第 1 章 授权服务概述

资源管理 涉及定义所保护内容所需的所有步骤。

首先，您需要指定您要保护的 Keycloak 的红帽构建，这通常代表 web 应用程序或一组一个或多个服务。有关资源服务器的更多信息，请参阅 术语。

资源服务器使用红帽构建的 Keycloak 管理控制台进行管理。您可以使用任何注册的客户端应用程序作为资源服务器，并开始管理您要保护的资源和范围。

资源可以是网页、RESTFul 资源、您的文件系统中的文件、EJB 等。它们可以代表一组资源（就像 Java 中的类一样），或者可以代表单个和特定资源。

例如，您可能有一个代表所有 银行帐户的 Account 帐户资源，并使用它来定义所有银行帐户通用的授权策略。但是，您可能希望为 alice 帐户 定义特定策略（属于某个客户的资源实例），其中只有所有者才能访问某些信息或执行操作。

可以使用红帽构建的 Keycloak 管理控制台或 保护 API 来管理资源。在后者的情况下，资源服务器能够远程管理其资源。

范围通常代表可以对资源执行的操作，但它们不仅限于这一操作。您还可以使用范围来代表资源中的一个或多个属性。

在定义了资源服务器和您要保护的所有资源后，您必须设置权限和策略。

这个过程涉及实际定义管理您的资源的安全性和访问要求所需的所有步骤。

策略定义了必须满足访问或对资源（资源或范围）执行操作的条件，但它们没有与保护的内容相关联。它们是通用的，可以重复使用来构建权限甚至更复杂的策略。

例如，要仅允许对赋予角色"用户高级"的用户访问一组资源，您可以使用 RBAC （基于角色的访问控制）。

Red Hat build of Keycloak 提供了几个内置策略类型（及其相应的策略供应商），涵盖了最常见的访问控制机制。您甚至可根据使用 JavaScript 编写的规则创建策略。

定义了策略后，您可以开始定义权限。权限与它们保护的资源相结合。在这里，您可以指定您要保护的内容（资源或范围）以及必须满足授权或拒绝权限的策略。

策略强制 涉及实际对资源服务器实施授权决策所需的步骤。这可以通过在能够与授权服务器通信的资源服务器上启用 Policy Enforcement Point 或 PEP，请求授权数据并根据服务器返回的决策和权限控制对受保护的资源的访问。

Red Hat build of Keycloak 提供了一些内置的 Policy Enforcers 实现，您可以根据它们运行的平台来保护应用程序。

OAuth2 客户端（如前端应用）可以使用令牌端点从服务器获取访问令牌，并使用这些相同的令牌来访问由资源服务器（如后端服务）保护的资源。同样，红帽构建的 Keycloak 授权服务为 OAuth2 提供扩展，以允许根据请求的资源或范围关联的所有策略来处理访问令牌。这意味着，资源服务器可以根据服务器授予的权限并由访问令牌持有来强制实施对其受保护的资源的访问。在红帽构建的 Keycloak 授权服务中，具有权限的访问令牌称为 请求第三方令牌或 RPT。

Protection API 是一组与 UMA 兼容的 端点置备操作，帮助它们管理与其关联的资源、范围、权限和策略。只有资源服务器才能访问此 API，这还需要 uma_protection 范围。

保护 API 提供的操作可以分为两个主要组：

使用 UMA 协议时，保护 API 的 Permission Tickets 的颁发是整个授权过程的一个重要部分。如后续小节中所述，它们代表客户端请求的权限，并发送到服务器以获取与请求的资源和范围关联的权限及策略期间授予的所有权限的最终令牌。