udevrandom / laravel-keycloak-web-guard

简单的Keycloak Web路由Guard

维护者

详细信息

github.com/udevrandom/laravel-keycloak-web-guard

主页

源代码

安装: 36

依赖项: 0

建议者: 0

安全: 0

星标: 0

关注者: 0

分支: 80

v2.3.11 2021-01-02 05:04 UTC

Requires

MIT 27f4b7c5a199711cc1f3767644c2b6ae9d8200fa

  • Mário Valney <mariovalney.woop@gmail.com>

Authenticationlaraveljwtkeycloak

This package is auto-updated.

Last update: 2024-09-29 06:02:50 UTC

README

Laravel Keycloak Web Guard

此包允许您使用 Keycloak 服务器 进行用户认证。

它在前端工作。对于API,我们推荐使用 laravel-keycloak-guard

要求

  • 拥有Keycloak服务器。
  • 配置了一个域和一个接受认证的客户端。

支持

此包与以下版本进行了测试

  • Laravel: 5.8 / 7
  • Keycloak: 4.8.3.Final / 11.0.2

其他版本可能无法保证工作。

这是一个开源项目,我在业余时间维护。所以,如果您有任何问题,您可以创建一个包含所有详细信息(Laravel版本、Keycloak版本、问题描述等)的问题,我将很高兴尝试帮助您。

流程

  1. 用户访问受保护的路线并被重定向到Keycloak登录。
  2. 用户登录并获得一个代码。
  3. 他将被重定向到回调页面,我们将代码更改为访问令牌。
  4. 我们将其存储在会话中并验证用户。
  5. 用户已登录。
  6. 我们将用户重定向到“redirect_url”路线(请参阅配置)或预期的路线。

安装

需要此包

composer require udevrandom/laravel-keycloak-web-guard

如果您想更改路由或Keycloak的默认值,请发布配置文件

php artisan vendor:publish  --provider="Vizir\KeycloakWebGuard\KeycloakWebGuardServiceProvider"

配置

发布 config/keycloak-web.php 文件后,您可以更改路由

'redirect_url' => '/admin',

'routes' => [
    'login' => 'login',
    'logout' => 'logout',
    'register' => 'register',
    'callback' => 'callback',
]

更改任何值以更改URL。

其他配置可以更改为新默认值,但我们建议使用 .env 文件

  • KEYCLOAK_BASE_URL

Keycloak服务器URL。通常类似于: https://your-domain.com/auth

  • KEYCLOAK_REALM

Keycloak域。默认为 master

  • KEYCLOAK_REALM_PUBLIC_KEY

Keycloak服务器域公钥(字符串)。

在仪表板中,转到:Keycloak >> 域设置 >> 密钥 >> RS256 >> 公钥。

  • KEYCLOAK_CLIENT_ID

Keycloak客户端ID。

在仪表板中,转到:Keycloak >> 客户端 >> 安装。

  • KEYCLOAK_CLIENT_SECRET

Keycloak客户端密钥。如果为空,则不会将其发送到令牌端点。

在仪表板中,转到:Keycloak >> 客户端 >> 安装。

  • KEYCLOAK_CACHE_OPENID

我们可以缓存OpenId配置:这是我们要求Keycloak的端点列表。

如果您激活它,请记住在更改域或URL时刷新缓存。

只需将您想要作为数组添加到“guzzle_options”数组中的选项添加到keycloak-web.php配置文件中。例如

Laravel Auth

您应该在您的 config/auth.php 中添加Keycloak Web guard。

只需将 keycloak-web 添加到您想要的配置的“driver”选项上。

由于我的默认值是web,我将其添加到其中

'guards' => [
    'web' => [
        'driver' => 'keycloak-web',
        'provider' => 'users',
    ],

    // ...
],

并更改您的提供者配置

'providers' => [
    'users' => [
        'driver' => 'keycloak-users',
        'model' => Vizir\KeycloakWebGuard\Models\KeycloakUser::class,
    ],

    // ...
]

注意:如果您想使用其他用户模型,请查看FAQ 如何实现我的模型?

