授权服务指南

三个主要进程定义了了解如何使用 Red Hat Single Sign-On 为应用程序启用精细授权所需的步骤：

授权服务包括以下 RESTFul 端点：

这些服务各自提供一种特定的 API，涵盖了授权流程中涉及的不同步骤。

根据 OAuth2 术语，资源服务器是托管受保护的资源的服务器，能够接受和响应受保护的资源请求。

资源服务器通常依赖于某种信息来确定是否应被授予对受保护资源的访问权限。对于基于 RESTful 的资源服务器，该信息通常采用安全令牌，通常作为 bearer 令牌与服务器的每个请求一起发送。依赖于会话对用户进行身份验证的 Web 应用通常会将该信息存储在用户的会话中，并从那里为每个请求检索信息。

在红帽单点登录中，任何 机密 客户端应用程序都可以充当资源服务器。此客户端的资源及其对应的范围受到一组授权策略的影响。

资源是应用程序和组织的资产的一部分。它可以是一个或多个端点、一个典型的 Web 资源，如 HTML 页面等。在授权策略术语中，资源是受保护的 对象。

每一资源具有可表示单个资源或一组资源的唯一标识符。例如，您可以管理一个 代表所有银行帐户的银行客户资源 并定义一组授权策略。但是，您也可以拥有另外一个名为 Alice 的银行帐户 资源，它代表了单个客户拥有的单一资源，这些资源可以拥有自己的授权策略。

资源的范围是可以在资源上执行的限额访问范围。在授权策略术语中，范围是可能的很多 动词，可逻辑上应用到资源。

它通常表示可通过给定资源执行哪些操作。范围示例为 view、edit、delete 等。但是，范围也可以与资源提供的特定信息相关。在这种情况下，您可以具有项目资源和成本范围，其中成本范围用于定义用户访问项目成本的具体策略和权限。

请考虑简单和非常常见的权限：

权限将对象与必须评估的策略关联，以确定是否授予访问权限。

Red Hat Single Sign-On 提供丰富的平台，用于构建一系列权限策略，范围从简单到非常复杂的、基于规则的动态权限。它提供了灵活性并帮助：

策略定义了必须满足以授予对象访问权限的条件。与权限不同，您不指定对象受到保护，而是对给定对象（如资源、范围或两者）满足的条件。策略强烈与可用于保护资源的不同访问控制机制(ACM)相关。通过策略，您可以实施基于属性的访问控制(ABAC)、基于角色的访问控制(RBAC)、基于上下文访问控制或这些组合的任意组合。

Red Hat Single Sign-On 利用策略的概念，以及如何提供聚合策略的概念来定义它们，您可以在其中构建"策略策略"并仍控制评估行为。在 Red Hat Single Sign-On Authorization Services 中，在 Red Hat Single Sign-On Authorization Services 中实施策略，而不是在所有必须满足给定资源的条件下编写大型策略。也就是说，您可以创建单独的策略，然后使用不同的权限重新利用它们，并通过组合单个策略来构建更复杂的策略。

策略提供程序是特定策略类型的实现。Red Hat Single Sign-On 提供内置策略，由相应的策略供应商支持，您可以创建自己的策略类型来支持您的特定要求。

Red Hat Single Sign-On 提供了一个 SPI （服务提供商接口），您可以使用它来插入您自己的策略供应商实施。

权限 ticket 是由 User-Managed Access (UMA)规范定义的特殊令牌类型，它提供由授权服务器决定的不透明结构。这个结构代表了客户端所请求的资源和/或范围、访问上下文以及必须应用到授权数据请求的策略（请求方令牌 [RPT]）。

在 UMA 中，权限票据对于支持个人共享以及个人组织共享至关重要。使用授权工作流的权限问题单可让一系列从简单到复杂情况，而资源所有者和资源服务器可根据管理这些资源访问的精细策略完全控制其资源。

在 UMA 工作流中，授权服务器向资源服务器发布权限票据，它会将权限票据返回到尝试访问受保护的资源的客户端。客户端收到票据后，它可以通过向授权服务器发送 ticket 来为 RPT （一个最终令牌保留授权数据）发出请求。

有关权限票据的更多信息，请参阅 用户管理的访问 和 UMA 规格。

在构建和部署应用程序前，您必须首先获取适配器配置。

要构建和部署应用程序，请执行以下命令：

$ cd redhat-sso-quickstarts/app-authz-jee-vanilla
$ mvn clean package wildfly:deploy

