
}
return authorities;
}
@Bean
public Jwt Validator<Jwt> jwtValidator() {
List<Jwt Validator<Jwt>> validators = new ArrayList<>();
validators.add(new JwtTimestampValidator(Duration.ofSeconds(60))); // Clock skew tolerance
validators.add(new JwtIssuerValidator("http://localhost:8080/realms/development"));
return new DelegatingJwtValidator(validators);
}
} |
|
Особый случай представляет собой работа с refresh токенами в stateful приложениях. Spring Security автоматически не обновляет истекшие access токены, что приводит к неожиданным logout'ам пользователей:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
| @Service
public class TokenRefreshService {
private final ReactiveOAuth2AuthorizedClientService authorizedClientService;
private final ReactiveOAuth2AuthorizedClientManager authorizedClientManager;
@EventListener
public void handleAuthenticationSuccess(OAuth2LoginAuthenticationToken token) {
// Планируем обновление токена за 2 минуты до истечения
if (token.getPrincipal() instanceof OidcUser oidcUser) {
OidcIdToken idToken = oidcUser.getIdToken();
Instant expiresAt = idToken.getExpiresAt();
if (expiresAt != null) {
Duration delay = Duration.between(Instant.now(), expiresAt.minus(Duration.ofMinutes(2)));
if (delay.isPositive()) {
scheduleTokenRefresh(token, delay);
}
}
}
}
@Async
public void scheduleTokenRefresh(OAuth2LoginAuthenticationToken token, Duration delay) {
try {
Thread.sleep(delay.toMillis());
refreshTokenIfNeeded(token);
} catch (InterruptedException e) {
Thread.currentThread().interrupt();
}
}
private void refreshTokenIfNeeded(OAuth2LoginAuthenticationToken token) {
// Логика обновления через authorizedClientManager
OAuth2AuthorizedClient authorizedClient =
authorizedClientManager.loadAuthorizedClient("keycloak", token.getName());
if (authorizedClient != null && isTokenExpiringSoon(authorizedClient.getAccessToken())) {
// Принудительное обновление токена
OAuth2AuthorizedClientManager.RefreshTokenResult result =
authorizedClientManager.authorize(OAuth2AuthorizedClientManager.AuthorizeRequest.withClientId("keycloak")
.principal(token.getName())
.build());
}
}
private boolean isTokenExpiringSoon(OAuth2AccessToken accessToken) {
Instant expiresAt = accessToken.getExpiresAt();
return expiresAt != null && expiresAt.isBefore(Instant.now().plus(Duration.ofMinutes(5)));
}
} |
|
Наконец, мониторинг и алертинг по метрикам аутентификации помогает заранее выявлять проблемы в production:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
| @RestController
public class SecurityMetricsController {
private final MeterRegistry meterRegistry;
private final Counter successfulLogins;
private final Counter failedLogins;
private final Timer authenticationDuration;
public SecurityMetricsController(MeterRegistry meterRegistry) {
this.meterRegistry = meterRegistry;
this.successfulLogins = Counter.builder("authentication.success")
.description("Number of successful authentications")
.register(meterRegistry);
this.failedLogins = Counter.builder("authentication.failure")
.description("Number of failed authentications")
.register(meterRegistry);
this.authenticationDuration = Timer.builder("authentication.duration")
.description("Time taken for authentication")
.register(meterRegistry);
}
@EventListener
public void handleAuthenticationSuccess(AuthenticationSuccessEvent event) {
successfulLogins.increment(
Tags.of("type", event.getAuthentication().getClass().getSimpleName())
);
}
@EventListener
public void handleAuthenticationFailure(AbstractAuthenticationFailureEvent event) {
failedLogins.increment(
Tags.of("reason", event.getException().getClass().getSimpleName())
);
}
@GetMapping("/actuator/auth-metrics")
public Map<String, Object> getAuthMetrics() {
Map<String, Object> metrics = new HashMap<>();
metrics.put("successful_logins", successfulLogins.count());
metrics.put("failed_logins", failedLogins.count());
metrics.put("avg_auth_duration", authenticationDuration.mean(TimeUnit.MILLISECONDS));
return metrics;
}
} |
|
Работа с фронтендом через Authorization Code Flow
Интеграция Single Page Application с Keycloak через Authorization Code Flow оказалась одним из самых болезненных этапов всего проекта. Теория выглядит просто: пользователь нажимает "Войти", переходит в Keycloak, вводит данные, возвращается в SPA с authorization code, который обменивается на токены. На практике же вылезает масса нюансов, которые превращают простую интеграцию в многодневную борьбу с CORS, PKCE и state management.
Основная проблема SPA заключается в невозможности безопасного хранения client secret. Любой секрет, включённый в JavaScript код, становится публично доступным. Это исключает использование confidential clients и требует применения Authorization Code Flow with PKCE (Proof Key for Code Exchange). PKCE добавляет дополнительный уровень защиты через динамически генерируемые code verifier и code challenge.
Начинал я с React приложения, используя библиотеку oidc-client-ts, которая специально создана для работы с OpenID Connect в браузере. Первая попытка конфигурации выглядела обнадёживающе:
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
| import { UserManager, WebStorageStateStore } from 'oidc-client-ts';
const userManagerConfig = {
authority: 'http://localhost:8080/realms/development',
client_id: 'react-app',
redirect_uri: 'http://localhost:3000/callback',
post_logout_redirect_uri: 'http://localhost:3000',
response_type: 'code',
scope: 'openid profile email roles',
automaticSilentRenew: true,
silent_redirect_uri: 'http://localhost:3000/silent-callback',
userStore: new WebStorageStateStore({ store: window.localStorage }),
metadata: {
issuer: 'http://localhost:8080/realms/development',
authorization_endpoint: 'http://localhost:8080/realms/development/protocol/openid-connect/auth',
token_endpoint: 'http://localhost:8080/realms/development/protocol/openid-connect/token',
userinfo_endpoint: 'http://localhost:8080/realms/development/protocol/openid-connect/userinfo',
end_session_endpoint: 'http://localhost:8080/realms/development/protocol/openid-connect/logout',
jwks_uri: 'http://localhost:8080/realms/development/protocol/openid-connect/certs'
}
};
export const userManager = new UserManager(userManagerConfig); |
|
http://localhost:3000 в Web Origins и Valid Redirect URIs. Казалось бы, проблема решена, но оказалось, что это только начало.
Следующая проблема возникла с automaticSilentRenew. Библиотека пытается обновлять токены в скрытом iframe, но современные браузеры блокируют такое поведение из соображений безопасности. Safari вообще отказывается работать с iframe'ами в third-party context. Пришлось реализовать собственную логику обновления токенов.