API

我们实现了 Illuminate\Contracts\Auth\Guard。因此,所有Laravel默认方法都将可用。

例如: Auth::user() 返回已认证的用户。

角色

您可以通过 Auth::hasRole('role') 简单地检查用户是否有角色;

此方法接受两个参数:第一个是角色(字符串或字符串数组),第二个是资源。

如果没有提供,资源将是client_id,这是您正在认证进入该客户端到前端的常规检查。

Keycloak Web网关

您可以使用Laravel授权网关来检查用户是否具有一个或多个角色(和资源)。

例如,在您的控制器中,您可以检查

if (Gate::denies('keycloak-web', 'manage-account')) {
  return abort(403);
}

或者

if (Gate::denies('keycloak-web', ['manage-account'])) {
  return abort(403);
}

以及资源的相关角色

if (Gate::denies('keycloak-web', 'manage-account', 'another-resource')) {
  return abort(403);
}

这种用法可能不简单,但您可以通过扩展Guard来请求多个资源的认证/授权。默认情况下,我们只请求当前客户端。

Keycloak中间件

如果您不想使用网关或已经实现了中间件,您可以使用keycloak-web-can中间件来检查用户是否具有一个或多个角色。

将其添加到控制器中的__construct方法

$this->middleware('keycloak-web-can:manage-something-cool');

// For multiple roles, separate with '|'
$this->middleware('keycloak-web-can:manage-something-cool|manage-something-nice|manage-my-application');

此中间件默认在默认资源(client_id)上搜索所有角色。它要求所有角色都存在于登录用户中。

要检查用户是否至少具有一个提供的角色,请使用keycloak-web-hasany

$this->middleware('keycloak-web-hasany:manage-something-cool');

// For multiple roles, separate with '|'
$this->middleware('keycloak-web-hasany:view-app|manage-app|administer-app');

此中间件通过检查客户端和领域角色,如果提供的任何角色匹配,则允许流量通过。否则,它假设用户应该看到一个错误消息,指出虽然他们登录了,但他们没有所需的角色的授权。

您可以扩展它并在Kernel.php上注册自己的中间件,或者只需在控制器中使用Auth::hasRole($roles, $resource)

常见问题解答

如何实现我的模型?

我们在config/auth.php上注册了一个新的用户提供者,名为"keycloak-users"。

在相同的配置中,您设置了模型。因此,您可以注册自己的模型,通过扩展Vizir\KeycloakWebGuard\Models\KeycloakUser类并更改此配置来实现。

您可以实现自己的用户提供者:只需记住要实现retrieveByCredentials方法,该方法接收Keycloak配置文件信息以检索模型的实例。

Eloquent/数据库用户提供者应该工作得很好,因为它们将解析Keycloak配置文件并在数据库上创建一个"where"条件。因此,您的用户数据必须与Keycloak配置文件匹配。

我找不到我的登录表单。

我们注册了一个login路由来重定向到Keycloak服务器。登录后,我们将接收并处理令牌以验证您的用户。

没有登录/注册表单。

如何保护路由?

只需添加keycloak-web中间件

// On RouteServiceProvider.php for example

Route::prefix('admin')
  ->middleware('keycloak-web')
  ->namespace($this->namespace)
  ->group(base_path('routes/web.php'));

// Or with Route facade in another place

Route::group(['middleware' => 'keycloak-web'], function () {
    Route::get('/admin', 'Controller@admin');
});

访问令牌、刷新令牌和状态在哪里持久化?

在会话中。如果您有负载均衡器,我们建议实现数据库驱动程序。

什么是状态?

状态是一个唯一且难以猜测的字符串,用于减轻CSRF攻击。

我们将即将发起的每个认证请求与一个随机状态关联,并在回调时检查。如果您正在扩展/实现自己的Auth控制器,则应该这样做。

使用KeycloakWeb::saveState()方法将已生成的状态保存到会话中,并使用KeycloakWeb::validateState()来检查当前状态是否与保存的状态相匹配。

我遇到了会话问题(卡在登录循环中)

由于某些原因,Laravel可能会遇到EncryptCookies中间件更改会话ID的问题。

在这种情况下,我们将始终尝试登录,因为无法检索令牌。

您可以从加密中删除session_id cookie

// On your EncryptCookies middleware

class EncryptCookies extends Middleware
{
    protected $except = [];

    public function __construct(EncrypterContract $encrypter)
    {
        parent::__construct($encrypter);

        /**
         * This will disable in runtime.
         *
         * If you have a "session.cookie" option or don't care about changing the app name
         * (in another environment, for example), you can only add it to "$except" array on top
         */
        $this->disableFor(config('session.cookie'));
    }
}

我的客户端不是公开的。

如果您的客户端不是公开的,您应该在.env中提供KEYCLOAK_CLIENT_SECRET

如何覆盖默认的Guzzle选项?

在某些用例中,您可能需要覆盖默认的Guzzle选项 - 可能是禁用SSL验证或将代理设置为路由所有请求。

每个[Guzzle请求选项](http://docs.guzzlephp.org/en/stable/request-options.html)都受支持,并直接传递给Guzzle客户端实例。

只需在keycloak-web.php配置文件中将您希望添加的选项添加到guzzle_options数组中。例如

'guzzle_options' => [
    'verify' => false
]

开发者

在GitHub上的贡献者 ❤️