如果您的应用程序已被成功部署，您可以在 http://localhost:8080/app-authz-vanilla 访问它。Red Hat Single Sign-On Login 页面将打开。

您可以首先更改默认权限和策略，并测试应用程序如何响应，甚至使用 Red Hat Single Sign-On 提供的不同 策略类型 创建新策略。

现在您可以做很多事情来测试此应用程序。例如，您可以通过单击客户端的 Authorization 选项卡来更改默认策略，然后单击 Policies 选项卡中的客户端，然后单击列表中的 Default Policy。现在，我们将使用此页面中的下拉列表将 Logic 改为 Negative。

您可以执行其他操作，例如：

在 Resource Server Settings 页面中，您可以配置策略强制模式，允许远程资源管理，并导出授权配置设置。

您可以通过删除默认资源、策略或权限定义并创建您自己的来更改默认配置。

默认资源使用 URI 创建，该 URI 使用 /* 模式映射到应用程序中的任何资源或路径。在创建属于您自己的资源、权限和策略之前，请确保默认配置不会与您自己的设置冲突。

配置文件以 JSON 格式导出，并显示在文本区域中，您可以复制和粘贴。您还可以点 Download 以下载配置文件并保存它。

您可以为资源服务器导入配置文件。

资源可以关联有属性。这些属性可用于提供有关资源的其他信息，并在评估与资源关联的权限时向策略提供额外的信息。

每个属性是一个键值对，值可以是一个或多个字符串的集合。可以通过逗号分隔每个值来为属性定义多个值。

资源的 type 字段可用于将不同的资源分组在一起，从而可以使用一组常用权限进行保护。

资源还具有所有者。默认情况下，资源归资源服务器所有。

但是，资源也可以与用户关联，因此您可以根据资源所有者创建权限。例如，只有资源所有者才可以删除或更新给定资源。

资源管理也可以通过 保护 API 公开，以允许资源服务器远程管理其资源。

在使用 Protection API 时，可以实施资源服务器来管理用户所拥有的资源。在这种情况下，您可以指定用户标识符将资源配置为属于特定用户。

在创建基于角色的策略时，您可以根据需要指定特定角色 。当这样做时，只有在用户请求访问被授予了所有 required 角色时才会授予访问权限。域和客户端角色都可以配置，例如：

要根据需要指定角色，请根据需要选中您要配置的角色 所需的 复选框。

当您的策略定义了多个角色，但只强制要求其中的一部分时，所需的角色就很有用。在这种情况下，您可以组合域和客户端角色，为您的应用程序启用更精细的角色访问控制(RBAC)模型。例如，您可以有特定于客户端的策略，并需要与该客户端关联的特定客户端角色。或者，您可以强制仅被授予特定域角色的访问权限。您还可以在同一策略中组合这两种方法。

Red Hat Single Sign-On 允许您部署 JAR 文件，以将脚本部署到服务器。请参见 JavaScript Providers 以了解更多详情。

部署好脚本后，您应该能够从可用策略供应商列表中选择部署的脚本。

只有满足所有条件时，才会授予访问权限。Red Hat Single Sign-On 将根据每个状况的结果来执行 AND 逻辑。

在创建聚合策略时，您还可以定义根据每个策略的结果来决定最终的决策策略。

默认情况下，当您将组添加到此策略时，访问限制将仅应用到所选组的成员。

在某些情况下，可能不需要允许访问组本身，而是允许访问层次结构中的任何子组。对于添加的任何组，您可以标记一个复选框 可扩展到 子进程，从而扩展对子组的访问权限。

在上面的示例中，策略是为 IT 或其任何成员的任何用户授予访问权限。

在创建基于客户端范围的策略时，您可以将特定的客户端范围指定为 Required。当这样做时，只有在客户端请求访问被授予了所有 required 客户端范围时才会授予访问权限。

要根据需要指定客户端范围，请根据需要选中您要配置的客户端范围 所需的 复选框。

当您的策略定义了多个客户端范围时，所需的客户端范围会很有用，但只有它们的子集才是必需的。

评估上下文在评估期间为策略提供了有用的信息。

public interface EvaluationContext {

    /**
     * Returns the {@link Identity} that represents an entity (person or non-person) to which the permissions must be granted, or not.
     *
     * @return the identity to which the permissions must be granted, or not
     */
    Identity getIdentity();

    /**
     * Returns all attributes within the current execution and runtime environment.
     *
     * @return the attributes within the current execution and runtime environment
     */
    Attributes getAttributes();
}