Компонент AuthProvider стал центральным элементом системы аутентификации:
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
| import React, { createContext, useContext, useEffect, useState } from 'react';
import { userManager } from './userManager';
const AuthContext = createContext();
export const useAuth = () => {
const context = useContext(AuthContext);
if (!context) {
throw new Error('useAuth must be used within AuthProvider');
}
return context;
};
export const AuthProvider = ({ children }) => {
const [user, setUser] = useState(null);
const [loading, setLoading] = useState(true);
const [error, setError] = useState(null);
useEffect(() => {
userManager.events.addUserLoaded(handleUserLoaded);
userManager.events.addUserUnloaded(handleUserUnloaded);
userManager.events.addAccessTokenExpired(handleTokenExpired);
userManager.events.addAccessTokenExpiring(handleTokenExpiring);
userManager.events.addSilentRenewError(handleSilentRenewError);
// Проверяем, есть ли уже аутентифицированный пользователь
userManager.getUser()
.then(user => {
setUser(user);
setLoading(false);
})
.catch(err => {
setError(err.message);
setLoading(false);
});
return () => {
userManager.events.removeUserLoaded(handleUserLoaded);
userManager.events.removeUserUnloaded(handleUserUnloaded);
userManager.events.removeAccessTokenExpired(handleTokenExpired);
userManager.events.removeAccessTokenExpiring(handleTokenExpiring);
userManager.events.removeSilentRenewError(handleSilentRenewError);
};
}, []);
const handleUserLoaded = (user) => {
setUser(user);
setError(null);
};
const handleUserUnloaded = () => {
setUser(null);
};
const handleTokenExpired = async () => {
try {
await userManager.removeUser();
window.location.href = '/login';
} catch (err) {
console.error('Error handling token expiration:', err);
}
};
const handleTokenExpiring = async () => {
try {
const user = await userManager.signinSilent();
setUser(user);
} catch (err) {
console.warn('Silent renew failed:', err);
// Fallback to redirect
await userManager.signinRedirect();
}
};
const handleSilentRenewError = (err) => {
console.error('Silent renew error:', err);
};
const login = () => {
return userManager.signinRedirect();
};
const logout = () => {
return userManager.signoutRedirect();
};
return (
<AuthContext.Provider
value={{
user,
loading,
error,
login,
logout,
isAuthenticated: !!user && !user.expired
}}
>
{children}
</AuthContext.Provider>
);
}; |
|
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| import { useEffect } from 'react';
import { useNavigate } from 'react-router-dom';
import { userManager } from './userManager';
export const CallbackPage = () => {
const navigate = useNavigate();
useEffect(() => {
userManager.signinRedirectCallback()
.then(() => {
// Получаем URL, на который нужно перенаправить после успешной аутентификации
const returnUrl = localStorage.getItem('returnUrl') || '/dashboard';
localStorage.removeItem('returnUrl');
navigate(returnUrl);
})
.catch(err => {
console.error('Authentication callback error:', err);
navigate('/login?error=auth_failed');
});
}, [navigate]);
return (
<div className="flex justify-center items-center h-screen">
<div className="text-lg">Завершение входа в систему...</div>
</div>
);
}; |
|
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| import { Navigate, useLocation } from 'react-router-dom';
import { useAuth } from './AuthProvider';
export const ProtectedRoute = ({ children, requiredRole }) => {
const { user, loading, isAuthenticated } = useAuth();
const location = useLocation();
if (loading) {
return <div>Загрузка...</div>;
}
if (!isAuthenticated) {
// Сохраняем текущий URL для редиректа после аутентификации
localStorage.setItem('returnUrl', location.pathname + location.search);
return <Navigate to="/login" replace />;
}
if (requiredRole) {
const userRoles = user?.profile?.realm_access?.roles || [];
if (!userRoles.includes(requiredRole)) {
return <Navigate to="/forbidden" replace />;
}
}
return children;
}; |
|
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
| import axios from 'axios';
import { userManager } from './userManager';
const api = axios.create({
baseURL: 'http://localhost:8081/api',
});
// Request interceptor для добавления токена
api.interceptors.request.use(
async (config) => {
const user = await userManager.getUser();
if (user && !user.expired) {
config.headers.Authorization = `Bearer ${user.access_token}`;
}
return config;
},
(error) => {
return Promise.reject(error);
}
);
// Response interceptor для обработки 401 ошибок
api.interceptors.response.use(
(response) => response,
async (error) => {
if (error.response?.status === 401) {
try {
// Попытка обновить токен
const user = await userManager.signinSilent();
if (user) {
// Повторяем оригинальный запрос с новым токеном
error.config.headers.Authorization = `Bearer ${user.access_token}`;
return api.request(error.config);
}
} catch (renewError) {
// Если обновление не удалось, перенаправляем на страницу входа
await userManager.removeUser();
window.location.href = '/login';
}
}
return Promise.reject(error);
}
);
export default api; |
|
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
| import { useAuth } from './AuthProvider';
import { useEffect, useState } from 'react';
export const useServerSentEvents = (endpoint) => {
const { user } = useAuth();
const [eventSource, setEventSource] = useState(null);
const [messages, setMessages] = useState([]);
useEffect(() => {
if (user && !user.expired) {
const url = `${endpoint}?access_token=${user.access_token}`;
const es = new EventSource(url);
es.onmessage = (event) => {
const data = JSON.parse(event.data);
setMessages(prev => [...prev, data]);
};
es.onerror = (error) => {
console.error('SSE Error:', error);
es.close();
};
setEventSource(es);
return () => {
es.close();
};
}
}, [endpoint, user]);
return { messages, eventSource };
}; |
|
Session management в SPA требует особого внимания к tab synchronization. Когда пользователь открывает приложение в нескольких вкладках, logout в одной вкладке должен приводить к выходу во всех остальных:
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| export const useTabSynchronization = () => {
const { user, logout } = useAuth();
useEffect(() => {
const handleStorageChange = (event) => {
if (event.key === 'user_logged_out') {
// Обновляем состояние без redirect'а
window.location.reload();
}
};
window.addEventListener('storage', handleStorageChange);
return () => {
window.removeEventListener('storage', handleStorageChange);
};
}, []);
const logoutAllTabs = async () => {
localStorage.setItem('user_logged_out', Date.now().toString());
await logout();
};
return { logoutAllTabs };
}; |
|
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| import { useAuth } from './AuthProvider';
export const RoleGuard = ({ allowedRoles, children, fallback }) => {
const { user, isAuthenticated } = useAuth();
if (!isAuthenticated) {
return fallback || null;
}
const userRoles = user?.profile?.realm_access?.roles || [];
const hasRequiredRole = allowedRoles.some(role => userRoles.includes(role));
if (!hasRequiredRole) {
return fallback || null;
}
return children;
};
// Использование:
<RoleGuard
allowedRoles={['admin', 'manager']}
fallback={<div>Недостаточно прав</div>}
>
<AdminPanel />
</RoleGuard> |
|
| JavaScript | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| import React from 'react';
export class AuthErrorBoundary extends React.Component {
constructor(props) {
super(props);
this.state = { hasError: false, error: null };
}
static getDerivedStateFromError(error) {
return { hasError: true, error };
}
componentDidCatch(error, errorInfo) {
if (error.message.includes('authentication') ||
error.message.includes('unauthorized')) {
// Логируем auth ошибку и очищаем пользователя
userManager.removeUser();
window.location.href = '/login?error=session_expired';
}
console.error('Auth Error:', error, errorInfo);
}
render() {
if (this.state.hasError) {
return (
<div className="error-page">
<h1>Ошибка аутентификации</h1>
<p>Пожалуйста, войдите в систему заново</p>
<button onClick={() => window.location.href = '/login'}>
Войти
</button>
</div>
);
}
return this.props.children;
}
} |
|
Ролевая модель, многопользовательские организации и федерация
Реализация сложных сценариев авторизации в корпоративной среде превратилась в настоящее испытание моих архитектурных навыков. В одном проекте потребовалось обеспечить доступ для трёх типов организаций: внутренние сотрудники, партнёры и клиенты. Каждая группа должна была иметь собственную ролевую модель, разные уровни доступа к API и возможность интеграции с существующими корпоративными системами идентификации. Keycloak предоставляет несколько подходов к решению таких задач, но выбор правильной архитектуры критически важен. Можно создать отдельные realm'ы для каждой организации, использовать группы внутри одного realm'а или комбинировать оба подхода. Каждый вариант имеет свои преимущества и ограничения, которые становятся очевидными только при масштабировании.
Первоначально я попытался уместить всё в один realm с разветвлённой системой групп и ролей. Структура выглядела логичной: создаём группы employees, partners, customers, внутри каждой группы добавляем подгруппы по департаментам или регионам, а роли назначаем как на уровне групп, так и индивидуально пользователям.
