guisz1 / laravel-keycloak-guard-without-resource_access
🔑 Laravel 的简单 Keycloak 守卫
Requires
- firebase/php-jwt: ^5.0
Requires (Dev)
- orchestra/testbench: ^3.7@dev
- phpunit/phpunit: ^7.3@dev
README
简单的 Laravel/Lumen Keycloak 守卫
此包帮助您在基于 Keycloak 服务器生成的 JWT 令牌的基础上,对 Laravel API 上的用户进行身份验证。
要求
✔️ 我正在使用 Laravel 构建 API。
✔️ 我将不会使用 Laravel Passport 进行身份验证,因为 Keycloak 服务器将完成这项工作。
✔️ 前端是一个独立的项目。
✔️ 前端用户将直接在 Keycloak 服务器上认证以获取 JWT 令牌。这个过程与 Laravel API 没有关系。
✔️ 前端会保存从 Keycloak 服务器获取的 JWT 令牌。
✔️ 前端使用该令牌向 Laravel API 发送请求。
💔 如果您的应用程序不符合要求,可能您正在寻找 https://socialiteproviders.com/Keycloak 或 https://github.com/Vizir/laravel-keycloak-web-guard
流程
-
前端用户在 Keycloak 服务器上进行认证
-
前端用户获取 JWT 令牌。
-
在另一个时刻,前端用户使用该令牌向 Laravel API 的某个受保护端点发送请求。
-
Laravel API(通过 Keycloak 守卫)进行处理。
- 验证令牌签名。
- 验证令牌结构。
- 验证令牌过期时间。
- 验证我的 API 是否允许从令牌进行
资源访问。
-
如果一切正常,找到数据库中的用户并在我的 API 上进行认证。
-
返回响应
安装
Laravel / Lumen
需要此包
composer require robsontenorio/laravel-keycloak-guard
仅 Lumen
在您的 bootstrap 应用文件 bootstrap/app.php 中注册提供者
在文件底部 "注册服务提供者" 部分,添加以下行。
$app->register(\KeycloakGuard\KeycloakGuardServiceProvider::class);
对于外观,在您的 bootstrap 应用文件 bootstrap/app.php 中取消注释 $app->withFacades();
配置
Keycloak 守卫
Keycloak 守卫的配置可以通过 Laravel .env 文件进行管理。⚠️ 确保所有字符串都进行了 修剪。
可选地,您可以发布配置文件。
php artisan vendor:publish --provider="KeycloakGuard\KeycloakGuardServiceProvider"
<?php return [ 'realm_public_key' => env('KEYCLOAK_REALM_PUBLIC_KEY', null), 'load_user_from_database' => env('KEYCLOAK_LOAD_USER_FROM_DATABASE', true), 'user_provider_credential' => env('KEYCLOAK_USER_PROVIDER_CREDENTIAL', 'username'), 'token_principal_attribute' => env('KEYCLOAK_TOKEN_PRINCIPAL_ATTRIBUTE', 'preferred_username'), 'append_decoded_token' => env('KEYCLOAK_APPEND_DECODED_TOKEN', false), 'allowed_resources' => env('KEYCLOAK_ALLOWED_RESOURCES', null) ];
✔️ realm_public_key
必需。
Keycloak 服务器 realm 公钥(字符串)。
如何获取 realm 公钥?点击“领域设置”>“密钥”>“算法 RS256”行>“公共密钥”按钮
✔️ load_user_from_database
必需。默认为 true。
如果您没有 users 表,您必须禁用此选项。
它从数据库中获取用户并将值填充到已认证的用户对象中。如果启用,它将与 user_provider_credential 和 token_principal_attribute 一起工作。
✔️ user_provider_credential
必需。默认为 username。
"users" 表中包含用户唯一标识的字段(例如,用户名、电子邮件、昵称)。在认证时,此字段将与 token_principal_attribute 属性进行比较。
✔️ token_principal_attribute
必需。默认为 preferred_username。
JWT 令牌中包含用户标识的属性。在认证时,此属性将与 user_provider_credential 属性进行比较。
✔️ append_decoded_token
默认为 false。
将完整的解码 JWT 令牌添加到已认证的用户($user->token)。如果需要了解 JWT 令牌中保存的角色、组和其他用户信息,则非常有用。即使选择 false,您也可以使用 Auth::token() 获取它,请参阅 API 部分。
✔️ allowed_resources
必需
通常,您的API应该处理一个resource_access。但是,如果您处理多个,请使用API接受的逗号分隔的允许资源列表。在身份验证时,此属性将与JWT令牌的resource_access属性进行比较。
Laravel身份验证
对config/auth.php的更改
... 'defaults' => [ 'guard' => 'api', # <-- For sure, i`m building an API 'passwords' => 'users', ], .... 'guards' => [ 'api' => [ 'driver' => 'keycloak', # <-- Set the API guard driver to "keycloak" 'provider' => 'users', ], ],
Laravel路由
只需保护routes/api.php中的某些端点即可完成!
// public endpoints Route::get('/hello', function () { return ':)'; }); // protected endpoints Route::group(['middleware' => 'auth:api'], function () { Route::get('/protected-endpoint', 'SecretController@index'); // more endpoints ... });
Lumen路由
只需保护routes/web.php中的某些端点即可完成!
// public endpoints $router->get('/hello', function () { return ':)'; }); // protected endpoints $router->group(['middleware' => 'auth'], function () { $router->get('/protected-endpoint', 'SecretController@index'); // more endpoints ... });
API
简单的Keycloak Guard实现了Illuminate\Contracts\Auth\Guard。因此,所有Laravel默认方法都将可用。例如:Auth::user()返回已验证的用户。
默认方法
- check()
- guest()
- user()
- id()
- validate()
- setUser()
Keycloak Guard方法
- token()
例如:Auth::token()返回已验证用户的完整解码JWT令牌。
- hasRole('some-resource', 'some-role'):检查已验证的用户是否在资源中具有特定角色。
例如,使用此有效载荷
'resource_access' => [
'myapp-backend' => [
'roles' => [
'myapp-backend-role1',
'myapp-backend-role2'
]
],
'myapp-frontend' => [
'roles' => [
'myapp-frontend-role1',
'myapp-frontend-role2'
]
]
]
Auth::hasRole('myapp-backend', 'myapp-backend-role1') // true
Auth::hasRole('myapp-frontend', 'myapp-frontend-role1') // true
Auth::hasRole('myapp-backend', 'myapp-frontend-role1') // false
联系
Twitter @robsontenorio Twitter @SeibertGui