在这个界面中，策略可以获取：

身份 根据与授权请求一起发送的 OAuth2 访问令牌构建，并且此构造可以访问从原始令牌中提取的所有声明。例如，如果您使用 协议映射程序 在 OAuth2 访问令牌中包含自定义声明，您也可以从策略访问此声明并使用它来构建您的条件。

EvaluationContext 还可让您访问与执行环境和运行时环境相关的属性。现在，只有几个内置属性。

资源权限也可用于定义要应用到给定类型的所有资源的策略。当您有共享共同访问要求和限制的资源时，这种基于资源的权限非常有用。

通常，应用中的资源可以根据它们封装或提供的功能来分类（或键入）。例如，一个金融应用程序可以管理不同的银行客户，各家都属于特定客户。虽然它们是不同的银行帐户，但它们共享银行组织在全球定义的常见安全要求和限制。使用键入的资源权限，您可以定义适用于所有银行帐户的通用策略，例如：

要创建类型的资源权限，请在创建新基于资源的权限时点击 Apply to Resource Type。通过将 Apply to Resource Type 设置为 On，您可以指定要保护的类型以及要应用到指定类型的所有资源的策略。

客户端需要向令牌端点进行身份验证，以获取 RPT。当使用 urn:ietf:params:oauth:grant-type:uma-ticket grant 类型时，客户端可以使用任何这些验证方法：

从服务器获取权限时，您可以推送任意声明，以便在评估权限时将这些声明提供给您的策略。

如果您在不使用权限票据(UMA 流) 的情况下 从服务器获取权限，您可以按照以下方法向令牌端点发送授权请求：

curl -X POST \
  http://${host}:${port}/auth/realms/${realm}/protocol/openid-connect/token \
  --data "grant_type=urn:ietf:params:oauth:grant-type:uma-ticket" \
  --data "claim_token=ewogICAib3JnYW5pemF0aW9uIjogWyJhY21lIl0KfQ==" \
  --data "claim_token_format=urn:ietf:params:oauth:token-type:jwt" \
  --data "client_id={resource_server_client_id}" \
  --data "client_secret={resource_server_client_secret}" \
  --data "audience={resource_server_client_id}"

claim_token 参数需要一个类似于以下示例的 BASE64 编码 JSON：

{
    "organization" : ["acme"]
}

格式需要一个或多个声明，其中每个声明的值都必须是一个字符串数组。

在 UMA 中，当客户端尝试访问 UMA 保护的资源服务器时，授权进程会启动。

UMA 保护的资源服务器在请求中需要一个 bearer 令牌，其中令牌是 RPT。当客户端在没有 RPT 的情况下在资源服务器中请求资源时：

curl -X GET \
  http://${host}:${port}/my-resource-server/resource/1bfdfe78-a4e1-4c2d-b142-fc92b75b986f

资源服务器使用权限 票据 和 as_uri 参数向客户端发送响应，使用 Red Hat Single Sign-On 服务器的位置将响应发送到该请求以获取 RPT。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: UMA realm="${realm}",
    as_uri="https://${host}:${port}/auth/realms/${realm}",
    ticket="016f84e8-f9b9-11e0-bd6f-0021cc6004de"

权限票据是由 Red Hat Single Sign-On Permission API 发布的一种特殊令牌类型。它们表示所请求的权限（例如：资源和范围）以及与请求关联的任何其他信息。只有资源服务器被允许创建这些令牌。

现在客户端有权限票据以及 Red Hat Single Sign-On 服务器的位置，客户端可以使用发现文档来获取令牌端点的位置并发送授权请求。

curl -X POST \
  http://${host}:${port}/auth/realms/${realm}/protocol/openid-connect/token \
  -H "Authorization: Bearer ${access_token}" \
  --data "grant_type=urn:ietf:params:oauth:grant-type:uma-ticket" \
  --data "ticket=${permission_ticket}

如果 Red Hat Single Sign-On 评估过程会产生权限，则发出 RPT 与其关联了权限：

HTTP/1.1 200 OK
Content-Type: application/json
...
{
    "access_token": "${rpt}",
}

服务器的响应与使用某些其他授权类型时来自令牌端点的任何其他响应一样。RPT 可以从 access_token 响应参数获取。如果客户端没有授权具有 Red Hat Single Sign-On 使用 403 HTTP 状态代码的权限：

HTTP/1.1 403 Forbidden
Content-Type: application/json
...
{
    "error": "access_denied",
    "error_description": "request_denied"
}

