Kong社区版集成Keycloak实现微服务认证与鉴权

清疚 2022-08-31 04:54 700阅读 0赞

### 文章目录 ###

*  Kong社区版集成Keycloak实现微服务认证与鉴权
 *   *  前言
     *  认证和鉴权流程
     *  在Keycloak上配置
     *   *  创建Realm
         *  创建Client
         *  创建Role
         *  创建User
     *  服务
     *   *  环境准备
         *  受保护的端点的服务
         *  首页服务
     *  在Kong上配置
     *   *  新建服务
         *  添加路由
         *  添加CORS插件
         *  添加JWT插件
         *  创建Consumer
         *  配置Consumer的JWT credentials
         *  测试成功
     *  测试角色
     *  小结
     *  参考文档

# Kong社区版集成Keycloak实现微服务认证与鉴权 #

## 前言 ##

Kong企业版有[OpenID Connect][]插件可以很方便地和Keycloak集成。

但是Kong社区版没有类似插件与Keycloak集成，虽然Nokia有一个[kong-oidc][]的插件，但已经几年没有维护了。

本文描述了如何通过Kong社区版集成Keycloak实现微服务认证与鉴权。

工具和环境：

*  Kong 2.5
 *  Konga 0.14.9
 *  Kecloak 12.0.1

如果对Kong和Keycloak还不太熟悉，可先阅读以下文章：

*  [以Docker方式安装和配置Kong网关和Konga控制台][Docker_Kong_Konga]
 *  [Kong网关快速入门指南][Kong]
 *  [在Kong网关中使用JWT认证][Kong_JWT]
 *  [通过Keycloak API理解OAuth2与OpenID Connect][Keycloak API_OAuth2_OpenID Connect]
 *  [在Spring Boot应用中集成Keycloak作认证和鉴权][Spring Boot_Keycloak]

## 认证和鉴权流程 ##

![03923768c1c130df9394d47a41f40754.png][]

说明：

1.  用户尝试访问某个受保护的端点时，如果还没有登录，会被重定向到Keycloak的登录页面。
2.  用户登录成功后，Keycloak颁发Access Token和Refresh Token给当前用户，为JWT格式，可以内省(introspection)。 这些Token被缓存在客户端，在后续访问受保护的端点时会用到。
3.  客户端访问某个受保护的端点时将在HTTP header的`Authorization` 中带有该Access Token。如果该Access Token过期，客户端可以用Refresh Token去换取新的Access Token。
4.  Kong网关代理受保护的端点的服务的请求，并验证请求中的HTTP header的`Authorization` 中的Access Token。Kong网关使用Keycloak提供的RSA public key来验签。Kong网关验证Access Token通过，将请求分发给受保护的端点的服务，并附带上HTTP header的`Authorization` 。
5.  受保护的端点的服务解析Kong网关转发的请求中的HTTP header的`Authorization`的Access Token，获取上下文信息，并可以根据当前用户信息和角色信息来作更细粒度的权限控制。权限控制通过，服务返回响应数据。
6.  Kong网关将响应数据返回给客户端。

## 在Keycloak上配置 ##

### 创建Realm ###

创建一个名为`xdevops` 的Realm。

### 创建Client ###

在该Relam下，创建一个名为`kong-keycloak-demo`的Client。

*  Client ID: `kong-keycloak-demo`
 *  Root URL: `http://localhost:3000`
 *  Valid Redirect URIs: `http://localhost:3000/*`
 *  Web Origins: `http://localhost:3000`

保存。

打开Client，然后打开Installation，选择Keycloak OIDC JSON格式，将内容复制到`keycloak.json`文件中。

{ 
      "realm": "xdevops",
      "auth-server-url": "http://localhost:8180/auth/",
      "ssl-required": "external",
      "resource": "kong-keycloak-demo",
      "public-client": true,
      "confidential-port": 0
    }

### 创建Role ###

创建一个名为`subscribed`的Role。

### 创建User ###

创建以下User，并设置非临时密码。

*  `william`
 *  `john`

其中，将`william` 用户关联到`subscribed`的Role。

## 服务 ##

基于NodeJS和Express框架创建两个服务。

*  [http://localhost:3000][http_localhost_3000] \- 首页服务
 *  [http://localhost:3001/data][http_localhost_3001_data] \- 受保护的端点的服务，返回JSON数据
    