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
| @Configuration
public class KeycloakRoleConfig {
@Bean
public GrantedAuthoritiesMapper keycloakAuthoritiesMapper() {
return authorities -> {
Set<GrantedAuthority> mappedAuthorities = new HashSet<>();
authorities.forEach(authority -> {
if (authority instanceof JwtAuthenticationToken) {
JwtAuthenticationToken jwtToken = (JwtAuthenticationToken) authority;
Jwt jwt = jwtToken.getToken();
// Извлечение realm ролей
extractRealmRoles(jwt, mappedAuthorities);
// Извлечение client-specific ролей
extractClientRoles(jwt, mappedAuthorities);
// Извлечение групп пользователя
extractUserGroups(jwt, mappedAuthorities);
}
});
return mappedAuthorities;
};
}
private void extractRealmRoles(Jwt jwt, Set<GrantedAuthority> authorities) {
Map<String, Object> realmAccess = jwt.getClaim("realm_access");
if (realmAccess != null) {
List<String> roles = (List<String>) realmAccess.get("roles");
if (roles != null) {
roles.stream()
.filter(role -> !role.startsWith("default-") && !role.equals("offline_access"))
.forEach(role -> authorities.add(new SimpleGrantedAuthority("REALM_" + role.toUpperCase())));
}
}
}
private void extractClientRoles(Jwt jwt, Set<GrantedAuthority> authorities) {
Map<String, Object> resourceAccess = jwt.getClaim("resource_access");
if (resourceAccess != null) {
resourceAccess.forEach((clientId, access) -> {
Map<String, Object> clientAccess = (Map<String, Object>) access;
List<String> clientRoles = (List<String>) clientAccess.get("roles");
if (clientRoles != null) {
clientRoles.forEach(role ->
authorities.add(new SimpleGrantedAuthority("CLIENT_" + clientId + "_" + role.toUpperCase())));
}
});
}
}
private void extractUserGroups(Jwt jwt, Set<GrantedAuthority> authorities) {
List<String> groups = jwt.getClaim("groups");
if (groups != null) {
groups.forEach(group -> {
// Преобразуем path группы в authority
String groupAuthority = group.replaceAll("/", "_").replaceAll("-", "_").toUpperCase();
authorities.add(new SimpleGrantedAuthority("GROUP_" + groupAuthority));
});
}
}
} |
|
Решение пришло через создание кастомных mappers в Keycloak, которые добавляют в токены дополнительную информацию об организационной принадлежности:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
| @Component
public class OrganizationClaimMapper {
public Map<String, Object> mapUserClaims(UserModel user, ClientSessionContext clientSession) {
Map<String, Object> claims = new HashMap<>();
// Определяем организацию пользователя через атрибуты
String organizationType = user.getFirstAttribute("organization_type");
String organizationId = user.getFirstAttribute("organization_id");
String department = user.getFirstAttribute("department");
String region = user.getFirstAttribute("region");
if (organizationType != null) {
claims.put("organization", Map.of(
"type", organizationType,
"id", organizationId != null ? organizationId : "",
"department", department != null ? department : "",
"region", region != null ? region : ""
));
}
// Добавляем иерархические права доступа
List<String> permissions = calculateUserPermissions(user);
claims.put("permissions", permissions);
return claims;
}
private List<String> calculateUserPermissions(UserModel user) {
List<String> permissions = new ArrayList<>();
// Базовые права для всех пользователей
permissions.add("profile:read");
permissions.add("profile:update");
Set<RoleModel> roles = user.getRoleMappingsStream().collect(Collectors.toSet());
for (RoleModel role : roles) {
switch (role.getName()) {
case "employee":
permissions.addAll(Arrays.asList("documents:read", "reports:read", "api:access"));
break;
case "partner":
permissions.addAll(Arrays.asList("partner_api:access", "shared_documents:read"));
break;
case "customer":
permissions.addAll(Arrays.asList("customer_portal:access", "support:create"));
break;
case "admin":
permissions.addAll(Arrays.asList("*:*"));
break;
case "manager":
String department = user.getFirstAttribute("department");
if (department != null) {
permissions.add("department_" + department.toLowerCase() + ":manage");
}
break;
}
}
return permissions.stream().distinct().collect(Collectors.toList());
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
| @Component
public class TenantAwareSecurityService {
public boolean hasAccessToResource(String resourceId, String action) {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth instanceof JwtAuthenticationToken jwtToken) {
Jwt jwt = jwtToken.getToken();
// Извлекаем информацию об организации
Map<String, Object> organization = jwt.getClaim("organization");
if (organization == null) {
return false;
}
String organizationType = (String) organization.get("type");
String organizationId = (String) organization.get("id");
// Проверяем права доступа к ресурсу
return checkResourceAccess(resourceId, action, organizationType, organizationId, jwt);
}
return false;
}
private boolean checkResourceAccess(String resourceId, String action,
String orgType, String orgId, Jwt jwt) {
List<String> permissions = jwt.getClaim("permissions");
if (permissions == null) {
return false;
}
// Проверяем wildcard permissions
if (permissions.contains("*:*") || permissions.contains(resourceId + ":*")) {
return true;
}
// Проверяем специфичные права
String requiredPermission = resourceId + ":" + action;
if (permissions.contains(requiredPermission)) {
return true;
}
// Проверяем организационные ограничения
return checkOrganizationalAccess(resourceId, orgType, orgId);
}
private boolean checkOrganizationalAccess(String resourceId, String orgType, String orgId) {
// Логика проверки доступа на основе организационной принадлежности
if ("employee".equals(orgType)) {
return true; // Сотрудники имеют доступ ко всем внутренним ресурсам
}
if ("partner".equals(orgType)) {
return resourceId.startsWith("partner_") || resourceId.startsWith("shared_");
}
if ("customer".equals(orgType)) {
return resourceId.startsWith("customer_") && resourceId.contains(orgId);
}
return false;
}
} |
|
Настройка LDAP федерации для внутренних сотрудников оказалась относительно простой, но потребовала маппинга атрибутов:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
| @Component
public class LdapAttributeMapper {
public Map<String, String> mapLdapAttributes(LDAPObject ldapUser) {
Map<String, String> keycloakAttributes = new HashMap<>();
// Стандартные атрибуты
keycloakAttributes.put("email", ldapUser.getAttributeAsString("mail"));
keycloakAttributes.put("firstName", ldapUser.getAttributeAsString("givenName"));
keycloakAttributes.put("lastName", ldapUser.getAttributeAsString("sn"));
keycloakAttributes.put("username", ldapUser.getAttributeAsString("sAMAccountName"));
// Организационные атрибуты
String department = ldapUser.getAttributeAsString("department");
if (department != null) {
keycloakAttributes.put("department", department);
keycloakAttributes.put("organization_type", "employee");
keycloakAttributes.put("organization_id", "internal");