作为授权流程的一部分，客户端首先需要从 UMA 保护的资源服务器获取权限票据，以便在 Red Hat Single Sign-On Token Endpoint 中通过 RPT 对其进行交换。

默认情况下，Red Hat Single Sign-On 会响应 403 HTTP 状态代码和 request_denied 错误。如果客户端无法使用 RPT 发布。

HTTP/1.1 403 Forbidden
Content-Type: application/json
...
{
    "error": "access_denied",
    "error_description": "request_denied"
}

此类响应表示 Red Hat Single Sign-On 无法发出 RPT，其权限由权限票据代表。

在某些情况下，客户端应用程序可能希望启动异步授权流，并让所请求的资源所有者决定是否应授予访问权限。为此，客户端可以使用 submit_request 请求参数以及到令牌端点的授权请求：

curl -X POST \
  http://${host}:${port}/auth/realms/${realm}/protocol/openid-connect/token \
  -H "Authorization: Bearer ${access_token}" \
  --data "grant_type=urn:ietf:params:oauth:grant-type:uma-ticket" \
  --data "ticket=${permission_ticket} \
  --data "submit_request=true"

使用 commit _request 参数时，Red Hat Single Sign-On 将为访问被拒绝的每个资源保留权限请求。创建后，资源所有者可以检查其帐户并管理其权限请求。

您可以将此功能视为应用程序中的 Request Access 按钮，其中用户可以要求其他用户访问其资源。

用户可以通过 Red Hat Single Sign-On 用户帐户服务来管理其资源的访问权限。要启用这个功能，您必须首先为您的域启用 User-Managed Access。

当您点击特定资源以进行更改时，会显示以下页面：

本页提供以下选项：

保护 API 令牌 (PAT)是一种特殊的 OAuth2 访问令牌，其范围定义为 uma_protection。当您创建资源服务器时，Red Hat Single Sign-On 会自动创建一个角色 uma_protection （对应的客户端应用程序），并将它与客户端的服务帐户相关联。

与任何其他 OAuth2 访问令牌一样，资源服务器可以从 Red Hat Single Sign-On 获取 PAT。例如，使用 curl：

curl -X POST \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d 'grant_type=client_credentials&client_id=${client_id}&client_secret=${client_secret}' \
    "http://localhost:8080/auth/realms/${realm_name}/protocol/openid-connect/token"

上面的示例是使用 client_credentials 授权类型从服务器获取 PAT。因此，服务器会返回类似如下的响应：

{
  "access_token": ${PAT},
  "expires_in": 300,
  "refresh_expires_in": 1800,
  "refresh_token": ${refresh_token},
  "token_type": "bearer",
  "id_token": ${id_token},
  "not-before-policy": 0,
  "session_state": "ccea4a55-9aec-4024-b11c-44f6f168439e"
}

资源服务器可以使用兼容 UMA 的端点远程管理其资源。

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set

此端点提供如下操作（为清晰起见，忽略路径）：

有关这些操作的合同的更多信息，请参阅 UMA 资源注册 API。

curl -v -X POST \
  http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set \
  -H 'Authorization: Bearer '$pat \
  -H 'Content-Type: application/json' \
  -d '{
     "name":"Tweedl Social Service",
     "type":"http://www.example.com/rsrcs/socialstream/140-compatible",
     "icon_uri":"http://www.example.com/icons/sharesocial.png",
     "resource_scopes":[
         "read-public",
         "post-updates",
         "read-private",
         "http://www.example.com/scopes/all"
      ]
  }'

curl -v -X POST \
  http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set \
  -H 'Authorization: Bearer '$pat \
  -H 'Content-Type: application/json' \
  -d '{
     "name":"Alice Resource",
     "owner": "alice"
  }'

curl -v -X POST \
  http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set \
  -H 'Authorization: Bearer '$pat \
  -H 'Content-Type: application/json' \
  -d '{
     "name":"Alice Resource",
     "owner": "alice",
     "ownerManagedAccess": true
  }'

curl -v -X PUT \
  http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set/{resource_id} \
  -H 'Authorization: Bearer '$pat \
  -H 'Content-Type: application/json' \
  -d '{
     "_id": "Alice Resource",
     "name":"Alice Resource",
     "resource_scopes": [
        "read"
     ]
  }'

curl -v -X DELETE \
  http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set/{resource_id} \
  -H 'Authorization: Bearer '$pat

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set/{resource_id}

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set?name=Alice Resource

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set?name=Alice Resource&exactName=true