     *  该端点被Kong网关代理后为[http://localhost:8000/demo/data][http_localhost_8000_demo_data]

测试流程：

1.  用户先访问[http://localhost:3000][http_localhost_3000] ，如果还没有登录，会被重定向到Keycloak登录页面。
2.  用户登录成功后，浏览器自动访问Kong网关代理的受保护的端点的服务[http://localhost:8000/demo/data][http_localhost_8000_demo_data]。
3.  如果Kong网关验证Token通过，则转发请求到服务[http://localhost:3001/data][http_localhost_3001_data]。
4.  如果在服务中验证权限通过，则返回JSON数据给浏览器。

### 环境准备 ###

# 可用nvm来安装NodeJS和npm
    # 本文用NodeJS v14.17.1
    
    # 安装yarn
    npm install --global yarn
    
    # 用yarn初始化项目
    yarn init
    
    # 添加依赖
    yarn add express jsonwebtoken

### 受保护的端点的服务 ###

新建`data.js`:

'use strict'
    
    const express = require('express')
    
    const data = express()
    
    data.get('/data', function (req, res) { 
        res.json(['cat', 'dog', 'cow'])
    })
    
    const port = 3001
    data.listen(port)
    console.log(`Server is listening on http://localhost:${ port}`)

运行：

node data.js

访问[http://localhost:3001/data][http_localhost_3001_data] ，结果：

[
      "cat",
      "dog",
      "cow"
    ]

### 首页服务 ###

新建`index.html` ：

<!DOCTYPE html>
    <html lang='en'>
    <body>
    
    <script src='http://localhost:8180/auth/js/keycloak.js'></script>
    <script type='text/javascript'> 'use strict' const kongUrl = 'http://localhost:8000/demo/data' const keycloak = Keycloak('keycloak.json') keycloak.init({ onLoad: 'login-required' }) .error(function () { alert('error') }) .success(function (authenticated) { let req = new XMLHttpRequest() req.open('GET', kongUrl, true) req.setRequestHeader('Accept', 'application/json') req.setRequestHeader('Authorization', 'Bearer ' + keycloak.token) req.onreadystatechange = function () { if (req.readyState === 4) { if (req.status === 200) { alert('Response: ' + req.responseText) } else { alert('Request returned: ' + req.status) } } } req.send() }) </script>
    </body>
    </html>

说明：

*  `http://localhost:8180/auth/js/keycloak.js` 为Keycloak提供的JavaScript库。
 *  `const kongUrl = 'http://localhost:8000/demo/data'` 为Kong网关代理的受保护的端点的服务的地址
 *  `keycloak.json` 为Keycloak的Client配置。

新建`index.js`：

'use strict'
    
    const express = require('express')
    const index = express()
    
    const path = require('path')
    const indexHTML = path.join(__dirname, 'index.html')
    const keycloakJSON = path.join(__dirname, 'keycloak.json')
    
    index.get('/', function (req, res) { 
        res.sendFile(indexHTML)
    })
    
    index.get('/keycloak.json', function (req, res) { 
        res.sendFile(keycloakJSON)
    })
    
    const port = 3000
    index.listen(port)
    console.log(`Server is listening on http://localhost:${ port}`)

运行：

node index.js

访问[http://localhost:3000][http_localhost_3000] ，被重定向到Keycloak的登录页面。

登录后，页面弹出对话框“Request returned: 0“。

在Chrome浏览器上的dev tools （F12键打开）看到错误日志：

Access to XMLHttpRequest at 'http://localhost:8000/demo/data' from origin 'http://localhost:3000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

这是CORS跨域访问错误，后面会说明如何解决。

另外这时候还没有在网关上配置服务和路由，所以直接访问[http://localhost:8000/demo/data][http_localhost_8000_demo_data] 也会报错：

{ 
      "message": "no Route matched with those values"
    }

## 在Kong上配置 ##

### 新建服务 ###

新建服务：

Name: demo
    Url: http://192.168.0.100:3001 # replace as your IP

说明

*  `192.168.0.100`为笔者本机IP地址

### 添加路由 ###

为该服务添加路由：

Name: `demo-route`
    Paths: `/demo` # press Enter key to apply

此时再访问Kong代理服务地址[http://localhost:8000/demo/data][http_localhost_8000_demo_data] 就可以返回数据了。