}
// Маппинг AD групп на роли Keycloak
Set<String> adGroups = ldapUser.getAttributeAsSet("memberOf");
Set<String> keycloakRoles = mapAdGroupsToRoles(adGroups);
keycloakAttributes.put("roles", String.join(",", keycloakRoles));
return keycloakAttributes;
}
private Set<String> mapAdGroupsToRoles(Set<String> adGroups) {
Set<String> roles = new HashSet<>();
roles.add("employee"); // Базовая роль для всех сотрудников
for (String group : adGroups) {
if (group.contains("CN=Domain Admins")) {
roles.add("admin");
} else if (group.contains("CN=IT Group")) {
roles.add("it_admin");
} else if (group.contains("CN=Managers")) {
roles.add("manager");
} else if (group.contains("CN=HR Group")) {
roles.add("hr_spe******t");
}
// Паттерны для департаментов
else if (group.contains("CN=Sales")) {
roles.add("sales_user");
} else if (group.contains("CN=Development")) {
roles.add("developer");
}
}
return roles;
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
| @Service
public class DynamicIdpService {
private final KeycloakAdmin keycloakAdmin;
public String registerPartnerIdp(PartnerIdpConfig config) throws IdpRegistrationException {
try {
// Создаём новый Identity Provider в Keycloak
IdentityProviderRepresentation idp = new IdentityProviderRepresentation();
idp.setAlias(config.getAlias());
idp.setProviderId("saml");
idp.setEnabled(true);
idp.setTrustEmail(false);
idp.setStoreToken(false);
idp.setLinkOnly(false);
// Настраиваем SAML конфигурацию
Map<String, String> samlConfig = new HashMap<>();
samlConfig.put("singleSignOnServiceUrl", config.getSsoUrl());
samlConfig.put("singleLogoutServiceUrl", config.getSloUrl());
samlConfig.put("nameIDPolicyFormat", "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");
samlConfig.put("principalType", "SUBJECT");
samlConfig.put("signatureAlgorithm", "RSA_SHA256");
samlConfig.put("xmlSigKeyInfoKeyNameTransformer", "KEY_ID");
// Добавляем сертификат партнёра для проверки подписей
if (config.getSigningCertificate() != null) {
samlConfig.put("signingCertificate", config.getSigningCertificate());
}
idp.setConfig(samlConfig);
// Создаём IDP в Keycloak
keycloakAdmin.realm("development").identityProviders().create(idp);
// Настраиваем маппинг атрибутов
setupAttributeMappers(config.getAlias(), config.getAttributeMapping());
return config.getAlias();
} catch (Exception e) {
throw new IdpRegistrationException("Failed to register partner IDP: " + e.getMessage(), e);
}
}
private void setupAttributeMappers(String idpAlias, Map<String, String> attributeMapping) {
// Создаём mapper для организационной принадлежности
IdentityProviderMapperRepresentation orgMapper = new IdentityProviderMapperRepresentation();
orgMapper.setName("partner-organization");
orgMapper.setIdentityProviderAlias(idpAlias);
orgMapper.setIdentityProviderMapper("hardcoded-attribute-idp-mapper");
Map<String, String> orgConfig = new HashMap<>();
orgConfig.put("attribute", "organization_type");
orgConfig.put("attribute.value", "partner");
orgMapper.setConfig(orgConfig);
keycloakAdmin.realm("development")
.identityProviders()
.get(idpAlias)
.addMapper(orgMapper);
// Добавляем custom mappers для специфичных атрибутов партнёра
attributeMapping.forEach((samlAttribute, keycloakAttribute) -> {
IdentityProviderMapperRepresentation mapper = createAttributeMapper(
idpAlias, samlAttribute, keycloakAttribute);
keycloakAdmin.realm("development")
.identityProviders()
.get(idpAlias)
.addMapper(mapper);
});
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
| @RestController
@RequestMapping("/api/users")
public class FederatedUserController {
private final FederatedUserService federatedUserService;
@GetMapping("/search")
@PreAuthorize("hasRole('ADMIN') or hasRole('HR_SPE******T')")
public ResponseEntity<PagedResult<UserSummary>> searchUsers(
@RequestParam String query,
@RequestParam(defaultValue = "all") String organizationType,
@RequestParam(defaultValue = "0") int page,
@RequestParam(defaultValue = "20") int size) {
UserSearchCriteria criteria = UserSearchCriteria.builder()
.query(query)
.organizationType(organizationType)
.page(page)
.size(size)
.build();
PagedResult<UserSummary> result = federatedUserService.searchUsers(criteria);
return ResponseEntity.ok(result);
}
@PostMapping("/{userId}/roles")
@PreAuthorize("hasRole('ADMIN') or (hasRole('MANAGER') and @tenantService.canManageUser(#userId))")
public ResponseEntity<Void> assignRole(
@PathVariable String userId,
@RequestBody RoleAssignmentRequest request) {
federatedUserService.assignRole(userId, request.getRoleName(), request.getScope());
return ResponseEntity.ok().build();
}
@GetMapping("/{userId}/permissions")
public ResponseEntity<Set<String>> getUserPermissions(@PathVariable String userId) {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
// Проверяем, может ли текущий пользователь просматривать права другого пользователя
if (!canViewUserPermissions(auth, userId)) {
throw new AccessDeniedException("Cannot view user permissions");
}
Set<String> permissions = federatedUserService.getUserPermissions(userId);
return ResponseEntity.ok(permissions);
}
private boolean canViewUserPermissions(Authentication auth, String targetUserId) {
// Админы и HR могут смотреть права всех пользователей
if (auth.getAuthorities().stream().anyMatch(
a -> a.getAuthority().equals("ROLE_ADMIN") || a.getAuthority().equals("ROLE_HR_SPE******T"))) {
return true;
}
// Пользователи могут смотреть только свои права
JwtAuthenticationToken jwtToken = (JwtAuthenticationToken) auth;
String currentUserId = jwtToken.getToken().getSubject();
return currentUserId.equals(targetUserId);
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
| @EventListener
public class FederatedAuditListener {
private final AuditLogService auditLogService;
@EventListener
public void handleLogin(AuthenticationSuccessEvent event) {
if (event.getAuthentication() instanceof JwtAuthenticationToken jwtToken) {
Jwt jwt = jwtToken.getToken();
AuditEvent auditEvent = AuditEvent.builder()
.eventType("USER_LOGIN")
.userId(jwt.getSubject())
.username(jwt.getClaimAsString("preferred_username"))
.organizationType(extractOrganizationType(jwt))
.identityProvider(jwt.getClaimAsString("idp"))
.timestamp(Instant.now())
.clientId(jwt.getClaimAsString("azp"))
.remoteAddress(getClientIpAddress())
.userAgent(getUserAgent())
.build();
auditLogService.logEvent(auditEvent);
}
}
private String extractOrganizationType(Jwt jwt) {
Map<String, Object> organization = jwt.getClaim("organization");
return organization != null ? (String) organization.get("type") : "unknown";
}
} |
|
Производительность оказался критическим аспектом федеративной системы. С ростом числа партнёрских организаций и увеличением количества одновременных аутентификаций, Keycloak начал показывать признаки деградации. Отклик на запросы токенов вырос с 50 миллисекунд до 2-3 секунд, что совершенно неприемлемо для production нагрузки.
