鑰匙巖與伐木因和彈簧安全

Question

我想確保我的vaadin應用與keycloak和彈簧安全。我嘗試使用「keycloak-spring-security-adapter」。 我的問題是我還希望未經驗證的用戶使用我的應用程序，但功能較少 - 我使用方法安全性並檢查當前用戶在UI中具有哪些角色。

我可以配置過濾器，以便它忽略未經驗證的請求，但是如果令牌存在使用它？

感謝

丹尼爾

Answer 1

你想要可以在public-access branch of this github project找到什麼樣的工作示例。它確實使用Vaadin 8。

從本質上講，你可以設置你的應用程序是部分公開，即平易的某些部分未認證用戶和需要別人登錄，如下：

@Configuration 
@EnableWebSecurity 
@EnableVaadinSharedSecurity 
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true, proxyTargetClass = true) 
public class SecurityConfiguration extends KeycloakWebSecurityConfigurerAdapter { 
... 
    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
    http.httpBasic().disable(); 
    http.formLogin().disable(); 
    http.csrf().disable(); 
    http 
     .authorizeRequests() 
     .antMatchers("/vaadinServlet/UIDL/**").permitAll() 
     .antMatchers("/vaadinServlet/HEARTBEAT/**").permitAll() 
     .anyRequest().permitAll(); 
    http 
     .logout() 
     .addLogoutHandler(keycloakLogoutHandler()) 
     .logoutUrl("/sso/logout").permitAll() 
     .logoutSuccessUrl("/"); 
    http 
     .addFilterBefore(keycloakPreAuthActionsFilter(), LogoutFilter.class) 
     .addFilterBefore(keycloakAuthenticationProcessingFilter(), BasicAuthenticationFilter.class); 
    http 
     .exceptionHandling() 
     .authenticationEntryPoint(authenticationEntryPoint()); 
    http 
     .sessionManagement() 
     .sessionAuthenticationStrategy(sessionAuthenticationStrategy()); 
    } 
... 
} 

線http.anyRequest().permitAll();是最重要的，你配置過濾器以允許所有請求。你仍然可以更新這個只允許公衆訪問某些網址。

然後，您可以在方法/視圖/組件上使用spring安全註釋來配置細粒度的訪問控制。 E.g：

@SpringComponent 
@Secured("ROLE_ANONYMOUS") 
public class LoginOperation implements Runnable { 
    @Override 
    public void run() { 
    // login logic 
    } 
} 

和

@Secured("ROLE_USER") 
public class LogoutOperation implements Runnable {  
    @Override 
    public void run() { 
    // logout logic 
    } 
}