Spring Boot和Keycloak - 401状态码,即使资源不存在
Spring Boot是一个用于创建独立的、基于Java的生产级应用程序的框架。它简化了Spring应用程序的初始搭建和开发过程,并提供了各种开箱即用的功能和插件,使开发人员能够更专注于业务逻辑的实现。
Keycloak是一个开源的身份和访问管理解决方案,它为应用程序提供了强大的身份验证和授权功能。它支持多种身份验证方法,并可以轻松地与Spring Boot应用程序集成,使开发人员能够更加便捷地实现身份验证和授权的功能。
401状态码表示未经授权。当用户访问需要进行身份验证或授权的资源时,如果用户提供的凭据无效或缺失,服务器将返回401状态码,表示未经授权的访问。
即使资源不存在的情况下返回401状态码可能是由于以下原因:
- 用户未提供有效的凭据进行身份验证。
- 用户的凭据已过期或被撤销。
- Keycloak配置错误或与Spring Boot应用程序的集成问题。
- 资源的访问权限设置错误。
为了解决这个问题,可以按照以下步骤进行排查:
- 确保用户提供了有效的凭据进行身份验证,并且凭据没有过期或被撤销。
- 检查Keycloak的配置是否正确,特别是与Spring Boot应用程序的集成配置。
- 确认资源的访问权限设置是否正确,包括Keycloak中的角色和权限配置以及Spring Boot应用程序中的权限控制代码。
- 如果以上步骤都无法解决问题,可以查看Spring Boot和Keycloak的官方文档、社区论坛或问题追踪系统,寻找类似问题的解决方案或反馈问题给开发者社区。
在腾讯云的产品中,推荐使用腾讯云的身份和访问管理(CAM)服务来实现身份验证和授权的功能。CAM提供了身份验证、用户管理、权限管理等功能,可以与Spring Boot应用程序集成,为应用程序提供安全的访问控制。
相关链接:
- Spring Boot官方文档:https://spring.io/projects/spring-boot
- Keycloak官方网站:https://www.keycloak.org/
- 腾讯云CAM产品介绍:https://cloud.tencent.com/product/cam
相关·内容
我的keycloak和Spring Boot配置有问题。当我尝试执行对不存在的资源的请求时,我收到401http状态。它是默认的密钥罩配置吗?当url不存在时,是否可以覆盖它,使其具有404未找到状态(一些筛选顺序?)或者这是正确的行为?谢谢你的任何提示。在我的keycloak配置下面: @KeycloakConfiguration
public class SecurityConfiguratio
浏览 21提问于2020-07-12得票数 0
我需要将auth添加到我的spring boot (MVC)应用程序中。身份验证提供者是通过OpenID的密钥罩。隐式授权和授权代码授权都被禁用,因此我只能使用资源所有者凭据授权。通过这种方式检索的凭证应该用于从keycloak获取令牌和用户信息,以供spring security进一步使用。应在每次请求时检查令牌。我发现的大多数示例都在使用org.keycloak:keycloak-spring-boot<
浏览 8提问于2018-08-07得票数 5
2回答
目前,在我的SecurityConfig.java类文件中,我定义了KeycloakWebSecurityConfigurerAdapter,因此每个GET请求都可以由两个不同的角色来完成。但是只有一个角色可以执行其他类型的HTTP请求(POST、PUT、修补程序等)。如何在下面的代码中实现这一点:protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests()
.antMatchers
浏览 16提问于2022-01-26得票数 0
但是,我配置的端点是打开的,还是我想要的角色,得到401。{“时间戳”:"2021-07-08T20:39:21.265+0000“、”状态“:401、”错误“:”未经授权“、”消息“:”未经授权“、”路径“:”/test/匿名“}<keycloak.version>14.0.0</keycloak.versi
浏览 0提问于2021-07-08得票数 1
回答已采纳
我正在评估Keycloak 7.X在我们的应用程序中使用,它由大约12个微服务(Spring Boot)和4个Angular 6.x应用程序组成。我计划将Keycloak适配器用于Angular应用程序以及Spring Boot,而不是用于SpringBoot的OAuth 2.0。我的概念证明必须演示以下用例。
(1)单点登录。(2)基于角色的访问控制(3)策略和权限-例如,具有“主管”角色的用户应该能够访问组织中所有员工的工资。但是,他/她
浏览 5提问于2019-10-07得票数 2
我已经实现了一个spring引导web应用程序,使用security和Keycloak对基于的用户进行身份验证。我使用了maven、spring 2.2.2和Keycloak 8.0.1。当我在浏览器()和另一个选项卡({realm_name}/account)的选项卡中打开spring引导应用程序的安全路径并与其中一个用户登录时,另一个选项卡将知道登录,在重新加载页面后,该页面也将被验证但问题是,当两个选项卡都登录,我首先从帐户页面注销,重
浏览 2提问于2020-01-05得票数 2
回答已采纳
2回答
我需要使用Keycloak,更喜欢在Spring应用程序中使用无状态JWT令牌。我可以让它在会话中正常运行,但是在转换时我需要帮助。当发生这种情况时,我想强制Spring重定向到登录页面,就像如果这是一个有状态的应用程序一样。HttpStatus.UNAUTHORIZED)) .oauth2ResourceServer().jwt();
我知道我错过了一些东西,但我认为Keycloak请注意,互联网上充斥着Spring<
浏览 16提问于2022-07-28得票数 -1
我不想使用按键适配器来引导角和弹簧,我想使用普通的oauth2 oauth/token,这样我就可以更改我的授权服务器,比如从keycloak到okta,而不需要太多的更改代码。CORS策略阻止从源'‘访问 '’:请求的资源上不存在“访问控制-允许-原产地”标题。login.component.ts:37。<artifactId>spring-boot-starter-oauth2-client</artifactId>
浏览 2提问于2021-05-22得票数 1
回答已采纳
其他端点由keycloak授权,由注册用户完成。但是在这里,我只想通过静态的api键来解释它。谢谢!