Первой мерой оптимизации стало включение кеширования на уровне Keycloak. Конфигурация Infinispan cache помогла существенно сократить время ответа на повторные запросы:
| YAML | 1
2
3
4
5
6
7
| keycloak:
environment:
KC_CACHE: ispn
KC_CACHE_STACK: tcp
KC_CACHE_CONFIG_FILE: cache-ispn.xml
volumes:
- ./cache-ispn.xml:/opt/keycloak/conf/cache-ispn.xml |
|
cache-ispn.xml потребовала тщательной настройки периодов жизни различных типов данных:
| XML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| <?xml version="1.0" encoding="UTF-8"?>
<infinispan>
<cache-container name="keycloak">
<local-cache name="realms">
<memory max-count="10000"/>
<expiration lifespan="3600000"/>
</local-cache>
<local-cache name="users">
<memory max-count="100000"/>
<expiration lifespan="1800000"/>
</local-cache>
<local-cache name="authorization">
<memory max-count="50000"/>
<expiration lifespan="900000"/>
</local-cache>
<local-cache name="keys">
<memory max-count="1000"/>
<expiration lifespan="7200000"/>
</local-cache>
</cache-container>
</infinispan> |
|
| YAML | 1
2
3
4
5
6
| postgresql:
environment:
POSTGRES_MAX_CONNECTIONS: 200
POSTGRES_SHARED_BUFFERS: 256MB
POSTGRES_EFFECTIVE_CACHE_SIZE: 1GB
POSTGRES_WORK_MEM: 4MB |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
| @Component
public class FederationMetricsCollector {
private final MeterRegistry meterRegistry;
private final Timer federationLoginTimer;
private final Counter federationLoginCounter;
private final Gauge federationCacheHitRate;
public FederationMetricsCollector(MeterRegistry meterRegistry) {
this.meterRegistry = meterRegistry;
this.federationLoginTimer = Timer.builder("federation.login.duration")
.description("Time taken for federated login")
.register(meterRegistry);
this.federationLoginCounter = Counter.builder("federation.login.count")
.description("Number of federated logins")
.register(meterRegistry);
this.federationCacheHitRate = Gauge.builder("federation.cache.hit.rate")
.description("Cache hit rate for federated user data")
.register(meterRegistry, this, FederationMetricsCollector::calculateCacheHitRate);
}
@EventListener
public void handleFederatedLogin(FederatedLoginEvent event) {
Timer.Sample sample = Timer.start(meterRegistry);
try {
processFederatedLogin(event);
federationLoginCounter.increment(
Tags.of("provider", event.getProviderType(), "status", "success")
);
} catch (Exception e) {
federationLoginCounter.increment(
Tags.of("provider", event.getProviderType(), "status", "failure")
);
} finally {
sample.stop(federationLoginTimer.withTags(
Tags.of("provider", event.getProviderType())
));
}
}
private double calculateCacheHitRate() {
// Реализация расчёта cache hit rate
return cacheStatistics.getHitRate();
}
} |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
| apiVersion: apps/v1
kind: Deployment
metadata:
name: keycloak-cluster
spec:
replicas: 3
selector:
matchLabels:
app: keycloak
template:
metadata:
labels:
app: keycloak
spec:
containers:
- name: keycloak
image: quay.io/keycloak/keycloak:23.0
env:
- name: KC_HOSTNAME
value: "auth.example.com"
- name: KC_DB
value: "postgres"
- name: KC_DB_URL
value: "jdbc:postgresql://postgres:5432/keycloak"
- name: KC_CACHE
value: "ispn"
- name: KC_CACHE_STACK
value: "kubernetes"
- name: JAVA_OPTS
value: "-Xms1024m -Xmx2048m -XX:+UseG1GC"
resources:
requests:
memory: "1Gi"
cpu: "500m"
limits:
memory: "2Gi"
cpu: "1000m"
readinessProbe:
httpGet:
path: /health/ready
port: 8080
initialDelaySeconds: 30
periodSeconds: 10
livenessProbe:
httpGet:
path: /health/live
port: 8080
initialDelaySeconds: 60
periodSeconds: 30 |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: keycloak-ingress
annotations:
nginx.ingress.kubernetes.io/affinity: "cookie"
nginx.ingress.kubernetes.io/affinity-mode: "persistent"
nginx.ingress.kubernetes.io/session-cookie-name: "keycloak-server"
nginx.ingress.kubernetes.io/session-cookie-expires: "3600"
spec:
rules:
- host: auth.example.com
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: keycloak-service
port:
number: 8080 |
|
| Bash | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| #!/bin/bash
BACKUP_DATE=$(date +%Y%m%d_%H%M%S)
BACKUP_DIR="/backups/keycloak_$BACKUP_DATE"
KEYCLOAK_NAMESPACE="auth"
echo "Starting Keycloak federation backup: $BACKUP_DATE"
# Создание директории резервной копии
mkdir -p "$BACKUP_DIR"
# Экспорт всех realm'ов с пользователями и конфигурациями IDP
kubectl exec -n $KEYCLOAK_NAMESPACE deployment/keycloak-cluster -- \
/opt/keycloak/bin/kc.sh export \
--dir /tmp/export \
--realm development \
--users realm_file
# Копирование экспортированных данных
kubectl cp $KEYCLOAK_NAMESPACE/keycloak-cluster-0:/tmp/export "$BACKUP_DIR/realms"
# Бэкап PostgreSQL
kubectl exec -n $KEYCLOAK_NAMESPACE deployment/postgres -- \
pg_dump -U keycloak keycloak | gzip > "$BACKUP_DIR/database.sql.gz"
# Бэкап конфигураций кеша
kubectl get configmap -n $KEYCLOAK_NAMESPACE cache-config -o yaml > "$BACKUP_DIR/cache-config.yaml"
# Бэкап custom mappers и providers
kubectl cp $KEYCLOAK_NAMESPACE/keycloak-cluster-0:/opt/keycloak/providers "$BACKUP_DIR/providers"
# Архивирование и загрузка в S3
tar -czf "/tmp/keycloak-backup-$BACKUP_DATE.tar.gz" -C /backups "keycloak_$BACKUP_DATE"
aws s3 cp "/tmp/keycloak-backup-$BACKUP_DATE.tar.gz" "s3://backup-bucket/keycloak/"
echo "Backup completed and uploaded to S3"
# Очистка локальных файлов старше 7 дней
find /backups -name "keycloak_*" -type d -mtime +7 -exec rm -rf {} \; |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
| apiVersion: monitoring.coreos.com/v1
kind: PrometheusRule
metadata:
name: keycloak-federation-alerts
spec:
groups:
- name: keycloak-federation
rules:
- alert: FederationProviderDown
expr: up{job="keycloak-federation-health"} == 0
for: 2m
labels:
severity: critical
annotations:
summary: "Federation provider {{ $labels.provider }} is down"
description: "Identity provider {{ $labels.provider }} has been unreachable for more than 2 minutes"
- alert: FederationLoginFailureRate
expr: rate(federation_login_failures_total[5m]) > 0.1
for: 3m
labels:
severity: warning
annotations:
summary: "High federation login failure rate"
description: "Federation login failure rate is {{ $value }} failures per second"
- alert: FederationResponseTimeSlow
expr: histogram_quantile(0.95, rate(federation_login_duration_seconds_bucket[5m])) > 5
for: 5m
labels:
severity: warning
annotations:
summary: "Slow federation response time"
description: "95th percentile federation login time is {{ $value }} seconds" |
|
Распространенные проблемы и их решение
За два года эксплуатации Keycloak в production я собрал внушительную коллекцию проблем, которые периодически всплывают и заставляют разработчиков тратить часы на отладку. Большинство из них имеют простые решения, но найти их без опыта оказывается непросто.
Проблема циклических редиректов - классика жанра, с которой сталкивается каждый при первой интеграции. Пользователь нажимает "Войти", перенаправляется в Keycloak, успешно аутентифицируется, но вместо попадания в приложение снова оказывается на странице входа. Причина почти всегда кроется в неправильной настройке redirect URIs или проблемах с cookie.
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| @Configuration
public class RedirectFixConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
return http
.oauth2Login(oauth2 -> oauth2
.loginPage("/oauth2/authorization/keycloak")
.defaultSuccessUrl("/dashboard", true) // Принудительный редирект
.failureUrl("/login?error=true")
.authorizationEndpoint(authorization ->
authorization.baseUri("/oauth2/authorization"))
.redirectionEndpoint(redirection ->
redirection.baseUri("/login/oauth2/code/*"))
)
.sessionManagement(session -> session
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
.sessionFixation().changeSessionId()
)
.build();
}
@Bean
public RequestCache requestCache() {
HttpSessionRequestCache cache = new HttpSessionRequestCache();
cache.setMatchingRequestParameterName(null); // Отключаем сохранение параметров
return cache;
}
} |
|
true в `defaultSuccessUrl("/dashboard", true)` критически важен - он принуждает Spring перенаправлять на указанный URL даже если есть сохранённый previous request. Без этого флага пользователи могут попасть в бесконечный loop.
CORS ошибки при работе с SPA возникают из-за неправильной настройки Web Origins в клиенте Keycloak. Но даже правильная настройка не гарантирует отсутствие проблем в production с доменами и поддоменами.
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| # В настройках Keycloak client
webOrigins:
- "http://localhost:3000"
- "https://*.example.com"
- "https://app.example.com"
# В Spring Boot application.yml
spring:
web:
cors:
allowed-origins:
- "http://localhost:3000"
- "https://*.example.com"
allowed-methods: ["GET", "POST", "PUT", "DELETE", "OPTIONS"]
allowed-headers: ["*"]
allow-credentials: true
max-age: 3600 |
|
webOrigins работают не так, как ожидаешь. Keycloak не поддерживает сложные patterns вроде https://*.example.com, поэтому приходится перечислять каждый поддомен отдельно или использовать programmatic конфигурацию.
Проблемы с JWT подписями обычно проявляются сообщения "Unable to process Jwt" или "Invalid signature". В production это может происходить из-за различий во времени между серверами или проблем с получением публичных ключей Keycloak.
