Spring SecurityとKeycloakによって「アクセスが拒否されました」というエラーが表示されるのはなぜですか？

debugcn 投稿 Dev

ウィリアム：

DockerでKeycloakサーバーをセットアップしました。レルムやクライアントなどを構成しました。一部のRestControllersのSpring Bootサービスを正常に作成できました。そのように働きます。

しかし、Spring SecurityをKeycloak Adapterで使用しようとすると、行き詰まってしまいます。

これが私のSecurityConfigです：

@KeycloakConfiguration
class SecurityConfig : KeycloakWebSecurityConfigurerAdapter() {

    @Autowired
    lateinit var keycloakClientRequestFactory: KeycloakClientRequestFactory

    @Bean
    fun keycloakConfigResolver(): KeycloakSpringBootConfigResolver = KeycloakSpringBootConfigResolver()

    @Bean
    override fun sessionAuthenticationStrategy(): SessionAuthenticationStrategy =
        NullAuthenticatedSessionStrategy()

    @Autowired
    @Throws(Exception::class)
    fun configureGlobal(auth: AuthenticationManagerBuilder) {
        val keycloakAuthProvider: KeycloakAuthenticationProvider = keycloakAuthenticationProvider()
        keycloakAuthProvider.setGrantedAuthoritiesMapper(SimpleAuthorityMapper())
        auth.authenticationProvider(keycloakAuthProvider)
    }

    @Throws(Exception::class)
    override fun configure(http: HttpSecurity) {
        super.configure(http)
        http.cors().disable()
            .csrf().disable()
            .exceptionHandling().and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .sessionAuthenticationStrategy(sessionAuthenticationStrategy()).and()
            .formLogin().disable()
            .authorizeRequests()
            .antMatchers("/apps/manual-data-collection/**").hasRole("user")
            .anyRequest().permitAll()
    }

    /**
     * https://www.keycloak.org/docs/latest/securing_apps/index.html#avoid-double-bean-registration
     */
    @Bean
    @ConditionalOnMissingBean(HttpSessionManager::class)
    override fun httpSessionManager(): HttpSessionManager = HttpSessionManager()

}

ここでサーバーにアクセスしようとしましたが、403 Forbidden Errorが発生しました。以下は春ごとのログです：

2020-01-08 14:08:01.817 DEBUG 12396 --- [nio-8080-exec-5] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/apps/manual-data-collection/document-templates'; against '/apps/manual-data-collection/**'
2020-01-08 14:08:01.817 DEBUG 12396 --- [nio-8080-exec-5] o.s.s.w.a.i.FilterSecurityInterceptor    : Secure object: FilterInvocation: URL: /apps/manual-data-collection/document-templates; Attributes: [hasRole('ROLE_user')]
2020-01-08 14:08:01.817 DEBUG 12396 --- [nio-8080-exec-5] o.s.s.w.a.i.FilterSecurityInterceptor    : Previously Authenticated: org.keycloak.adapters.springsecurity.token.KeycloakAuthenticationToken@bc432bbc: Principal: willy; Credentials: [PROTECTED]; Authenticated: true; Details: org.keycloak.adapters.springsecurity.account.SimpleKeycloakAccount@42db7613; Not granted any authorities
2020-01-08 14:08:01.818 DEBUG 12396 --- [nio-8080-exec-5] o.s.s.access.vote.AffirmativeBased       : Voter: org.springframework.security.web.access.expression.WebExpressionVoter@3d0602a7, returned: -1
2020-01-08 14:08:01.818 DEBUG 12396 --- [nio-8080-exec-5] o.s.s.w.a.ExceptionTranslationFilter     : Access is denied (user is not anonymous); delegating to AccessDeniedHandler

org.springframework.security.access.AccessDeniedException: Access is denied

私を混乱させるのは、それが言うことです：Not granted any authorities。この部分を省略しても、すべてが正常に機能します。必要なロール（この場合は「ユーザー」）はレルムに格納されます。JWTトークンもこれらを提供します。なぜうまくいかないのか私にはわかりません。

編集：私は言及すべきです。Spring Boot Serverは、AngularアプリケーションのRESTサーバーとしてのみ使用する必要があるため、これを使用しますSTATELESS。