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set?uri=/api/alice

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set?owner=alice

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set?type=albums

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set?scope=read

使用 UMA 协议的资源服务器可以使用特定的端点来管理权限请求。此端点提供了一个与 UMA 兼容的流，用于注册权限请求并获取一个权限票据。

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/permission

权限票据 是一个代表权限请求的特殊安全令牌类型。根据 UMA 规格，权限 ticket 为：

关联句柄，该处理从授权服务器发布到资源服务器（从资源服务器到客户端），并最终从客户端返回到授权服务器，以启用授权服务器来评估正确的策略以应用到授权数据请求。

在大多数情况下，您不需要直接处理此端点。Red Hat Single Sign-On 提供了一个 策略强制 程序，它为您的资源服务器启用 UMA，以便它从授权服务器获取权限票据，返回此票据到客户端应用程序，并根据最终请求方令牌(RPT)强制授权决策。

从 Red Hat Single Sign-On 获取权限票据的过程由资源服务器而不是常规客户端应用程序执行，当客户端试图访问受保护的资源时，则会获得权限票据，而无需必要授权访问该资源。使用 UMA 时，权限问题单是一个重要事项，因为它允许资源服务器实现：

客户端明智之，权限票据也很重要，需要强调：

这些仅仅是 UMA 带来的一些好处，其中 UMA 的其他方面很严重基于权限票据，特别考虑隐私和用户控制对其资源的访问。

curl -X POST \
  http://${host}:${port}/auth/realms/${realm_name}/authz/protection/permission \
  -H 'Authorization: Bearer '$pat \
  -H 'Content-Type: application/json' \
  -d '[
  {
    "resource_id": "{resource_id}",
    "resource_scopes": [
      "view"
    ]
  }
]'

curl -X POST \
  http://${host}:${port}/auth/realms/${realm_name}/authz/protection/permission \
  -H 'Authorization: Bearer '$pat \
  -H 'Content-Type: application/json' \
  -d '[
  {
    "resource_id": "{resource_id}",
    "resource_scopes": [
      "view"
    ],
    "claims": {
        "organization": ["acme"]
    }
  }
]'

curl -X POST \
     http://${host}:${port}/auth/realms/${realm_name}/authz/protection/permission/ticket \
     -H 'Authorization: Bearer '$access_token \
     -H 'Content-Type: application/json' \
     -d '{
       "resource": "{resource_id}",
       "requester": "{user_id}",
       "granted": true,
       "scopeName": "view"
     }'

curl http://${host}:${port}/auth/realms/${realm_name}/authz/protection/permission/ticket \
     -H 'Authorization: Bearer '$access_token

curl -X PUT \
     http://${host}:${port}/auth/realms/${realm_name}/authz/protection/permission/ticket \
     -H 'Authorization: Bearer '$access_token \
     -H 'Content-Type: application/json' \
     -d '{
       "id": "{ticket_id}"
       "resource": "{resource_id}",
       "requester": "{user_id}",
       "granted": false,
       "scopeName": "view"
     }'

curl -X DELETE http://${host}:${port}/auth/realms/${realm_name}/authz/protection/permission/ticket/{ticket_id} \
     -H 'Authorization: Bearer '$access_token

Red Hat Single Sign-On 利用 UMA Protection API 允许资源服务器管理其用户的权限。除了 Resource 和 Permission API 外，Red Hat Single Sign-On 还提供了 Policy API，其中权限可以通过代表他们的用户的资源服务器设置为资源。

Policy API 位于：

http://${host}:${port}/auth/realms/${realm_name}/authz/protection/uma-policy/{resource_id}

此 API 受一个 bearer 令牌保护，该令牌必须表示用户授权给资源服务器以代表其管理权限。bearer 令牌可以是从令牌端点获取的定期访问令牌：

curl -X POST \
  http://localhost:8180/auth/realms/photoz/authz/protection/uma-policy/{resource_id} \
  -H 'Authorization: Bearer '$access_token \
  -H 'Cache-Control: no-cache' \
  -H 'Content-Type: application/json' \
  -d '{
	"name": "Any people manager",
	"description": "Allow access to any people manager",
	"scopes": ["read"],
	"roles": ["people-manager"]
}'

curl -X POST \
  http://localhost:8180/auth/realms/photoz/authz/protection/uma-policy/{resource_id} \
  -H 'Authorization: Bearer '$access_token \
  -H 'Cache-Control: no-cache' \
  -H 'Content-Type: application/json' \
  -d '{
	"name": "Any people manager",
	"description": "Allow access to any people manager",
	"scopes": ["read"],
	"groups": ["/Managers/People Managers"]
}'