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
| @Configuration
public class JwtDecodingConfig {
@Bean
public JwtDecoder jwtDecoder(@Value("${keycloak.issuer-uri}") String issuerUri) {
String jwkSetUri = issuerUri + "/protocol/openid-connect/certs";
NimbusJwtDecoder decoder = NimbusJwtDecoder
.withJwkSetUri(jwkSetUri)
.cache(Duration.ofMinutes(15)) // Кеширование ключей
.build();
// Tolerance для различий во времени между серверами
decoder.setClockSkew(Duration.ofSeconds(60));
return decoder;
}
@Bean
public Converter<Jwt, AbstractAuthenticationToken> jwtConverter() {
JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
// Кастомная обработка expired токенов
converter.setJwtGrantedAuthoritiesConverter(jwt -> {
if (jwt.getExpiresAt().isBefore(Instant.now().minusSeconds(30))) {
throw new JwtException("Token expired with grace period");
}
return extractAuthorities(jwt);
});
return converter;
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
| @Profile("dev-offline")
@Configuration
public class MockAuthConfig {
@Bean
@Primary
public SecurityFilterChain mockSecurityFilterChain(HttpSecurity http) throws Exception {
return http
.authorizeHttpRequests(authz -> authz.anyRequest().authenticated())
.oauth2Login(oauth2 -> oauth2.disable())
.httpBasic(basic -> basic.disable())
.sessionManagement(session -> session
.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
.addFilterBefore(mockAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
.build();
}
@Bean
public MockAuthenticationFilter mockAuthenticationFilter() {
return new MockAuthenticationFilter();
}
}
public class MockAuthenticationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
String mockUser = request.getParameter("mockUser");
if (mockUser == null) {
mockUser = "testuser"; // Дефолтный пользователь
}
// Создаём mock JWT токен
Map<String, Object> claims = Map.of(
"sub", "mock-" + mockUser,
"preferred_username", mockUser,
"email", mockUser + "@example.com",
"realm_access", Map.of("roles", List.of("user", "developer")),
"exp", Instant.now().plusSeconds(3600).getEpochSecond()
);
Jwt jwt = new Jwt("mock-token", Instant.now(), Instant.now().plusSeconds(3600),
Map.of("typ", "JWT"), claims);
JwtAuthenticationToken auth = new JwtAuthenticationToken(jwt, extractAuthorities(jwt));
SecurityContextHolder.getContext().setAuthentication(auth);
filterChain.doFilter(request, response);
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| @Component
public class TokenCacheManager {
private final Cache<String, CachedToken> tokenCache =
Caffeine.newBuilder()
.maximumSize(10000)
.expireAfterWrite(Duration.ofMinutes(30))
.removalListener((String key, CachedToken token, RemovalCause cause) -> {
if (token != null && token.getRefreshToken() != null) {
// Очистка refresh токена при удалении из кеша
revokeRefreshToken(token.getRefreshToken());
}
})
.build();
@Scheduled(fixedDelay = 300000) // Каждые 5 минут
public void cleanupExpiredTokens() {
tokenCache.cleanUp();
logCacheStats();
}
private void logCacheStats() {
CacheStats stats = tokenCache.stats();
log.info("Token cache stats: size={}, hit rate={:.2f}%, evictions={}",
tokenCache.estimatedSize(),
stats.hitRate() * 100,
stats.evictionCount());
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
| @Configuration
public class PerformanceOptimizationConfig {
@Bean
public WebClient keycloakWebClient() {
return WebClient.builder()
.clientConnector(new ReactorClientHttpConnector(
HttpClient.create()
.connectionProvider(ConnectionProvider.builder("keycloak")
.maxConnections(100)
.maxIdleTime(Duration.ofSeconds(30))
.maxLifeTime(Duration.ofMinutes(5))
.build())
.responseTimeout(Duration.ofSeconds(10))
))
.build();
}
@Bean
@ConfigurationProperties("app.keycloak.cache")
public CacheProperties cacheProperties() {
return new CacheProperties();
}
@EventListener
public void preloadCriticalData(ApplicationReadyEvent event) {
// Предзагружаем публичные ключи при старте приложения
CompletableFuture.runAsync(() -> {
try {
jwtDecoder.decode("dummy-token");
} catch (JwtException e) {
// Ожидаемая ошибка, но ключи уже загружены
}
});
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
| @Component
public class KeycloakDebugLogger {
@EventListener
public void logAuthenticationAttempt(AbstractAuthenticationEvent event) {
Authentication auth = event.getAuthentication();
if (auth instanceof OAuth2LoginAuthenticationToken oauthToken) {
OAuth2User user = oauthToken.getPrincipal();
log.debug("OAuth2 login: user={}, authorities={}, attributes={}",
user.getName(),
auth.getAuthorities(),
sanitizeAttributes(user.getAttributes()));
}
}
@EventListener
public void logTokenValidation(JwtDecodedEvent event) {
Jwt jwt = event.getJwt();
log.debug("JWT decoded: subject={}, issuer={}, expires={}, claims={}",
jwt.getSubject(),
jwt.getIssuer(),
jwt.getExpiresAt(),
sanitizeClaims(jwt.getClaims()));
}
private Map<String, Object> sanitizeAttributes(Map<String, Object> attrs) {
Map<String, Object> sanitized = new HashMap<>(attrs);
sanitized.remove("access_token");
sanitized.remove("refresh_token");
return sanitized;
}
}
# В application-dev.yml
logging:
level:
org.springframework.security.oauth2: DEBUG
org.springframework.security.web: DEBUG
org.springframework.web.client: DEBUG
com.yourapp.security: TRACE |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
| @Component
public class KeycloakConnectionHealthIndicator implements HealthIndicator {
private final WebClient webClient;
private final String keycloakBaseUrl;
@Override
public Health health() {
try {
String healthUrl = keycloakBaseUrl + "/health/ready";
String response = webClient.get()
.uri(healthUrl)
.retrieve()
.bodyToMono(String.class)
.timeout(Duration.ofSeconds(5))
.block();
return Health.up()
.withDetail("keycloak_status", "UP")
.withDetail("response_time", measureResponseTime())
.withDetail("last_check", Instant.now())
.build();
} catch (Exception e) {
return Health.down()
.withDetail("keycloak_status", "DOWN")
.withDetail("error", e.getMessage())
.withDetail("last_check", Instant.now())
.build();
}
}
private long measureResponseTime() {
long start = System.currentTimeMillis();
try {
webClient.get()
.uri(keycloakBaseUrl + "/health")
.retrieve()
.bodyToMono(Void.class)
.timeout(Duration.ofSeconds(2))
.block();
return System.currentTimeMillis() - start;
} catch (Exception e) {
return -1;
}
}
} |
|
Демо приложение и развертывание в Kubernetes
Пришло время собрать все части головоломки воедино и создать полноценное production-ready решение. За время работы с Keycloak я понял: теоретические знания стоят мало без практического опыта развертывания в реальном окружении. Kubernetes добавляет свои сложности, но предоставляет необходимую для enterprise-систем надежность и масштабируемость.