ウィリアム：

はい、間違いを見つけました。application.ymlで以下をアクティブにしました：

keycloak.use-resource-role-mappings=true

しかし、それはそうでなければなりませんfalse。Keycloakのドキュメントには次のように書かれています：

use-resource-role-mappings -trueに設定されている場合、アダプターはトークン内でユーザーのアプリケーションレベルのロールマッピングを検索します。falseの場合、ユーザーロールマッピングのレルムレベルを調べます。これはオプションです。デフォルト値はfalseです。

この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。

侵害の場合は、連絡してください[email protected]

編集2021-04-6

コメントを追加

サインイン

分類Dev

Related 関連記事

記事

Spring SecurityとKeycloakによって「アクセスが拒否されました」というエラーが表示されるのはなぜですか？

Spring SecurityとKeycloakによって「アクセスが拒否されました」というエラーが表示されるのはなぜですか？

Spring Boot / Spring Security Webアプリで.cssファイルを開こうとすると、「405-メソッドが許可されていません」というエラーが表示されるのはなぜですか？

Springの@PostMapping @Requestbodyがエスケープされた文字として表示されるのはなぜですか？

Spring Security4.1のアップグレード-エラー403アクセスが拒否されました

Spring Security4.1のアップグレード-エラー403アクセスが拒否されました

Spring Security4.1のアップグレード-エラー403アクセスが拒否されました

ELB＆Spring Boot：サーバーポートが正しく構成されていても、「アップストリームへの接続中に（111：接続が拒否されました）」というエラーが発生しますか？

Spring Bootアプリケーションはこのエラーを出します：ユーザー 'root' @ 'localhost'のアクセスが拒否されましたが、コンソールでログインするとすべてが正常に機能します

アクセスが拒否され、申し訳ありませんが、プラグインSpring SecurityコアをGrailsで2.0バージョンにアップグレードした後、このページを表示する権限がありません

Springセキュリティログ、または承認されていない（アクセスが拒否された）リクエストごとにカスタムメッセージを追加

別のDockerコンテナで実行されているSpringブートアプリによって接続が拒否されました

「エンティティクラスにプロパティノードが見つかりません…コンストラクタパラメータをバインドします！」というメッセージが表示されるのはなぜですか。Spring DataMongoDBを使用

Spring Securityでユーザーが特定のコントローラーまたはURLにアクセスすることを許可されていない場合は、ログインページを表示する必要があります。それを達成する方法は？

Spring SecurityのhasPermissionを使用している場合、ページへのアクセスが拒否されました

Spring Securityを使用しているときにVaadinのログインページが表示されないのはなぜですか

MySQLとJPAによるSpringカスタムセキュリティで403アクセスが拒否されました

Spring Security-アクセスが拒否されました（ユーザーは匿名ではありません）spring-security-core-4.0.3.RELEASE

Spring Securityがクラスパス上にあるときに、失敗したSpring Bootアクチュエーターのヘルスインジケーターをデバッグするにはどうすればよいですか？

angular + springでマルチパート境界が見つからなかったため、リクエストは拒否されました

bootstrap.propertiesで定義されたとき、どのように私は「spring.application.name」にアクセスすることができますか？

Springブートアプリケーションへのアクセスが、Dockerツールボックスで実行されているIP192.168.99.100との接続を拒否しました

dhclientが「SIOCSIFADDR：アクセスが拒否されました」と言っているのはなぜですか？

dhclientが「SIOCSIFADDR：アクセスが拒否されました」と言っているのはなぜですか？

Spring Boot：RequestRejectedException：URLに悪意のある可能性のある文字列 ";"が含まれているため、リクエストは拒否されました。

Spring Boot：RequestRejectedException：URLに悪意のある可能性のある文字列 ";"が含まれているため、リクエストは拒否されました。

Spring Boot：RequestRejectedException：URLに悪意のある可能性のある文字列 ";"が含まれているため、リクエストは拒否されました。

SpringでH2データベースにJSONデータを挿入するために、「認識できないフィールド "名前、無視できるものとしてマークされていません"というエラーを回避するにはどうすればよいですか？

Springブートアプリをherokuにプッシュしようとすると、「致命的なエラーコンパイル：無効なターゲットリリース：11」が返されるのはなぜですか

JHipster Spring ConfigServerを使用してアクセスが拒否されました

JHipster Spring ConfigServerを使用してアクセスが拒否されました