MVC测试Spring Boot模拟Keycloak令牌
基础概念
MVC(Model-View-Controller) 是一种软件设计模式,用于将应用程序的数据模型(Model)、用户界面(View)和控制逻辑(Controller)分离,以提高代码的可维护性和可扩展性。
Spring Boot 是一个开源的Java框架,旨在简化Spring应用的创建和部署过程。它提供了自动配置功能,使得开发者可以快速搭建独立的、生产级别的Spring应用。
Keycloak 是一个开源的身份和访问管理解决方案,提供了单点登录(SSO)、用户管理、社交登录等功能。
模拟Keycloak令牌 是在开发和测试过程中,为了模拟真实的Keycloak认证流程,而生成一个假的令牌。
相关优势
- 简化开发流程:通过模拟令牌,开发者可以在没有真实Keycloak服务的情况下进行开发和测试。
- 提高效率:避免了每次测试都需要启动Keycloak服务的麻烦。
- 隔离环境:确保测试环境与生产环境的隔离,减少潜在的安全风险。
类型
- 静态令牌:预先定义好的固定令牌,适用于简单的测试场景。
- 动态令牌:通过脚本或工具生成的临时令牌,适用于更复杂的测试需求。
应用场景
- 单元测试:在编写单元测试时,可以使用模拟令牌来验证认证逻辑的正确性。
- 集成测试:在集成测试阶段,模拟令牌可以帮助验证整个认证流程的正确性。
- 快速原型开发:在快速原型开发阶段,使用模拟令牌可以加快开发速度。
示例代码
以下是一个简单的Spring Boot应用示例,展示了如何模拟Keycloak令牌:
1. 添加依赖
在pom.xml中添加Spring Security和Keycloak的依赖:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.keycloak</groupId>
<artifactId>keycloak-spring-boot-starter</artifactId>
<version>15.0.2</version>
</dependency>
</dependencies>2. 配置Spring Security
创建一个配置类来模拟Keycloak令牌:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.csrf().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/public").permitAll()
.anyRequest().authenticated()
.and()
.addFilterBefore(new KeycloakTokenFilter(), UsernamePasswordAuthenticationFilter.class);
return http.build();
}
}3. 创建模拟令牌过滤器
创建一个过滤器来模拟Keycloak令牌的验证过程:
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class KeycloakTokenFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
String token = request.getHeader("Authorization");
if (token != null && token.startsWith("Bearer ")) {
token = token.substring(7);
// 这里可以添加简单的令牌验证逻辑,例如检查令牌是否为预定义的静态令牌
if ("mock-token".equals(token)) {
// 设置认证信息
SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken("user", "password", Collections.emptyList()));
}
}
filterChain.doFilter(request, response);
}
}遇到问题及解决方法
问题:模拟令牌无法通过验证。
原因:
- 令牌格式不正确:确保请求头中的令牌格式正确,例如
Bearer <token>。 - 验证逻辑错误:检查过滤器中的令牌验证逻辑是否正确。
- 依赖版本不兼容:确保使用的Spring Security和Keycloak依赖版本兼容。
解决方法:
- 检查令牌格式:确保请求头中的令牌格式正确。
- 调试验证逻辑:在过滤器中添加日志或断点,调试令牌验证逻辑。
- 更新依赖版本:检查并更新依赖版本,确保兼容性。
通过以上步骤,可以有效地模拟Keycloak令牌,并在开发和测试过程中提高效率。
相关·内容
1回答
我正在尝试为我的keycloak安全API做一个MVC-Unittest。 使用https://github.com/ch4mpy/spring-addons,根据示例,测试应该可以正常工作。测试: @RunWith(SpringRunner.class)@AutoConfigureMockMvcprivate StudentService service
浏览 16提问于2020-08-07得票数 0
1回答
Keycloak-模拟独立服务器
、、、、
我已经使用keycloak独立服务器实现了angular- spring boot- keycloak身份验证。有没有可能模拟keycloak服务器,这样其他使用我代码的人就不需要下载keycloak服务器了?或者以某种方式模拟令牌,这样它就不会被重定向到密钥伪装服务器。(令牌是必需的,因为其他人需要使用它的角色)
浏览 18提问于2021-05-20得票数 1
我有一个使用spring安全和密钥披风的spring引导应用程序。在执行应用程序时,使用jwt令牌进行保护就像预期的那样工作。然后,它返回到加载keycloak.json文件并失败。<parent> <a
浏览 28提问于2022-10-18得票数 0
回答已采纳
1回答
我使用的是spring boot 2.1.7版本和keycloak-spring-boot-2-starter:4.0.0.Final版本。这个keycloak-spring-boot-2-starter自动下载与4.000对应的所需的keycloak适配器依赖项。keycloak适配器依赖项的最终版本。所以我想使用keycloak-spring-boot-sta
浏览 119提问于2019-09-09得票数 1
将我的项目从spring-boot 2.2.7升级到2.4.3之后,一些WebMvcTest集成测试失败了。具体地说,对于没有JWT令牌的GET请求的测试用例-以前它们将返回401 UNAUTHORIZED,现在它们将302 REDIRECT返回给http://localhost/oauth2/authorization/keycloak。未进行身份验证的测试中的POST方法返回403 (与升级前一样)。此问题仅在<em
浏览 1提问于2021-06-09得票数 0
我正在使用spring boot微服务配置Keycloak SSO。我想让多个keycloak客户端访问spring boot服务。如果在spring boot应用程序pom.xml中使用Keycloak适配器,那么required properties只支持一个客户端和密钥。如何在运行时在spring boot应用中添加多个客户端?我想在Keycloak中动态创建客户端,并希望<
浏览 2提问于2019-07-28得票数 8
<dependency> <artifactId>keycloak-spring-boot-starter</artifactId>应用程序运行良好,但问题在于e2e测试。,我使用以下库: <groupId>com.c4-soft.spri
浏览 7提问于2022-07-27得票数 2
我在spring boot应用程序中进行了集成测试,有些测试需要从Keycloak获取令牌。每次通信都是通过带有自签名证书的SSL进行的。当启动这些测试时,我得到了异常: SunCertPathBuilderException: unable to find valid certification path to requested target这是我获得令牌的地方: private AccessTokenResponse getToken() thr
浏览 27提问于2019-02-12得票数 1
回答已采纳
1回答
技术细节:Java版本: 1.8Keycloak Spring启动启动器我有一个Spring Boot应用程序,内部工作人员可以使用它的官方我尝试用Java Admin Client模拟,impersonate函数返回一个映射,其中包含布尔值“sameRealm”和Keycloak的帐户页面的重定向URL。最后,我尝试了一个令牌交换,以接收一个有效的访问令牌<
浏览 4提问于2021-07-30得票数 2
我对Keycloak不熟悉。我正在尝试使用Keycloak保护我的REST应用程序。该应用程序包含几个Spring配置文件,它们在配置、工作流程和公开的REST方法上有所不同。如何仅为特定配置文件启用Keycloak?谢谢!
