我知道我迟到了两年多，但我认为我应该分享我所知道的，希望能减轻未来读者的痛苦。完全透明——我绝不是一个 Keycloak/OAuth/OIDC 专家，我所知道的大部分是通过阅读文档、书籍、好的 ol’YouTube 和使用这个工具。

该员额将由两部分组成:

1. 我会尽力回答你们所有的问题
2. 我将向大家展示如何在 Keycloak 使用策略/范围/权限，而无需部署单独的应用程序，以便更好地理解这个线程中的一些核心概念。请注意，虽然这主要是为了让你所有的开始。我用的是 Keycloak 8.0.0。

第一部分

在我们开始之前，有一些术语:

• 在 Keycloak，您可以创建两种类型的权限: 资源为本和 基于范围。
• 简单地说，对于 Resource-Based权限，您可以将它直接应用到您的资源
• 对于 Scoped-Based权限，应将其应用于范围或范围 还有资源。

只创建一个“视图”作用域并跨多个资源(帐户、事务等)使用它是否是最佳实践？或者我应该创建一个“ viewAccount”作用域，一个“ viewTransaction”作用域，等等？

作用域表示受保护资源上的一组权限。在您的例子中，您有两个资源: account和 transaction，因此我倾向于第二种方法。

从长远来看，拥有与所有资源(例如 account、 transaction、 customer、 settlement...)相关联的全局 view作用域使得授权难以管理和适应安全需求变化。

这里有一些例子，你可以通过检查来获得一种设计的感觉

• Slack API
• 箱 API
• 条纹

但是请注意-我并不是说您不应该跨资源共享作用域。事实上，对于具有相同 type的资源，Keycloak允许这样做。例如，您可能需要同时使用 viewAccount和 viewTransaction作用域来读取给定帐户下的事务(毕竟您可能需要访问该帐户来查看事务)。您的需求和标准将严重影响您的设计。

对于资源和范围的每个实际组合，通常的做法是创建权限吗？

抱歉，我不是很明白这个问题，所以我就长话短说了。为了授予/拒绝访问 resource，您需要:

• 定义你的 政策
• 定义你的 权限
• 将策略应用于您的权限
• 将您的权限与 scope或 resource(或两者)关联

为了使政策执行生效，请参阅 授权程序。

如何安排这一切完全取决于你自己，例如:

• 定义单个策略，并将每个策略绑定到适当的许可下。

• 更好的做法是，定义单个策略，然后将所有相关策略分组到一个 aggregated策略(一个策略的策略)下，然后将该聚合策略与 scope-based权限关联起来。您可以将该 scoped-based权限应用于资源及其所有相关作用域。

• 或者，您可以通过利用这两种不同的类型进一步拆分您的权限。您可以通过 resource-based权限类型单独为资源创建权限，并通过 scope-based权限类型单独将其他权限与范围关联。

你有选择。

如果有多个权限匹配给定的资源/作用域，那么钥匙斗篷会做什么？

这取决于

1. 资源服务器的 Decision Strategy
2. 每个许可都是 Decision Strategy
3. 每个保单的 Logic值。

Logic值类似于 Java 的 !运算符。它可以是 Positive或 Negative。当 Logic为 Positive时，策略的最终评估保持不变。当它的 Negative时，最终的结果是否定的(例如，如果一个策略的计算结果为 false，而它的 Logic是 Negative，那么它将是 true)。为了简单起见，让我们假设 Logic总是设置为 Positive。

Decision Strategy是我们真正想要解决的问题。 Decision Strategy可以是 Unanimous也可以是 Affirmative,

决策策略

此配置更改策略计算引擎如何根据所有计算权限的结果决定是否应授予资源或范围。是的意味着，为了授予对资源及其作用域的访问权限，必须至少有一个权限评估为肯定的决策。全票通过意味着所有权限必须评估为一个积极的决策，以便最终的决策也是积极的。例如，如果同一资源或作用域的两个权限发生冲突(其中一个授予访问权限，另一个拒绝访问权限) ，则如果选择的策略是肯定的，则将授予对该资源或作用域的权限。否则，对任何权限的单次拒绝也将拒绝对资源或范围的访问。

让我们用一个例子来更好地理解上面的内容。假设您有一个具有2个权限的资源，并且有人试图访问该资源(请记住，所有策略的 Logic都是 Positive)。现在:

