主页
产品
Red Hat JBoss Enterprise Application Platform
7.4
Using MicroProfile with JBoss EAP XP 3.0.0
8.15. 使用红帽单点登录保护 JBoss EAP 可引导 JAR 应用程序

8.15. 使用红帽单点登录保护 JBoss EAP 可引导 JAR 应用程序

您可以使用 Galleon keycloak-client-oidc 层来安装由 Red Hat Single Sign-On 7.4 OpenID Connect 客户端适配器置备的服务器版本。

keycloak-client-oidc 层为 Maven 项目提供红帽单点登录 OpenID Connect 客户端适配器。这个层包含在 Red Hat Single Sign -On 功能包的 keycloak-adapter-galleon-pack 中。

您可以将 keycloak-adapter-galleleon-pack 功能包添加到 JBoss EAP Maven 插件配置中，然后添加 keycloak-client-oidc。您可以通过访问支持的配置来查看与 JBoss EAP 兼容的红帽单点登录客户端适配器：红帽单点登录 7.4 网页。

此流程中的示例演示了如何使用 keycloak-client-oidc 层提供的 JBoss EAP 功能来保护 JBoss EAP 可引导 JAR。

先决条件

您已检查了最新的 Maven 插件版本，如 MAVEN_PLUGIN_VERSION.X.GA.Final-redhat-00001，其中 MAVEN_PLUGIN_VERSION 是主版本，X 是 microversion。请参阅 /ga/org/wildfly/plugins/wildfly-jar-maven-plugin 的索引。
您已检查了最新的 Galleon 功能包版本，如 3.0.X.GA-redhat-BUILD_NUMBER，其中 X 是 JBoss EAP XP 和 BUILD_NUMBER 的微版本，是 Galleon 功能包的构建号。X 和 BUILD_NUMBER 在 JBoss EAP XP 3.0.0 产品生命周期中都可能会演变。请参阅 /ga/org/jboss/eap/wildfly-galleon-pack 的索引。
您已检查了最新的 Red Hat Single Sign-On Galleon 功能包版本，如 org.jboss.sso:keycloak-adapter-galleon-pack:9.0.X:redhat-BUILD_NUMBER，其中 X 是红帽单点登录的微版本，它依赖于用于保护应用程序的红帽单点登录服务器版本，和 BUILD_NUMBER 是红帽单点登录 Galleon 功能包的构建号。X 和 BUILD_NUMBER 在 JBoss EAP XP 3.0.0 产品生命周期中都可能会演变。请参阅 /ga/org/sso/keycloak-adapter-galleon-pack 索引.
您已创建了 Maven 项目，设置父依赖项，并添加了依赖项，以创建您希望通过红帽单点登录保护的应用程序。请参阅创建可引导 JAR Maven 项目。
您有一个在端口 8090 上运行的红帽单点登录服务器。请参阅启动红帽单点登录服务器。

您已登陆到 Red Hat Single Sign-On 管理控制台并创建了以下元数据：

名为 demo 的域。
名为 Users 的角色。
用户和密码.您必须为用户分配 Users 角色。

具有根 URL 的公共客户端 Web 应用。流程中的示例将 simple-webapp 定义为 Web 应用 ，http://localhost:8080/simple-webapp/secured 定义为根 URL。

重要

在设置 Maven 项目时，您必须在 Maven archetype 中为您要通过红帽单点登录保护的应用程序指定值。例如：

mvn archetype:generate \
-DgroupId=com.example.keycloak \
-DartifactId=simple-webapp \
-DarchetypeGroupId=org.apache.maven.archetypes \
-DarchetypeArtifactId=maven-archetype-webapp \
-DinteractiveMode=false
cd simple-webapp

$ mvn archetype:generate \
-DgroupId=com.example.keycloak \
-DartifactId=simple-webapp \
-DarchetypeGroupId=org.apache.maven.archetypes \
-DarchetypeArtifactId=maven-archetype-webapp \
-DinteractiveMode=false
cd simple-webapp

Copy to Clipboard

Toggle word wrap

注意

流程中显示的示例指定以下属性：

用于 Maven 插件版本的 ${bootable.jar.maven.plugin.version}。
Gall eon 功能包版本的 ${JBoss.xp.galleon.feature.pack.version}。
用于红帽单点登录功能包版本的 ${Keycloak.feature.pack.version}。

您必须在项目中设置这些属性。例如：

<properties>
    <bootable.jar.maven.plugin.version>4.0.3.Final-redhat-00001</bootable.jar.maven.plugin.version>
    <jboss.xp.galleon.feature.pack.version>3.0.0.GA-redhat-00001</jboss.xp.galleon.feature.pack.version>
    <keycloak.feature.pack.version>9.0.10.redhat-00001</keycloak.feature.pack.version>
</properties>