Начну с создания комплексного Spring Boot приложения, которое демонстрирует все аспекты интеграции. Проект включает REST API, веб-интерфейс, role-based авторизацию и интеграцию с внешними сервисами:
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| @SpringBootApplication
@EnableJpaRepositories
@EnableJpaAuditing
public class KeycloakDemoApplication {
public static void main(String[] args) {
SpringApplication.run(KeycloakDemoApplication.class, args);
}
@Bean
public AuditorAware<String> auditorProvider() {
return () -> {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth instanceof JwtAuthenticationToken jwtToken) {
return Optional.of(jwtToken.getToken().getClaimAsString("preferred_username"));
}
return Optional.of("system");
};
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
| @Configuration
@EnableWebSecurity
@EnableMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration {
@Value("${keycloak.issuer-uri}")
private String issuerUri;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
return http
.cors(cors -> cors.configurationSource(corsConfigurationSource()))
.csrf(csrf -> csrf
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
.ignoringRequestMatchers("/api/**"))
.authorizeHttpRequests(authz -> authz
.requestMatchers("/", "/public/**", "/health/**", "/actuator/[B]").permitAll()
.requestMatchers("/admin/[/B]").hasRole("ADMIN")
.requestMatchers("/api/admin/[B]").hasRole("ADMIN")
.requestMatchers("/api/users/[/B]").hasAnyRole("USER", "MANAGER", "ADMIN")
.anyRequest().authenticated())
.oauth2Login(oauth2 -> oauth2
.loginPage("/oauth2/authorization/keycloak")
.defaultSuccessUrl("/dashboard", true)
.failureUrl("/login?error=true")
.userInfoEndpoint(userInfo ->
userInfo.userAuthoritiesMapper(grantedAuthoritiesMapper())))
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(jwt -> jwt
.jwtAuthenticationConverter(jwtAuthenticationConverter())
.decoder(jwtDecoder())))
.logout(logout -> logout
.logoutUrl("/logout")
.logoutSuccessHandler(oidcLogoutSuccessHandler())
.invalidateHttpSession(true)
.clearAuthentication(true))
.sessionManagement(session -> session
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
.maximumSessions(1)
.maxSessionsPreventsLogin(false))
.build();
}
@Bean
public JwtDecoder jwtDecoder() {
String jwkSetUri = issuerUri + "/protocol/openid-connect/certs";
NimbusJwtDecoder decoder = NimbusJwtDecoder
.withJwkSetUri(jwkSetUri)
.cache(Duration.ofMinutes(15))
.build();
decoder.setClockSkew(Duration.ofSeconds(60));
return decoder;
}
@Bean
public Converter<Jwt, AbstractAuthenticationToken> jwtAuthenticationConverter() {
JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
converter.setJwtGrantedAuthoritiesConverter(this::extractAuthorities);
converter.setPrincipalClaimName("preferred_username");
return converter;
}
private Collection<GrantedAuthority> extractAuthorities(Jwt jwt) {
Set<GrantedAuthority> authorities = new HashSet<>();
// Realm роли
Map<String, Object> realmAccess = jwt.getClaim("realm_access");
if (realmAccess != null) {
List<String> roles = (List<String>) realmAccess.get("roles");
if (roles != null) {
roles.stream()
.filter(role -> !role.startsWith("default-"))
.forEach(role -> authorities.add(new SimpleGrantedAuthority("ROLE_" + role.toUpperCase())));
}
}
return authorities;
}
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| @Entity
@Table(name = "documents")
@EntityListeners(AuditingEntityListener.class)
public class Document {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(nullable = false)
private String title;
@Column(columnDefinition = "TEXT")
private String content;
@Column(name = "organization_type")
private String organizationType;
@Column(name = "organization_id")
private String organizationId;
@CreatedDate
@Column(name = "created_at")
private LocalDateTime createdAt;
@LastModifiedDate
@Column(name = "modified_at")
private LocalDateTime modifiedAt;
@CreatedBy
@Column(name = "created_by")
private String createdBy;
@LastModifiedBy
@Column(name = "modified_by")
private String modifiedBy;
// getters, setters, конструкторы
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| @Repository
public interface DocumentRepository extends JpaRepository<Document, Long>, JpaSpecificationExecutor<Document> {
@Query("SELECT d FROM Document d WHERE " +
"(d.organizationType = :orgType AND d.organizationId = :orgId) OR " +
"(:isAdmin = true)")
Page<Document> findAccessibleDocuments(
@Param("orgType") String organizationType,
@Param("orgId") String organizationId,
@Param("isAdmin") boolean isAdmin,
Pageable pageable
);
@Modifying
@Query("DELETE FROM Document d WHERE d.organizationType = :orgType AND d.organizationId = :orgId")
void deleteByOrganization(@Param("orgType") String orgType, @Param("orgId") String orgId);
} |
|
| Java | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
| @RestController
@RequestMapping("/api/documents")
@Validated
public class DocumentController {
private final DocumentService documentService;
@GetMapping
@PreAuthorize("hasRole('USER')")
public ResponseEntity<Page<DocumentDto>> getDocuments(
@RequestParam(defaultValue = "0") int page,
@RequestParam(defaultValue = "20") int size,
Authentication authentication) {
UserContext userContext = extractUserContext(authentication);
Pageable pageable = PageRequest.of(page, size);
Page<DocumentDto> documents = documentService.findAccessibleDocuments(userContext, pageable);
return ResponseEntity.ok(documents);
}
@PostMapping
@PreAuthorize("hasRole('USER')")
public ResponseEntity<DocumentDto> createDocument(
@RequestBody @Valid CreateDocumentRequest request,
Authentication authentication) {
UserContext userContext = extractUserContext(authentication);
DocumentDto document = documentService.createDocument(request, userContext);
return ResponseEntity.status(HttpStatus.CREATED).body(document);
}
@DeleteMapping("/{id}")
@PreAuthorize("hasRole('ADMIN') or @documentService.isOwner(#id, authentication.name)")
public ResponseEntity<Void> deleteDocument(@PathVariable Long id) {
documentService.deleteDocument(id);
return ResponseEntity.noContent().build();
}
private UserContext extractUserContext(Authentication auth) {
if (auth instanceof JwtAuthenticationToken jwtToken) {
Jwt jwt = jwtToken.getToken();
Map<String, Object> org = jwt.getClaim("organization");
return UserContext.builder()
.username(jwt.getClaimAsString("preferred_username"))
.organizationType(org != null ? (String) org.get("type") : "unknown")
.organizationId(org != null ? (String) org.get("id") : "unknown")
.isAdmin(hasRole(jwtToken, "ADMIN"))
.build();
}
throw new IllegalStateException("Unexpected authentication type");
}
} |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
| apiVersion: v1
kind: Namespace
metadata:
name: keycloak-demo
---
apiVersion: v1
kind: Secret
metadata:
name: keycloak-secrets
namespace: keycloak-demo
type: Opaque
stringData:
postgres-password: "production-password-here"
keycloak-admin-password: "admin-password-here"
app-client-secret: "app-client-secret-here"
---
apiVersion: v1
kind: ConfigMap
metadata:
name: keycloak-config
namespace: keycloak-demo
data:
KEYCLOAK_HOSTNAME: "auth.example.com"
POSTGRES_DB: "keycloak"
POSTGRES_USER: "keycloak"
[/JAVA]
PostgreSQL развертывается с persistent storage:
[/JAVA]yaml
apiVersion: apps/v1
kind: StatefulSet
metadata:
name: postgres
namespace: keycloak-demo
spec:
serviceName: postgres
replicas: 1
selector:
matchLabels:
app: postgres
template:
metadata:
labels:
app: postgres
spec:
containers:
- name: postgres
image: postgres:16-alpine
env:
- name: POSTGRES_DB
valueFrom:
configMapKeyRef:
name: keycloak-config
key: POSTGRES_DB
- name: POSTGRES_USER
valueFrom:
configMapKeyRef:
name: keycloak-config
key: POSTGRES_USER
- name: POSTGRES_PASSWORD
valueFrom:
secretKeyRef:
name: keycloak-secrets
key: postgres-password
ports:
- containerPort: 5432
volumeMounts:
- name: postgres-storage
mountPath: /var/lib/postgresql/data