浏览 6提问于2022-11-17得票数 0
回答已采纳
我有一个带有REST端点的应用程序,这些端点受到JWT身份验证(外部资源服务器)的保护。将我的项目从spring-boot 2.2.7升级到2.4.3之后,一些WebMvcTest集成测试失败了。具体地说,对于没有JWT令牌的GET请求的测试用例-以前它们将返回401 UNAUTHORIZED,现在它们将302 REDIRECT返回给http://localhost/oauth2/authorization/keycloak。andExpect(statu
浏览 1提问于2021-06-09得票数 0
4回答
在spring引导管理中未经授权
、、、、
我使用了spring-boot-admin,但我在访问跟踪、日志等信息时出错.我所犯的错误是
</dependency>
浏览 6提问于2017-03-07得票数 12
2回答
然而,只有当我登录到第一个keycloak客户端时,它才能工作,即,它将客户端ID、客户端密钥、用户名、密码发送到keycloak服务器。如果我没有在第一个客户机上使用用户和密码进行身份验证,我会得到“无法设置authorization header,因为没有经过身份验证的原则”。但是我已经将keycloak配置为对第一个客户端使用服务帐户(Client Credential ),因此我不应该使用用户/密码,而应该只依赖客户端id/secret。
浏览 1提问于2017-09-06得票数 7
我希望我的spring引导应用程序能够为受保护的前端提供服务,同时也是用于上述前端的API资源服务器,但我无法让oauth的内容正常工作。但是我也希望API在没有令牌的情况下调用时返回401,因为我认为302重定向到登录页面并不是很有用。在伪码中: return 302 https//gitlab/loginpage <
浏览 3提问于2019-11-11得票数 11
回答已采纳
在使用的项目中,我更新为Spring 3。或者换句话来说:我如何将Spring 3与keycloak适配器结合使用?
我在互联网上搜索,但找不到任何其他版本的适配器。
浏览 22提问于2022-11-25得票数 2
回答已采纳
2回答
; }<dependency> <artifactId>spring-boot-starter-security</artifactId>运行该应用程序后,它自动为默认用户User生成密码,并将其登录到控制台。然后,我将上面的依赖项替换为OAuth依赖项:
&
浏览 11提问于2022-07-31得票数 0
找不到对象的状态代码。
我正在进行GET users/57rest API调用,但是这个用户(id=57)并不存在。我应该使用404状态吗?或者可以使用什么状态代码
浏览 4提问于2017-07-09得票数 0
1回答
我试着用钥匙斗篷和弹簧引导,但我面临的问题。身份验证在适配器中运行良好,但对授权没有影响。boot application.properties instead of keycloak.json to retrieveGET http://localhost:8081/api/v1/<resources>
Headers: authorizatio
浏览 7提问于2020-10-02得票数 5
回答已采纳
3回答
我正在设计一个HTTP,它使用RESTful状态代码和谓词作为通信的关键组件。决定HTTP状态代码的经验法则是或类似的资源。GET /api/documents/1 - 401用户尚未登录
GET /api/documents/1 - 403用户没有权限api/document
浏览 8提问于2014-05-06得票数 21
回答已采纳
1回答
我尝试实现以下内容:我想要一个具有一个或多个spring云网关的分布式环境,在这些环境后面是几个微服务(部分)暴露在外部。对于用户身份验证,我想使用OIDC (刚刚移到Keycloak)。实际上,我只是从spring安全、网络流量和引导的参考文档中粘贴到标准配置。问题:5分钟后密钥披风会议到期,我得到一个401和铬说“这个页面不工作”。即使我一直在重新加载(用户活动),也会发生这种情况。当用户再次处于活动状态时,应该将他/她重定向到登录,然后
浏览 4提问于2020-06-23得票数 2
回答已采纳
1回答
弹簧启动安全登录(v4)
、、、、
背景是,我在安全性方面使用带有spring-boot-starter-security依赖关系的Spring。我正在尝试构建一个只应该使用JSON (或者XML,如果我也决定实现它)的REST服务。我可以很好地返回资源和URI的工作,所以没有问题。我甚至在安全性上进行了json对象身份验证。
所以这是我的问题。当未经授权的用户试图访问受限资源时,Security将提供一个登录页面(HTML)。我只希望它返回一个401,也可能是我选择的一个JSON错误对象。成功登录也是如
浏览 5提问于2016-02-16得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
