Прикручиваем авторизацию на основе KeyCloak к веб-приложению

[ultrinfaern]

Официально все адаптеры keycloak уже не поддерживаются: adapter deprecation

[prusakovdv]

Да, вы абсолютно правы! Действительно в этом месяце разработчики KeyCloak официально объявили адаптер deprecated. К сожалению, статья написала чуть раньше, поэтому этот момент не учтен. Буду иметь в виду, и, думаю полезно будет дополнить статью - миграцией с Spring Boot Adapter на Spring Security

[briarheart]

Спасибо за статью!

Полученные от KeyCloak access_token и refresh_token будем хранить в localStorage.

Не самый лучший вариант в плане безопасности, как мне кажется. Насколько я знаю, на данный момент у браузеров нет способа сохранить что-то ценное, не опасаясь, что эту ценность стащат злые хакеры. Я бы предпочёл отдавать на фронт только access_token. Keycloak может устанавливать сессию с клиентом и в её рамках фоново обновлять этот access_token до того, как он протухнет. Кажется удобным, хоть и требует некоторой возни на стороне фронта.

[try1975]

То что вы описали в статье называется аутентификация (https://ru.wikipedia.org/wiki/Аутентификация), авторизация (https://ru.wikipedia.org/wiki/Авторизация) с помощью keycloak тоже возможна, она сложнее реализуется (https://www.keycloak.org/docs/latest/authorization_services/index.html)