请教一下 keycloak 应用权限设置

创建一个 realm(auth)，创建两个 client(app1 app2)，创建两个 role(role1 role2)，创建两个 user(userA userB)并且分别分配到 role1 和 role2 。

现在想做这样的权限设置：app1 只允许 role1 访问，app2 只允许 role2 访问，应该怎么设置？

两个应用都是 openid-connect 接入，client 都是 web 应用，使用 openresty+lua-resty-openidc

Casbin

2022-09-19 10:02:01 +08:00

@yaott2020 用 casdoor ，可以很容易设置角色的应用权限： https://casdoor.cn/

yaott2020

2022-09-19 10:04:37 +08:00

@Casbin 就是刚从 casdoor 切过来。。。感觉 casdoor bug 还挺多的。。。

hmz0327

2022-09-19 11:31:45 +08:00

在 Configure->Roles 里创建的是 realmRole ，Client 里创建的 Role 是 clientRole ，它们的权限范围是不一样的。

hmz0327

2022-09-19 11:39:58 +08:00

我也刚用没多久，懂得也不太多

yaott2020

2022-09-19 11:49:51 +08:00

@hmz0327 那需要怎样关联呢，如果在用户设置里面关联，好像只能关联一个 client

hmz0327

2022-09-19 13:11:48 +08:00

在用户设置里面是可以关联多个的，切换另一个 client 然后关联就行了。

hmz0327

2022-09-19 13:12:53 +08:00

在 UserRepresentation 类里，clientRoles 是个 Map 类型。
protected Map<String, List<String>> clientRoles;

clickhouse

2022-09-19 13:42:53 +08:00

不确定 lua-resty-openidc 是否可以拿到用户在特定 client 或者 realm 的 role 信息，如果可以的话直接判断就行。
如果只能拿到用户基本信息，可以依靠 keycloak 本身去做权限判断和拦截，用这个插件： https://github.com/sventorben/keycloak-restrict-client-auth

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/881148

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.