Ich versuche, eine REST-API mit Schlüsselcloak-Autorisierungsmechanismen zu sichern. Meine API ist in NodeJS mit ausdrücklichen.
Sagen, ich habe diese API:Keycloak: authZ mit nodeJS
http://www.example.com/api/v1/houses
Der Endpunkt unterstützt GET/POST/PUT/DELETE. Ein Haus hat einen Namen und einen Besitzer:
{
name: 'myhouse',
owner: 'smith'
}
Jeder Häuser sehen können. Sie können auch Häuser erstellen und automatisch zum Eigentümer werden. Nur der Besitzer kann ein Haus löschen. Es ist ähnlich wie die photoz example.
Mit Keycloak Connect in Inhaber-only-Modus arbeitet mit NodeJS ausdrücken:
router.get('/houses*', keycloakProtect(), myHandler)
Aber dies stellt nur Authentifizierung, Autorisierung nicht. Im Grunde überprüft es nur, dass Sie das richtige Token bereitgestellt haben. KeycloakProtect bietet einen rudimentären Autorisierungsmechanismus, der nur auf Rollennamen basiert. Allerdings möchte ich die volle Macht der Client-Berechtigungen (mit Ressourcen, Bereichen und Richtlinien) verwenden ... Gibt es dafür NodeJS-Unterstützung? Wenn nein, wie wird die Keycloak-API dafür verwendet?