但是访问[http://localhost:3000][http_localhost_3000]，仍然有CORS跨域错误。

### 添加CORS插件 ###

为该服务添加Security / CORS插件。

origins: `http://localhost:3000` # 源地址
    headers: `Accept`, `Accept-Version`, `Content-Length`, `Content-MD5`, `Content-Type`, `Date`, `X-Auth-Token`, `Authorization` # `Access-Control-Allow-Headers` header
    exposed headers: `X-Auth-Token`, `Authorization` # `Access-Control-Expose-Headers` header
    methods: `GET` # 本例只有GET方法
    max age: `3600` 
    credentials: YES # YES时发送`Access-Control-Allow-Credentials` header
    preflight continue: NO

参见：

*  [https://docs.konghq.com/hub/kong-inc/cors/][https_docs.konghq.com_hub_kong-inc_cors]

此时再访问[http://localhost:3000][http_localhost_3000]，就没有CORS跨域错误了，可以正常返回JSON数据了。

但是我们还未让Kong网关来验证Keycloak颁发的Access Token，就直接把请求分发给服务了。

### 添加JWT插件 ###

在服务中添加Aunthentication / JWT插件。

全部采用默认值。

此时再访问[http://localhost:3000][http_localhost_3000]， 就会报401 Unauthorized错误。

### 创建Consumer ###

创建一个consumer。

username: `demo-app`
    custom_id: `demo-app`

### 配置Consumer的JWT credentials ###

为该consumer创建JWT credentials。

key: `http://localhost:8180/auth/realms/xdevops` # 用Keycloak realm地址作为token issuer
    algorithm: `RS256` # 采用RSA public key方式来验签
    rsa_public_key: # pem格式，内容为Keycloak的realm public key，参见下面说明
    secret: #保留为空

访问`http://localhost:8180/auth/realms/xdevops` 可获得Kyecloak上`xdevops` 的Realm信息。

示例：

{ 
      "realm": "xdevops",
      "public_key": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8pmfJmQJlzuhA9Had0/5Xvx7rbLcVTWhjk6nxKSUPzC1JNu6qhLwHwrWZe0PIUGobq5tfTNXpsDL3svkDs71R3YMtsrjqAzN827loikDfk03D9I4FumLcMq1BWOmT42r3IXCteHu1epCc8yus5tIFIRSDOE9aXYJn4mNnCHOM6D5uqMKolAK/H/kvI1aMRJ3jootazHvONUxi8t9TJeys81Fj45UHqU0hBWaC98958FWSdt+DglSXOpxilewq2NT6yOKRSaNrjzkrR9+KkSGecEmf+FUvAZtjmWqeOACr/xZPcWzKga1HsIQI+VfvuzrDG7IoXOA34vuFXK1271zawIDAQAB",
      "token-service": "http://localhost:8180/auth/realms/xdevops/protocol/openid-connect",
      "account-service": "http://localhost:8180/auth/realms/xdevops/account",
      "tokens-not-before": 0
    }

将上面的`public_key` 头尾添加上`-----BEGIN PUBLIC KEY-----`和`-----END PUBLIC KEY-----`，就得到`rsa_public_key` 的值。

示例

最终的JWT credential示例：

{ 
      "algorithm": "RS256",
      "secret": "5CR8LlIQ7qL8yxi37iagpcELbAcGKbOi",
      "key": "http://localhost:8180/auth/realms/xdevops",
      "rsa_public_key": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8pmfJmQJlzuhA9Had0/5Xvx7rbLcVTWhjk6nxKSUPzC1JNu6qhLwHwrWZe0PIUGobq5tfTNXpsDL3svkDs71R3YMtsrjqAzN827loikDfk03D9I4FumLcMq1BWOmT42r3IXCteHu1epCc8yus5tIFIRSDOE9aXYJn4mNnCHOM6D5uqMKolAK/H/kvI1aMRJ3jootazHvONUxi8t9TJeys81Fj45UHqU0hBWaC98958FWSdt+DglSXOpxilewq2NT6yOKRSaNrjzkrR9+KkSGecEmf+FUvAZtjmWqeOACr/xZPcWzKga1HsIQI+VfvuzrDG7IoXOA34vuFXK1271zawIDAQAB\n-----END PUBLIC KEY-----",
      "id": "25f52f08-23f6-4720-8656-351c3fd9829e",
      "created_at": 1626968316,
      "consumer": { 
        "id": "b5499198-2c39-4ef4-9de7-e98d53b65c62"
      },
      "tags": null
    }