curl -X POST \
  http://localhost:8180/auth/realms/photoz/authz/protection/uma-policy/{resource_id} \
  -H 'Authorization: Bearer '$access_token \
  -H 'Cache-Control: no-cache' \
  -H 'Content-Type: application/json' \
  -d '{
	"name": "Any people manager",
	"description": "Allow access to any people manager",
	"scopes": ["read"],
	"clients": ["my-client"]
}'

curl -X POST \
  http://localhost:8180/auth/realms/photoz/authz/protection/uma-policy/{resource_id} \
  -H 'Authorization: Bearer '$access_token \
  -H 'Cache-Control: no-cache' \
  -H 'Content-Type: application/json' \
  -d '{
	"name": "Any people manager",
	"description": "Allow access to any people manager",
	"scopes": ["read"],
	"condition": "my-deployed-script.js"
}'

curl -X PUT \
  http://localhost:8180/auth/realms/photoz/authz/protection/uma-policy/{permission_id} \
  -H 'Authorization: Bearer '$access_token \
  -H 'Content-Type: application/json' \
  -d '{
    "id": "21eb3fed-02d7-4b5a-9102-29f3f09b6de2",
    "name": "Any people manager",
    "description": "Allow access to any people manager",
    "type": "uma",
    "scopes": [
        "album:view"
    ],
    "logic": "POSITIVE",
    "decisionStrategy": "UNANIMOUS",
    "owner": "7e22131a-aa57-4f5f-b1db-6e82babcd322",
    "roles": [
        "user"
    ]
}'

curl -X DELETE \
  http://localhost:8180/auth/realms/photoz/authz/protection/uma-policy/{permission_id} \
  -H 'Authorization: Bearer '$access_token

http://${host}:${port}/auth/realms/${realm}/authz/protection/uma-policy?resource={resource_id}

http://${host}:${port}/auth/realms/${realm}/authz/protection/uma-policy?name=Any people manager

http://${host}:${port}/auth/realms/${realm}/authz/protection/uma-policy?scope=read

http://${host}:${port}/auth/realms/${realm}/authz/protection/uma-policy

有时，您可能希望内省请求方令牌(RPT)来检查其有效期，或获取令牌中的权限，以便在资源服务器端强制执行授权决策。

有两个主要用例，令牌内省可帮助您：

令牌内省本质上是 OAuth2 令牌内省- 兼容端点，您可以获取有关 RPT 的信息。

http://${host}:${port}/auth/realms/${realm_name}/protocol/openid-connect/token/introspect

要使用此端点内省 RPT，您可以按照如下方式向服务器发送请求：

curl -X POST \
    -H "Authorization: Basic aGVsbG8td29ybGQtYXV0aHotc2VydmljZTpzZWNyZXQ=" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d 'token_type_hint=requesting_party_token&token=${RPT}' \
    "http://localhost:8080/auth/realms/hello-world-authz/protocol/openid-connect/token/introspect"

内省端点需要两个参数：

因此，服务器响应是：

{
  "permissions": [
    {
      "resource_id": "90ccc6fc-b296-4cd1-881e-089e1ee15957",
      "resource_name": "Hello World Resource"
    }
  ],
  "exp": 1465314139,
  "nbf": 0,
  "iat": 1465313839,
  "aud": "hello-world-authz-service",
  "active": true
}

如果 RPT 没有被激活，则会返回这个响应：

{
  "active": false
}

不如 Red Hat Single Sign-On 服务器发布的常规访问令牌，RPTs 也使用 JSON Web 令牌(JWT)规范作为默认格式。

如果要在没有调用远程内省端点的情况下验证这些令牌，您可以在本地解码 RPT 和查询其有效性。对令牌进行解码后，您还可以使用令牌中的权限来强制执行授权决策。

这基本上是策略执行者的作用。确保：

<dependencies>
    <dependency>
        <groupId>org.keycloak</groupId>
        <artifactId>keycloak-authz-client</artifactId>
        <version>${KEYCLOAK_VERSION}</version>
    </dependency>
</dependencies>

客户端配置在 keycloak.json 文件中定义，如下所示：

{
  "realm": "hello-world-authz",
  "auth-server-url" : "http://localhost:8080/auth",
  "resource" : "hello-world-authz-service",
  "credentials": {
    "secret": "secret"
  }
}

