SpiffWorkflow项目Keycloak身份认证配置指南

2025-06-19 00:14:31作者：翟萌耘Ralph

前言

在现代应用开发中，身份认证和授权管理是核心安全组件。本文将详细介绍如何在SpiffWorkflow项目中配置Keycloak这一强大的开源身份和访问管理解决方案，帮助开发者实现完善的用户认证体系。

Keycloak基础概念

Keycloak作为SpiffWorkflow项目的认证核心，提供了以下关键功能：

单点登录(SSO)：用户只需登录一次即可访问多个关联系统
多因素认证：支持多种认证方式组合
社交登录：集成Google等第三方认证提供商
细粒度授权：基于角色的访问控制

第一部分：管理员权限配置

1.1 选择目标域(Realm)

在Keycloak管理控制台中，首先需要选择SpiffWorkflow项目对应的域。域是Keycloak中的逻辑隔离单元，每个域拥有独立的用户、客户端和认证配置。

1.2 启用安全控制台

导航至"客户端"部分，搜索并确保security-admin-console客户端已启用。这是管理用户界面的核心组件。

1.3 分配管理员角色

为用户分配管理权限需要以下步骤：

在"用户"管理界面定位目标用户
进入"角色映射"标签页
添加基础管理角色：
- view-users：查看用户权限
- manage-users：管理用户权限
如需完全控制，可添加realm-management下的所有权限

1.4 访问管理控制台

配置完成后，管理员可通过特定URL访问管理界面，格式如下：

https://keycloak-[客户端域名]/admin/[域名称]/console

第二部分：Google社交登录集成

2.1 Google开发者控制台配置

创建新的OAuth 2.0客户端ID
选择"Web应用"类型
设置有意义的客户端名称

配置授权重定向URI，格式为：

https://keycloak-[客户端域名]/realms/[域名称]/broker/google/endpoint

2.2 Keycloak身份提供者设置

在Keycloak管理控制台中选择目标域
导航至"身份提供者"→"添加提供者"→"Google"
输入从Google获取的客户端ID和密钥
设置首次登录流程为first broker login

2.3 测试验证

完成配置后，用户将在登录页面看到Google登录选项。测试时需验证：

正常跳转到Google认证页面
成功回调后创建/关联用户账号
用户信息正确同步

第三部分：API认证与集成

3.1 本地开发环境准备

启动服务时需要确保：

# 启动Keycloak服务
./keycloak/bin/start_keycloak

# 启动配置了Keycloak的后端服务
./bin/run_server_locally keycloak

3.2 获取访问令牌

使用密码授权模式获取令牌：

curl -X POST https://keycloak-[客户端域名]/realms/[域名称]/protocol/openid-connect/token \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=password" \
  -d "client_id=spiff-frontend" \
  -d "username=<用户邮箱>" \
  -d "password=<用户密码>"

3.3 调用受保护API

使用获取的令牌访问API：

curl http://localhost:7000/v1.0/process-groups \
  -H "Authorization: Bearer <访问令牌>"

3.4 常见API端点

功能描述	请求方法及端点
获取用户任务列表	GET /v1.0/tasks
获取流程组列表	GET /v1.0/process-groups
获取组内模型	GET /v1.0/process-models/
完成任务	POST /v1.0/tasks/{ID}/complete

3.5 安全注销

通过API注销用户会话：

curl -X POST https://keycloak-[客户端域名]/realms/[域名称]/protocol/openid-connect/logout \
  -d "client_id=spiff-frontend" \
  -d "client_secret=<客户端密钥>" \
  -d "refresh_token=<刷新令牌>"