浏览 1提问于2021-09-27得票数 0
因此,我使用keycloak来保护我的服务。客户端应用程序从keycloak服务器获取访问令牌,并使用它来保护对Spring boot应用程序的访问。我已经配置了我的Spring Boot应用程序,并使用仅限持有者访问类型的keycloak属性:keycloak.realmKey = ...
keycloak.auth-server-url= tru
浏览 12提问于2017-08-08得票数 2
回答已采纳
我正在尝试使用keycloak在spring cloud gateway中为我的rest apis设置auth2身份验证。keyclcoak将我的请求重定向到登录页面,同时将访问令牌作为持有者令牌传递。在很多地方,我发现解决这个问题的方法是在keycloak适配器中设置bearer only= true。在使用spring-boot-starter-oauth2-client时在哪里设置。我不能使用keycloak-spring-<e
浏览 42提问于2020-09-28得票数 0
我需要将auth添加到我的spring boot (MVC)应用程序中。身份验证提供者是通过OpenID的密钥罩。隐式授权和授权代码授权都被禁用,因此我只能使用资源所有者凭据授权。通过这种方式检索的凭证应该用于从keycloak获取令牌和用户信息,以供spring security进一步使用。应在每次请求时检查令牌。我发现的大多数示例都在使用org.keycloak:keycloak-spring-boot<
浏览 8提问于2018-08-07得票数 5
1回答
我正在尝试寻找一种在Java Enterprise应用程序中使用OAuth2访问令牌身份验证的方法。到目前为止,我找到的唯一示例都与Spring Boot相关。例如,Spring Boot应用程序能够定义属性来访问Keycloak服务器,并指定领域和客户端:keycloak.auth-server-urlkeycloak.
浏览 0提问于2019-10-22得票数 0
1回答
我有一个spring REST API,它是由spring安全性和Keycloak保护的,我正在使用keycloak测试容器进行集成测试。在测试大多数API时,我可以向keycloak添加一个用户,并获得一个可以使用的令牌。问题是,如果我有一个使用@Secured注释的API来限制它对具有特定角色的用户的访问,那么如何将该角色分配给创建的用户,或者模拟这个角色来运行集成测试。
浏览 5提问于2022-09-20得票数 3
前端Spring被配置为领域中的客户端( App -ui),用户可以通过keycloak登录,令牌成功地传递了所有的东西。Security正在确保端点的安全,并且端点的角色受到尊重。如何配置后端Spring应用程序以使用它从上游Spring接收到的经过身份验证的用户详细信息,以及需要向后端Spring应用程序添加哪些依赖项以便于实现(org.keycloak:keycloak-spring- Boot -starte
浏览 4提问于2018-11-05得票数 6
回答已采纳
我正在尝试仅使用访问令牌在Spring Boot应用程序上配置单点登录OpenID连接(Keycloak)。我已经在Keycloak中为我的应用程序设置了客户端,并配置了权限和范围。我希望应用程序与Keycloak服务器交互,以便基于访问令牌从LDAP (或AD)组检索用户角色和授权,这些令牌将与"Authorization“标头下的请求一起传递。注意:我找到了java适配器(spring-boot- ad
浏览 14提问于2020-01-30得票数 1
我尝试在spring云网关本身中使用keycloak进行身份验证和授权。但是我得到了下面的错误。' implementation'org.springframework.boot:spring-boot-starter-security'
浏览 2提问于2021-09-28得票数 1
需要将Keycloak集成到我的spring boot应用程序中。我需要的是任何进入我的API的REST请求都会有一个头,例如"Authorisation“,它的值为"basic”,将用作身份验证令牌。对API的请求应该从keyclaok验证,而不是重定向到keycloak的任何登录页面。所有将keycloak与spring boot集成的教程都会显示登录页面或预先生成的持有者令牌。<groupId>o
浏览 2提问于2019-08-22得票数 2
1回答
问题:类org.keycloak.adapters.springboot.KeycloakSpringBootPropertiesMVC web configspring.mvc.view.suffix=.jsp
keycloak
浏览 1提问于2020-06-16得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