1. Permission One的 Decision Strategy设置为 Affirmative。它还有3个策略，每个策略的评估结果如下:
   • true
   • false
   • false

因为其中一个策略被设置为 true，所以 Permission One被设置为 true(确认-只有1需要是 true)。

2. Permission Two的 Decision Strategy设置为 Unanimous，有两个策略:
   • true
   • false

在这种情况下，Permission Two是 false，因为有一个策略是假的(一致同意-它们都需要是 true)。

3. 现在进行 期末考试评估。如果资源服务器的 Decision Strategy设置为 Affirmative，则将授予对该资源的访问权，因为 Permission One是 true。另一方面，如果资源服务器的 Decision Strategy设置为 Unanimous，访问将被拒绝。

参见:

• 资源服务器设置
• 管理权限

我们将继续讨论这个问题，在第二部分中我将解释如何设置资源服务器的 Decision Strategy。

因此，例如，我可以有权访问“帐户”和“查看”范围的权限，因此我将有权查看帐户？

简短的回答是肯定的。现在，让我们再详细说明一下:)

如果你有以下情况:

1. 资源服务器的 Decision Strategy设置为 Unanimous或 Affirmative
2. 访问 account/{id}资源的权限为 true
3. 访问 view范围的权限是 true

您将被授予查看帐户的权限。

• true + true等于 Affirmative或 Unanimous下的 true。

如果你有这个

1. 资源服务器的 Decision Strategy设置为 Affirmative
2. 访问 account/{id}资源的权限为 true
3. 访问 view范围的权限是 false

您将被授予 还有查看帐户的权限。

• true + false是 Affirmative策略下的 true。

这里的要点是，对给定资源的访问也取决于您的设置，所以要小心，因为您可能不想要第二种情况。

但是，这是否意味着我需要针对用户可能属于的每个遗留组的策略？

我不太清楚两年前 Key枕表现如何，但是您可以指定一个 以团体为基础的政策，并在该策略下简单地添加所有组。您当然不需要为每个组创建一个策略。

例如，如果我有一个“ help desk”角色，那么我需要一个“ help desk member”策略，然后我可以将它添加到“ viewAccount”权限中。是这样吗？

差不多。有很多方法可以设置这个。例如，你可以:

1. 创建您的资源(例如 /account/{id})并将其与 account:view作用域关联。
2. 创建一个 基于角色的策略并在该策略下添加 helpdesk角色
3. 创建一个名为 viewAccount的 Scope-Based权限，并将其与 scope、 resource和 policy绑定

我们将在第 II 部分中设置类似的内容。

第二部分

钥匙斗篷有一个简洁的小工具，允许您测试您的所有策略。更好的是，您实际上不需要启动另一个应用程序服务器并部署一个单独的应用程序来实现这一点。

下面是我们设定的场景:

1. 我们将创建一个名为 stackoverflow-demo的新域
2. 我们将在该领域下创建一个 bank-api客户机
3. 我们将为该客户机定义一个名为 /account/{id}的资源
4. account/{id}将具有 account:view作用域
5. 我们将在新领域下创建一个名为 bob的用户
6. 我们还将创建三个角色: bank_teller、 account_owner和 user
   • 我们不会将 bob与任何角色关联起来。现在不需要这样做。
7. 我们将建立以下两个 Role-Based政策:
   • bank_teller和 account_owner可以访问 /account/{id}资源
   • account_owner可以访问 account:view范围
   • user不能访问资源或范围
8. 我们将使用 Evaluate工具来了解如何授予访问权限 拒绝。

请原谅我，这个例子是不现实的，但我不熟悉银行业:)

钥匙斗篷设置

下载并运行“钥匙斗篷”

cd tmp
wget https://downloads.jboss.org/keycloak/8.0.0/keycloak-8.0.0.zip
unzip keycloak-8.0.0.zip
cd keycloak-8.0.0/bin
./standalone.sh

创建初始管理用户

1. 转到 http://localhost:8080/auth
2. 点击 Administration Console链接
3. 创建管理用户和登录

请访问 开始了解更多信息。对于我们来说，以上就足够了。

准备舞台

创建一个新的领域

1. 将鼠标悬停在 master领域并单击 Add Realm按钮。
2. 输入 stackoverflow-demo作为名称。
3. 点击 Create。
4. 左上角现在应该说 stackoverflow-demo而不是 master领域。

参见 创造一个新的领域

创建一个新用户

1. 单击左侧的 Users链接
2. 点击 Add User按钮
3. 输入 username(例如 bob)
4. 确保打开 User Enabled
5. 按 Save

