9.3. 获取授权上下文
启用策略强制后,服务器获取的权限可通过 org.keycloak.AuthorizationContext
提供。此类提供了多种方法,您可以用来获取权限,并确定是否授予特定资源或范围的权限。
获取 Servlet 容器中的授权上下文
HttpServletRequest request = // obtain javax.servlet.http.HttpServletRequest AuthorizationContext authzContext = (AuthorizationContext) request.getAttribute(AuthorizationContext.class.getName());
授权上下文可帮助您对服务器做出和返回的决策提供更多控制。例如,您可以使用它来构建隐藏或显示项目的动态菜单,具体取决于与资源或范围关联的权限。
if (authzContext.hasResourcePermission("Project Resource")) { // user can access the Project Resource } if (authzContext.hasResourcePermission("Admin Resource")) { // user can access administration resources } if (authzContext.hasScopePermission("urn:project.com:project:create")) { // user can create new projects }
AuthorizationContext
代表红帽构建的 Keycloak 授权服务的主要功能之一。在上面的示例中,您可以看到受保护的资源不直接与管理它们的策略关联。
使用基于角色的访问控制(RBAC)考虑一些类似的代码:
if (User.hasRole('user')) { // user can access the Project Resource } if (User.hasRole('admin')) { // user can access administration resources } if (User.hasRole('project-manager')) { // user can create new projects }
虽然这两个示例都满足相同的要求,但它们以不同的方式进行配置。在 RBAC 中,角色仅 隐式 定义其资源的访问权限。使用红帽构建的 Keycloak,您可以创建更易管理的代码,该代码直接专注于资源,无论您使用 RBAC、基于属性的访问控制(ABAC)还是任何其他 BAC 变体。您有给定资源或范围的权限,或者您没有该权限。
现在,假设您的安全要求已更改,并且项目管理器除了项目管理器外,SpmO 也可以创建新项目。
安全要求改变,但红帽构建的 Keycloak 无需更改应用程序代码来满足新的要求。当应用程序基于资源和范围标识符后,您只需要更改与授权服务器中特定资源关联的权限或策略的配置。在本例中,与项目资源
关联的权限和策略,或范围 urn:project.com:project:create
将被更改。