17.1遠程資源授權準備

17.1.1認證和訪問流程圖

參考：

17.1.2為用戶指定角色

可以使用ROLE_USER和ROLE_ADMIN 兩種角色

17.1.3添加認證服務和資源服務

17.1.4配置客戶端的認證權限

17.1.5資源服務器打開遠程授權

Policy Enforcement Mode：指(zhi)定授權服務(wu)器接(jie)受(shou)到請求時策(ce)略如何執行

• Enforcing：當資源沒有配置關聯的策略時，請求默認被拒絕訪問，這也是默認的選項
• Permissive：當資源沒有配置關聯的策略時，請求允許訪問，但也需要先登錄，否則拒絕訪問
• Disabled：禁用所有資源的所有訪問策略

Decision Strategy：表示權(quan)限(xian)最(zui)終是(shi)如何(he)計算的策略，以決定相應的資源(yuan)是(shi)否(fou)能(neng)獲(huo)得授(shou)權(quan)

• Affirmative ：至少一個權限計算做出正向決定
• Unanimous：所有的權限計算都要做出正向決定

17.1.6配置資源客戶端的uma_protection角色

這一步非常重要，如果沒有配置，遠程授權會是403
這個參考資料：

17.1.7資源和權限及策略關系圖

17.2對資源授權的步驟

17.2.1建立資源

17.2.2建立策略

17.2.3建立權限

一個權限用關聯一個資源和多個策略

遠程授權配置

keycloak:
  auth-server-url: //localhost:8080/auth
  realm: myrealm
  resource: resource-server
  credentials:
    secret: 0da76edf-e2df-49a9-a336-6b9bc35afa7e
  
  policy-enforcer-config:
    enforcement-mode: Enforcing #Permissive遠程沒有配置就放行；Enforcing遠程沒有配置直接403
  security-constraints:
    - auth-roles:
        - "*"
      security-collections:
        - name:
          patterns:
            - /*

注意(yi)：在(zai)keycloak管理平臺配置了uma之后，咱們的應用程序需要重啟才(cai)能生效