配置文件通常位于应用程序的类路径中，客户端将尝试从中查找 keycloak.json 文件的默认位置。

您考虑在类路径中有一个 keycloak.json 文件，您可以按照如下所示创建一个新的 AuthzClient 实例：

    // create a new instance based on the configuration defined in a keycloak.json located in your classpath
    AuthzClient authzClient = AuthzClient.create();

下面是一个演示了如何获取用户权利的示例：

// create a new instance based on the configuration defined in keycloak.json
AuthzClient authzClient = AuthzClient.create();

// create an authorization request
AuthorizationRequest request = new AuthorizationRequest();

// send the entitlement request to the server in order to
// obtain an RPT with all permissions granted to the user
AuthorizationResponse response = authzClient.authorization("alice", "alice").authorize(request);
String rpt = response.getToken();

System.out.println("You got an RPT: " + rpt);

// now you can use the RPT to access protected resources on the resource server

下面是一个示例，它演示了如何为一个或多个资源获取一组用户权利：

// create a new instance based on the configuration defined in keycloak.json
AuthzClient authzClient = AuthzClient.create();

// create an authorization request
AuthorizationRequest request = new AuthorizationRequest();

// add permissions to the request based on the resources and scopes you want to check access
request.addPermission("Default Resource");

// send the entitlement request to the server in order to
// obtain an RPT with permissions for a single resource
AuthorizationResponse response = authzClient.authorization("alice", "alice").authorize(request);
String rpt = response.getToken();

System.out.println("You got an RPT: " + rpt);

// now you can use the RPT to access protected resources on the resource server

// create a new instance based on the configuration defined in keycloak.json
AuthzClient authzClient = AuthzClient.create();

// create a new resource representation with the information we want
ResourceRepresentation newResource = new ResourceRepresentation();

newResource.setName("New Resource");
newResource.setType("urn:hello-world-authz:resources:example");

newResource.addScope(new ScopeRepresentation("urn:hello-world-authz:scopes:view"));

ProtectedResource resourceClient = authzClient.protection().resource();
ResourceRepresentation existingResource = resourceClient.findByName(newResource.getName());

if (existingResource != null) {
    resourceClient.delete(existingResource.getId());
}

// create the resource on the server
ResourceRepresentation response = resourceClient.create(newResource);
String resourceId = response.getId();

// query the resource using its newly generated id
ResourceRepresentation resource = resourceClient.findById(resourceId);

System.out.println(resource);

// create a new instance based on the configuration defined in keycloak.json
AuthzClient authzClient = AuthzClient.create();

// send the authorization request to the server in order to
// obtain an RPT with all permissions granted to the user
AuthorizationResponse response = authzClient.authorization("alice", "alice").authorize();
String rpt = response.getToken();

// introspect the token
TokenIntrospectionResponse requestingPartyToken = authzClient.protection().introspectRequestingPartyToken(rpt);

System.out.println("Token status is: " + requestingPartyToken.getActive());
System.out.println("Permissions granted by the server: ");

for (Permission granted : requestingPartyToken.getPermissions()) {
    System.out.println(granted);
}

下面是几个示例演示了如何从 HTTP 请求中提取声明：

"policy-enforcer": {
    "paths": [
      {
        "path": "/protected/resource",
        "claim-information-point": {
          "claims": {
            "claim-from-request-parameter": "{request.parameter['a']}",
            "claim-from-header": "{request.header['b']}",
            "claim-from-cookie": "{request.cookie['c']}",
            "claim-from-remoteAddr": "{request.remoteAddr}",
            "claim-from-method": "{request.method}",
            "claim-from-uri": "{request.uri}",
            "claim-from-relativePath": "{request.relativePath}",
            "claim-from-secure": "{request.secure}",
            "claim-from-json-body-object": "{request.body['/a/b/c']}",
            "claim-from-json-body-array": "{request.body['/d/1']}",
            "claim-from-body": "{request.body}",
            "claim-from-static-value": "static value",
            "claim-from-multiple-static-value": ["static", "value"],
            "param-replace-multiple-placeholder": "Test {keycloak.access_token['/custom_claim/0']} and {request.parameter['a']} "
          }
        }
      }
    ]
  }