<properties>
    <bootable.jar.maven.plugin.version>4.0.3.Final-redhat-00001</bootable.jar.maven.plugin.version>
    <jboss.xp.galleon.feature.pack.version>3.0.0.GA-redhat-00001</jboss.xp.galleon.feature.pack.version>
    <keycloak.feature.pack.version>9.0.10.redhat-00001</keycloak.feature.pack.version>
</properties>

Copy to Clipboard

Toggle word wrap

流程

将以下内容添加到 pom.xml 文件的 <build> 元素 中。您必须指定任何 Maven 插件的最新版本，以及 org.jboss.eap:wildfly-galleon-pack Galleon 功能包的最新版本。例如：

<plugins>
    <plugin>
        <groupId>org.wildfly.plugins</groupId>
        <artifactId>wildfly-jar-maven-plugin</artifactId>
        <version>${bootable.jar.maven.plugin.version}</version>
        <configuration>
            <feature-packs>
                <feature-pack>
                    <location>org.jboss.eap:wildfly-galleon-pack:${jboss.xp.galleon.feature.pack.version}</location>
                </feature-pack>
                <feature-pack>
                    <location>org.jboss.sso:keycloak-adapter-galleon-pack:${keycloak.feature.pack.version}</location>
                </feature-pack>
            </feature-packs>
            <layers>
                <layer>datasources-web-server</layer>
                <layer>keycloak-client-oidc</layer>
            </layers>
        </configuration>
        <executions>
            <execution>
                <goals>
                    <goal>package</goal>
                </goals>
            </execution>
        </executions>
    </plugin>
</plugins>

<plugins>
    <plugin>
        <groupId>org.wildfly.plugins</groupId>
        <artifactId>wildfly-jar-maven-plugin</artifactId>
        <version>${bootable.jar.maven.plugin.version}</version>
        <configuration>
            <feature-packs>
                <feature-pack>
                    <location>org.jboss.eap:wildfly-galleon-pack:${jboss.xp.galleon.feature.pack.version}</location>
                </feature-pack>
                <feature-pack>
                    <location>org.jboss.sso:keycloak-adapter-galleon-pack:${keycloak.feature.pack.version}</location>
                </feature-pack>
            </feature-packs>
            <layers>
                <layer>datasources-web-server</layer>
                <layer>keycloak-client-oidc</layer>
            </layers>
        </configuration>
        <executions>
            <execution>
                <goals>
                    <goal>package</goal>
                </goals>
            </execution>
        </executions>
    </plugin>
</plugins>

Copy to Clipboard

Toggle word wrap

Maven 插件调配部署 Web 应用所需的子系统和模块。

keycloak-client-oidc 层通过使用 keycloak 子系统及其依赖项激活对红帽单点登录身份验证的支持，为项目提供红帽单点 OpenID Connect 客户端适配器。红帽单点登录客户端适配器是使用红帽单点登录保护应用程序和服务库。

在项目的 pom.xml 文件中，在插件配置中将 <context-root> 设置为 false。这会将应用注册到 simple-webapp 资源路径。默认情况下，WAR 文件在 root-context 路径下注册。
```
<configuration>
    ...
     <context-root>false</context-root>
     ...
</configuration>
```
```
<configuration>
    ...
     <context-root>false</context-root>
     ...
</configuration>
```
Copy to Clipboard Toggle word wrap
创建 CLI 脚本，如 configure-oidc.cli，并将它保存在可引导 JAR 的可访问目录中，如 APPLICATION_ROOT/scripts 目录，其中 APPLICATION_ROOT 是 Maven 项目的根目录。脚本必须包含类似以下示例的命令：
```
/subsystem=keycloak/secure-deployment=simple-webapp.war:add( \
    realm=demo, \
    resource=simple-webapp, \
    public-client=true, \
    auth-server-url=http://localhost:8090/auth/, \
    ssl-required=EXTERNAL)
```
```
/subsystem=keycloak/secure-deployment=simple-webapp.war:add( \
    realm=demo, \
    resource=simple-webapp, \
    public-client=true, \
    auth-server-url=http://localhost:8090/auth/, \
    ssl-required=EXTERNAL)
```
Copy to Clipboard Toggle word wrap
此脚本示例在 keycloak 子系统中定义 secure-deployment=simple-webapp.war 资源。simple-webapp.war 资源是在可引导 JAR 中部署的 WAR 文件的名称。

在项目 pom.xml 文件中，将以下配置提取添加到现有插件 <configuration> 元素中：

<cli-sessions>
    <cli-session>
        <script-files>
            <script>scripts/configure-oidc.cli</script>
        </script-files>
    </cli-session>
</cli-sessions>

<cli-sessions>
    <cli-session>
        <script-files>
            <script>scripts/configure-oidc.cli</script>
        </script-files>
    </cli-session>
</cli-sessions>

Copy to Clipboard

Toggle word wrap

更新 src/main/webapp/WEB-INF 目录中的 web.xml 文件。例如：

<?xml version="1.0" encoding="UTF-8"?>

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
   metadata-complete="false">