参见 创建新用户

创建新角色

1. 点击 Roles链接
2. 点击 Add Role
3. 添加以下角色: bank_teller、 account_owner和 user

同样，将用户与角色关联起来。对于我们的目的，这是不需要的。

参见 角色

创建一个客户端

1. 点击 Clients链接
2. 点击 Create
3. 输入 bank-api作为 Client ID
4. 对于 Root URL，输入 http://127.0.0.1:8080/bank-api
5. 点击 Save
6. 确保 Client Protocol为 openid-connect
7. 将 Access Type改为 confidential
8. 将 Authorization Enabled改为 On
9. 向下滚动并点击 Save。一个新的 Authorization标签应该出现在顶部。
10. 单击 Authorization选项卡，然后单击 Settings
11. 确保将 Decision Strategy设置为 Unanimous
    • 这是资源服务器的 Decision Strategy

参见:

• 创建客户端应用程序
• 启用授权服务

创建自定义作用域

1. 单击 Authorization选项卡
2. 点击 Authorization Scopes > Create打开 Add Scope页面
3. 在名称中输入 account:view，然后按回车键。

创建“查看帐户资源”

1. 点击上面的 Authorization链接
2. 点击 Resources
3. 点击 Create
4. 为 Name和 Display name输入 View Account Resource
5. 输入 account/{id}作为 URI
6. 在 Scopes文本框中输入 account:view
7. 按 Save

参见 创建资源

制定你的政策

1. 再次在 Authorization选项卡下，单击 Policies
2. 从 Create Policy下拉菜单中选择 Role
3. 在 Name部分中，键入 Only Bank Teller and Account Owner Policy
4. 在 Realm Roles下选择 bank_teller和 account_owner角色
5. 确保将 Logic设置为 Positive
6. 按 Save
7. 点击 Policies链接
8. 从 Create Policy下拉列表中再次选择 Role。
9. 这次对于 Name使用 Only Account Owner Policy
10. 在 Realm Roles下选择 account_owner
11. 确保将 Logic设置为 Positive
12. 按 Save
13. 单击顶部的 Policies链接，现在应该可以看到新创建的策略。

参见 基于角色的策略

一定要注意到钥匙斗篷有更强大的策略。参见 管理政策

创建基于资源的权限

1. 再次在 Authorization选项卡下，单击 Permissions
2. 选择 Resource-Based
3. 为 Name键入 View Account Resource Permission
4. 在 Resources类型 View Account Resource Permission下
5. 在 Apply Policy下选择 Only Bank Teller and Account Owner Policy
6. 确保将 Decision Strategy设置为 Unanimous
7. 按 Save

参见 创建基于资源的权限

呼..

基于资源的权限评估

1. 再次在 Authorization选项卡下，选择 Evaluate
2. 在 User下输入 bob
3. 在 Roles下选择 user
   • 这是我们将用户与我们创建的角色相关联的地方。
4. 在 Resources下选择 View Account Resource并单击 Add
5. 点击评估。
6. 展开 View Account Resource with scopes [account:view]查看结果，您应该会看到 DENY。

7. 这是有意义的，因为我们只允许两个角色通过 Only Bank Teller and Account Owner Policy访问该资源。让我们测试一下，确保这是真的！
8. 点击评估结果右上方的 Back链接
9. 将 bob 的角色改为 account_owner并单击 Evaluate。您现在应该看到的结果是 PERMIT。如果你回去把角色改成 bank_teller也是一样

参见 评估和测试政策

创建基于范围的权限

1. 回到 Permissions部分
2. 这次在 Create Permission下拉列表中选择 Scope-Based。
3. 在 Name下，输入 View Account Scope Permission
4. 在 Scopes下，输入 account:view
5. 在 Apply Policy下，输入 Only Account Owner Policy
6. 确保将 Decision Strategy设置为 Unanimous
7. 按 Save

参见 创建基于范围的权限

第二次测试

评估我们的新变化

1. 回到 Authorization部分
2. 点击 Evaluate
3. 用户应该是 bob
4. 角色应该是 bank_teller
5. 资源应该是 View Account Resource并单击 Add
6. 点击 Evaluate，我们应该得到 DENY。
   • 同样，这也不足为奇，因为 bank_teller可以访问 resource，但不能访问 scope。这里一个权限计算为 true，另一个计算为 false。假设资源服务器的 Decision Strategy被设置为 Unanimous，那么最终的决定是 DENY。
7. 单击 Authorization选项卡下的 Settings，将 Decision Strategy改为 Affirmative，然后返回到步骤1-6。这一次，最终结果应该是 PERMIT(一个权限为 true，因此最终决策为 true)。
8. 为了完整起见，将资源服务器的 Decision Strategy返回到 Unanimous。再次回到步骤1到步骤6，但是这一次，将角色设置为 account_owner。这一次，最终的结果也是 PERMIT，这是有意义的，因为 account_owner可以访问 resource和 scope。

希望这个有帮助。