下面是几个示例演示了如何从外部 HTTP 服务提取声明：

"policy-enforcer": {
    "paths": [
      {
        "path": "/protected/resource",
        "claim-information-point": {
          "http": {
            "claims": {
              "claim-a": "/a",
              "claim-d": "/d",
              "claim-d0": "/d/0",
              "claim-d-all": ["/d/0", "/d/1"]
            },
            "url": "http://mycompany/claim-provider",
            "method": "POST",
            "headers": {
              "Content-Type": "application/x-www-form-urlencoded",
              "header-b": ["header-b-value1", "header-b-value2"],
              "Authorization": "Bearer {keycloak.access_token}"
            },
            "parameters": {
              "param-a": ["param-a-value1", "param-a-value2"],
              "param-subject": "{keycloak.access_token['/sub']}",
              "param-user-name": "{keycloak.access_token['/preferred_username']}",
              "param-other-claims": "{keycloak.access_token['/custom_claim']}"
            }
          }
        }
      }
    ]
  }

如果任何内置供应商都足够满足要求，则开发人员可使用 Claim Information Provider SPI 来支持不同的声明信息点。

例如，要实施新的 CIP 提供程序，您需要实施 org.keycloak.adapters.authorization.ClaimInformationPointProvidery 和 ClaimInformationPointProvider，同时还在应用程序类的 META-INF/services/org.keycloak.adapters.authorization.ClaimInformationPointProviderFactory.

org.keycloak.adapters.authorization.ClaimInformationPointProviderFactory 示例：

public class MyClaimInformationPointProviderFactory implements ClaimInformationPointProviderFactory<MyClaimInformationPointProvider> {

    @Override
    public String getName() {
        return "my-claims";
    }

    @Override
    public void init(PolicyEnforcer policyEnforcer) {

    }

    @Override
    public MyClaimInformationPointProvider create(Map<String, Object> config) {
        return new MyClaimInformationPointProvider(config);
    }
}

每个 CIP 供应商必须与一个名称关联，如 MyClaimInformationPointProviderFactory.getName 方法所定义。name 将用于从 policy-enforcer 配置的 claim-information-point 部分映射到实施。

在处理请求时，策略 enforcer 将调用 MyClaimInformationPointProviderFactory.create 方法来获取 MyClaimInformationPointProvider 实例。调用时，为这个特定 CIP 提供程序（通过 claim-information-point）定义的配置都会作为映射传递。

ClaimInformationPointProvider 示例：

public class MyClaimInformationPointProvider implements ClaimInformationPointProvider {

    private final Map<String, Object> config;

    public MyClaimInformationPointProvider(Map<String, Object> config) {
        this.config = config;
    }

    @Override
    public Map<String, List<String>> resolve(HttpFacade httpFacade) {
        Map<String, List<String>> claims = new HashMap<>();

        // put whatever claim you want into the map

        return claims;
    }
}

如果资源服务器受策略强制保护，它将根据与 bearer 令牌一起执行的权限响应客户端请求。通常，当您尝试使用 bearer 令牌访问访问受保护资源的权限的资源服务器时，资源服务器会以 401 状态代码和 WWW-Authenticate 标头响应。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: UMA realm="${realm}",
    as_uri="https://${host}:${port}/auth/realms/${realm}",
    ticket="016f84e8-f9b9-11e0-bd6f-0021cc6004de"

如需更多信息，请参阅 UMA 授权进程。

您的客户端需要从资源服务器返回的 WWW-Authenticate 标头中提取权限票据，并使用库发送授权请求，如下所示：

// prepare a authorization request with the permission ticket
const authorizationRequest = {};
authorizationRequest.ticket = ticket;

// send the authorization request, if successful retry the request
Identity.authorization.authorize(authorizationRequest).then(function (rpt) {
    // onGrant
}, function () {
    // onDeny
}, function () {
    // onError
});

授权 功能完全异步，支持几个回调功能从服务器接收通知：

大多数应用都应该使用 onGrant 回调在 401 响应后重试请求。后续请求应包含 RPT 作为 bearer 令牌进行重试。

keycloak-authz.js 库提供了一个 授权 功能，您可以通过提供您客户端想要访问的资源和范围从服务器获取 RPT。

authorization.entitlement('my-resource-server-id').then(function (rpt) {
    // onGrant callback function.
    // If authorization was successful you'll receive an RPT
    // with the necessary permissions to access the resource server
});

authorization.entitlement('my-resource-server', {
    "permissions": [
        {
            "id" : "Some Resource"
        }
    ]
}).then(function (rpt) {
    // onGrant
});

使用 授权 功能时，您必须提供您要访问的资源服务器的 client_id。

权利 功能完全异步，并支持几个回调功能从服务器接收通知：

授权 和授权 功能都接受授权请求对象。这个对象可使用以下属性设置：

如果您使用库提供的任何授权功能获得了 RPT，则始终可从授权对象获取 RPT （假设它已被前面显示的技术初始化）：

const rpt = authorization.rpt;