    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>Simple Realm</realm-name>
    </login-config>

</web-app>

<?xml version="1.0" encoding="UTF-8"?>

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
   metadata-complete="false">

    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>Simple Realm</realm-name>
    </login-config>

</web-app>

Copy to Clipboard

Toggle word wrap

可选： 除了第 7 到第 9 步外，您还可以通过将 keycloak.json 描述符添加到 web 应用的 WEB-INF 目录，将服务器配置嵌入到 web 应用中。例如：

{
    "realm" : "demo",
    "resource" : "simple-webapp",
    "public-client" : "true",
    "auth-server-url" : "http://localhost:8090/auth/",
    "ssl-required" : "EXTERNAL"
}

{
    "realm" : "demo",
    "resource" : "simple-webapp",
    "public-client" : "true",
    "auth-server-url" : "http://localhost:8090/auth/",
    "ssl-required" : "EXTERNAL"
}

Copy to Clipboard

Toggle word wrap

然后，必须将 web 应用程序的 <auth-method> 设置为 KEYCLOAK。以下示例代码演示了如何设置 <auth-method> ：

    <login-config>
        <auth-method>KEYCLOAK</auth-method>
        <realm-name>Simple Realm</realm-name>
    </login-config>

    <login-config>
        <auth-method>KEYCLOAK</auth-method>
        <realm-name>Simple Realm</realm-name>
    </login-config>

Copy to Clipboard

Toggle word wrap

创建名为 SecuredServlet.java 的 Java 文件，使其包含以下内容，并将文件保存到 APPLICATION_ROOT/src/main/java/com/example/securedservlet/ 目录中：

package com.example.securedservlet;

import java.io.IOException;
import java.io.PrintWriter;
import java.security.Principal;

import javax.servlet.ServletException;
import javax.servlet.annotation.HttpMethodConstraint;
import javax.servlet.annotation.ServletSecurity;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/secured")
@ServletSecurity(httpMethodConstraints = { @HttpMethodConstraint(value = "GET",
    rolesAllowed = { "Users" }) })
public class SecuredServlet extends HttpServlet {

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        try (PrintWriter writer = resp.getWriter()) {
            writer.println("<html>");
            writer.println("<head><title>Secured Servlet</title></head>");
            writer.println("<body>");
            writer.println("<h1>Secured Servlet</h1>");
            writer.println("<p>");
            writer.print(" Current Principal '");
            Principal user = req.getUserPrincipal();
            writer.print(user != null ? user.getName() : "NO AUTHENTICATED USER");
            writer.print("'");
            writer.println("    </p>");
            writer.println("  </body>");
            writer.println("</html>");
        }
    }
}

package com.example.securedservlet;

import java.io.IOException;
import java.io.PrintWriter;
import java.security.Principal;

import javax.servlet.ServletException;
import javax.servlet.annotation.HttpMethodConstraint;
import javax.servlet.annotation.ServletSecurity;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/secured")
@ServletSecurity(httpMethodConstraints = { @HttpMethodConstraint(value = "GET",
    rolesAllowed = { "Users" }) })
public class SecuredServlet extends HttpServlet {

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        try (PrintWriter writer = resp.getWriter()) {
            writer.println("<html>");
            writer.println("<head><title>Secured Servlet</title></head>");
            writer.println("<body>");
            writer.println("<h1>Secured Servlet</h1>");
            writer.println("<p>");
            writer.print(" Current Principal '");
            Principal user = req.getUserPrincipal();
            writer.print(user != null ? user.getName() : "NO AUTHENTICATED USER");
            writer.print("'");
            writer.println("    </p>");
            writer.println("  </body>");
            writer.println("</html>");
        }
    }
}

Copy to Clipboard

Toggle word wrap

将应用打包为可引导 JAR。
```
mvn package
```
```
$ mvn package
```
Copy to Clipboard Toggle word wrap
启动应用。以下示例从指定的可引导 JAR 路径启动 simple-webapp web 应用程序：
```
java -jar target/simple-webapp-bootable.jar
```
```
$ java -jar target/simple-webapp-bootable.jar
```
Copy to Clipboard Toggle word wrap
在网页浏览器中指定以下 URL 以访问通过红帽单点登录保护的网页。以下示例显示了受保护的 simple-webapp Web 应用程序的 URL：
```
http://localhost:8080/simple-webapp/secured
```
```
http://localhost:8080/simple-webapp/secured
```
Copy to Clipboard Toggle word wrap
以红帽单点登录域中的用户身份登录。
验证： 检查网页是否显示以下输出：
```
Current Principal '<principal id>'
```
```
Current Principal '<principal id>'
```
Copy to Clipboard Toggle word wrap

8.15. 使用红帽单点登录保护 JBoss EAP 可引导 JAR 应用程序

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links