resources:
requests:
memory: "512Mi"
cpu: "250m"
limits:
memory: "1Gi"
cpu: "500m"
volumeClaimTemplates:
- metadata:
name: postgres-storage
spec:
accessModes: ["ReadWriteOnce"]
storageClassName: "gp2"
resources:
requests:
storage: "20Gi" |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
| apiVersion: apps/v1
kind: Deployment
metadata:
name: keycloak
namespace: keycloak-demo
spec:
replicas: 2
selector:
matchLabels:
app: keycloak
template:
metadata:
labels:
app: keycloak
spec:
containers:
- name: keycloak
image: quay.io/keycloak/keycloak:24.0
env:
- name: KC_DB
value: postgres
- name: KC_DB_URL
value: jdbc:postgresql://postgres:5432/keycloak
- name: KC_DB_USERNAME
valueFrom:
configMapKeyRef:
name: keycloak-config
key: POSTGRES_USER
- name: KC_DB_PASSWORD
valueFrom:
secretKeyRef:
name: keycloak-secrets
key: postgres-password
- name: KC_HOSTNAME
valueFrom:
configMapKeyRef:
name: keycloak-config
key: KEYCLOAK_HOSTNAME
- name: KEYCLOAK_ADMIN
value: admin
- name: KEYCLOAK_ADMIN_PASSWORD
valueFrom:
secretKeyRef:
name: keycloak-secrets
key: keycloak-admin-password
- name: KC_CACHE
value: ispn
- name: KC_CACHE_STACK
value: kubernetes
- name: JAVA_OPTS
value: "-Xms1024m -Xmx2048m -XX:+UseG1GC -XX:+UseStringDeduplication"
command: ["/opt/keycloak/bin/kc.sh"]
args: ["start", "--optimized"]
ports:
- containerPort: 8080
- containerPort: 7800
readinessProbe:
httpGet:
path: /health/ready
port: 8080
initialDelaySeconds: 30
periodSeconds: 10
livenessProbe:
httpGet:
path: /health/live
port: 8080
initialDelaySeconds: 60
periodSeconds: 30
resources:
requests:
memory: "1.5Gi"
cpu: "500m"
limits:
memory: "3Gi"
cpu: "1500m" |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
| apiVersion: apps/v1
kind: Deployment
metadata:
name: demo-app
namespace: keycloak-demo
spec:
replicas: 3
selector:
matchLabels:
app: demo-app
template:
metadata:
labels:
app: demo-app
annotations:
prometheus.io/scrape: "true"
prometheus.io/port: "8080"
prometheus.io/path: "/actuator/prometheus"
spec:
containers:
- name: app
image: demo/keycloak-spring-app:latest
env:
- name: SPRING_PROFILES_ACTIVE
value: kubernetes
- name: KEYCLOAK_ISSUER_URI
value: [url]http://keycloak:8080/realms/production[/url]
- name: KEYCLOAK_CLIENT_SECRET
valueFrom:
secretKeyRef:
name: keycloak-secrets
key: app-client-secret
ports:
- containerPort: 8080
readinessProbe:
httpGet:
path: /actuator/health/readiness
port: 8080
initialDelaySeconds: 30
periodSeconds: 10
livenessProbe:
httpGet:
path: /actuator/health/liveness
port: 8080
initialDelaySeconds: 60
periodSeconds: 30
resources:
requests:
memory: "768Mi"
cpu: "250m"
limits:
memory: "1.5Gi"
cpu: "1000m" |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: keycloak-ingress
namespace: keycloak-demo
annotations:
kubernetes.io/ingress.class: "nginx"
cert-manager.io/cluster-issuer: "letsencrypt-prod"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/backend-protocol: "HTTP"
nginx.ingress.kubernetes.io/affinity: "cookie"
nginx.ingress.kubernetes.io/session-cookie-name: "keycloak-server"
spec:
tls:
- hosts:
- auth.example.com
- app.example.com
secretName: keycloak-tls
rules:
- host: auth.example.com
http:
paths:
- pathType: Prefix
path: "/"
backend:
service:
name: keycloak-service
port:
number: 8080
- host: app.example.com
http:
paths:
- pathType: Prefix
path: "/"
backend:
service:
name: demo-app-service
port:
number: 8080 |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
name: keycloak-demo-monitoring
namespace: keycloak-demo
spec:
selector:
matchLabels:
monitoring: enabled
endpoints:
- port: http
path: /actuator/prometheus
interval: 30s
- port: keycloak-metrics
path: /metrics
interval: 60s |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
| global:
domain: example.com
storageClass: gp2
keycloak:
replicas: 2
image:
repository: quay.io/keycloak/keycloak
tag: "24.0"
resources:
requests:
memory: 1.5Gi
cpu: 500m
limits:
memory: 3Gi
cpu: 1500m
application:
replicas: 3
image:
repository: demo/keycloak-spring-app
tag: latest
resources:
requests:
memory: 768Mi
cpu: 250m
postgresql:
enabled: true
primary:
persistence:
size: 20Gi |
|
| YAML | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| stages:
- test
- build
- deploy
test:
stage: test
script:
- ./mvnw test
- ./mvnw verify
build-app:
stage: build
script:
- docker build -t $CI_REGISTRY_IMAGE/app:$CI_COMMIT_SHA .
- docker push $CI_REGISTRY_IMAGE/app:$CI_COMMIT_SHA
deploy-production:
stage: deploy
script:
- helm upgrade --install keycloak-demo ./charts/keycloak-demo
--set application.image.tag=$CI_COMMIT_SHA
--namespace keycloak-demo
only:
- main |
|
Заключение: Стоит ли овчинка выделки и альтернативные решения
После двух лет эксплуатации Keycloak в production я могу честно сказать: это решение стоило потраченных усилий, но далеко не всегда и не для всех проектов. Выбор между собственной реализацией аутентификации и готовым Identity Provider требует трезвой оценки специфики вашей ситуации.
Keycloak оправдывает себя в enterprise окружении с множественными приложениями, сложными требованиями к федерации и необходимостью соответствия корпоративным стандартам безопасности. Если у вас есть партнёрские интеграции, активное использование LDAP/Active Directory или планы по расширению на десятки микросервисов - Keycloak станет правильным выбором. Единственная система управления пользователями действительно упрощает администрирование и снижает risk поверхность.
Однако для стартапов и небольших команд сложность внедрения может перевесить преимущества. Я потратил месяц на решение проблем, которые в простом JWT решении заняли бы пару дней. Learning curve оказался круче ожидаемого, особенно при работе с federal провайдерами и custom mappers.
Альтернативы существуют разные. AWS Cognito предлагает managed решение с хорошей интеграцией в экосистему Amazon, но vendor lock-in и ограничения кастомизации могут стать проблемой. Auth0 дает отличный developer experience, автоматическое масштабирование и богатые возможности интеграции, но стоимость растёт экспоненциально с количеством пользователей.
Firebase Authentication привлекает простотой интеграции и бесплатным tier'ом для небольших проектов, но ограничен в enterprise функциональности. Собственное решение на базе JWT остаётся feasible вариантом для проектов с простыми требованиями к аутентификации, особенно при наличии опытной команды безопасности.
Spring Boot или Spring MVC?
Добрый день форумчане. Прошу совета у опытных коллег знающих и работающих с фреймворком Spring.... Keycloak сессия юзера
Кто нибудь сталкивался с проблемой получения данных последнего сеанса юзера? А если быть конкретным... keycloak авторизация с Nuxt JS
Добрый день! Кто может скинуть полный гайд как сделать авторизацию nuxt приложения и keycloak, с... KeyCloak SSO
Хочу сделать приложение и в качестве Auth провайдера использовать KeyCloak. Кейклок мне нужен... Keycloak (docker) в Azure App Service + mysql
Добрый день.
Помогите пожалуйста советом или ссылками.
Если сервис keycloak (докер образ),... Интеграция Spring Security
@Configuration
@EnableWebSecurity
public class SecurityConfig extends... Интеграция чата в Spring MVC приложение
Всем доброго времени суток.
Решил на днях написать простенький аналог социальной сети на Java +... Интеграция Java Spring MVC и ExtJS 6
Стоит задача интегрировать или состыковать небольшой проект Spring MVC и ExtJS 6. В качестве... Java spring boot настройка статического контента css и js
Доброго времени суток.
Второй день как приступил к изучению спринг. Использую относительно новую... Frontend для spring boot
Здравстауйте. Написал backend с использованием spring data jpa и spring boot. Сервер правильно... Оптимизация angularjs + java spring boot проект
как оптимизировать проект написанный на angularjs(front-end) + java spring boot (back-end), уважаю... Spring Boot - работа с Mysql
Я новичок в Spring'е, прошу камнями не забрасывать, возможно вопросы покажутся простыми... но...
|