参见：

*  [https://docs.konghq.com/hub/kong-inc/jwt/][https_docs.konghq.com_hub_kong-inc_jwt]

### 测试成功 ###

此时再访问[http://localhost:3000][http_localhost_3000] ，就可以成功返回JSON数据了。

## 测试角色 ##

新建`data_by_role.js`。

'use strict'
    
    const express = require('express')
    const jwt = require('jsonwebtoken')
    
    const app = express()
    
    app.get('/data', function (req, res) { 
        if (!req.headers['authorization']) return res.end()
        let encToken = req.headers['authorization'].replace(/Bearer\s/, '')
        let decToken = jwt.decode(encToken)
        console.log("-----------------")
        console.log(decToken)
        console.log("-----------------")
        console.log(decToken.resource_access)
        let realmAccess = decToken.realm_access
    
        console.log(realmAccess)
        if (realmAccess && realmAccess.roles.includes('subscribed'))
            res.json(['cat', 'dog', 'cow'])
        else
            res.json([])
    })
    
    const port = 3001
    app.listen(port)
    console.log(`Server is listening on http://localhost:${ port}`)

停掉原来的`data.js`，并运行：

node data_by_role.js

因为示例代码没有logout功能，先在Keycloak的Sessions上logout当前用户。

然后访问[http://localhost:3000/][http_localhost_3000 1]。

先用没有`subscribed`角色的用户（本例为john）来测试，则返回空的数据。

把当前用户logout后，再用有`subscribed`角色的用户（本例为william）来测试，则成功返回JSON数据。

## 小结 ##

本文描述了如何通过Kong社区版集成Keycloak实现微服务认证与鉴权，包括：

*  由Keycloak管理用户登录，注销，并颁发token。
 *  由Kong网关代理受保护的端点的服务。
 *  用Kong JWT插件来验证Keycloak颁发的token。
 *  用Kong CORS插件来实现CORS跨域访问。

本文代码示例：

*  [kong-keycloak-demo][]

后续将会结合Spring Boot和Spring Security介绍如何在Spring Boot应用中通过Kong社区版集成Keycloak实现微服务认证与鉴权。

## 参考文档 ##

*  [Securing components in a microservice context][]

[OpenID Connect]: https://docs.konghq.com/hub/kong-inc/openid-connect/
[kong-oidc]: https://github.com/nokia/kong-oidc
[Docker_Kong_Konga]: https://cookcode.blog.csdn.net/article/details/118892872
[Kong]: https://cookcode.blog.csdn.net/article/details/118932525
[Kong_JWT]: https://cookcode.blog.csdn.net/article/details/118938937
[Keycloak API_OAuth2_OpenID Connect]: https://blog.csdn.net/nklinsirui/article/details/112706006
[Spring Boot_Keycloak]: https://cookcode.blog.csdn.net/article/details/118821925
[03923768c1c130df9394d47a41f40754.png]: /images/20220829/454dca425c7b4873a48db5f8b32db753.png
[http_localhost_3000]: http://localhost:3000
[http_localhost_3001_data]: http://localhost:3001/data
[http_localhost_8000_demo_data]: http://localhost:8000/demo/data
[https_docs.konghq.com_hub_kong-inc_cors]: https://docs.konghq.com/hub/kong-inc/cors/
[https_docs.konghq.com_hub_kong-inc_jwt]: https://docs.konghq.com/hub/kong-inc/jwt/
[http_localhost_3000 1]: http://localhost:3000/
[kong-keycloak-demo]: https://github.com/cookcodeblog/kong-keycloak-demo
[Securing components in a microservice context]: https://wiredcraft.com/blog/securing-components-in-a-microservice-context/