机密的Rest-Api带权限-总是403s-我做错了什么？

我已经试了好几个小时了，似乎遇到了麻烦。如有任何建议/帮助，将不胜感激。

目标：我想授权express rest api（前客户端id：“我的rest api”）跨映射到客户端范围的各种HTTP方法（示例：“创建”/“读取”/“更新”/“删除”）路由（示例资源：“WeatherForecast”）。我想通过策略控制这些权限（例如，如果满足策略“仅管理组”（用户属于管理组），则将授予“Read-WeatherForecast-Permission”。

Rest api不会让用户登录（将从前端直接与Keyclope对话，然后他们将使用该令牌与Rest api对话）。

环境：

• Keyclope 15.1.1在docker上的自己的容器（端口8080）中本地运行（与rest api共享网络）

发生了什么：我可以通过postman从keycloak登录页面登录并获取访问令牌。但是，当我点击任何使用keycloak.protect（）或keycloak.enforce（）的endpoint（无论是否指定资源权限）时，我都无法通过。在以下代码中，删除endpoint返回200 postman中keycloak登录页面的超文本标记语言，获取返回403“访问拒绝”。

目前的境界

• 测试用户（我在Postman中与他一起登录）有组“Admin”

Nodejs代码的当前状态：

import express from 'express';
import bodyParser from 'body-parser';
import session from "express-session";
import KeycloakConnect from 'keycloak-connect';

const app = express();

app.use(bodyParser.json());

const memoryStore = new session.MemoryStore();
app.use(session({
    secret: 'some secret',
    resave: false,
    saveUninitialized: true,
    store: memoryStore
  }));

const kcConfig: any = { 
    clientId: 'my-rest-api',
    bearerOnly: true,
    serverUrl: 'http://localhost:8080/auth',
    realm: 'my-realm',
};
const keycloak = new KeycloakConnect({ store: memoryStore }, kcConfig);

app.use(keycloak.middleware({
    logout: '/logout',
    admin: '/',
}));

app.get('/api/WeatherForecast', keycloak.enforcer(['WeatherForecast:read'],{  resource_server_id: "my-rest-api"}), function (req, res) {
   res.json("GET worked")
  });

app.delete('/api/WeatherForecast', keycloak.protect(), function (req, res) {
     res.json("DELETE worked")
});

app.listen(8081, () => {
    console.log(`server running on port 8081`);
  });
  

尝试了其他一些方法：

• 我尝试使用从postman获得的令牌调用带有curl的RPTendpoint，并且RPT令牌非常好，看到了预期的权限。
• 我尝试调用keycloak.check权限（{权限：[{id："Weather预测"，作用域：["读取"]}]}, req）。

我真的很想使用keydropage，我觉得我的团队很快就能做到这一点，但需要一些帮助才能通过这一部分。非常感谢。

-------------------结束原始问题------------------------

编辑/更新#1：好吧，所以又花了几个小时。决定阅读它点击和调试的每一行keycloak-connect库。在检查权限的最后一行发现它在keycloak-connect/middleware/auth-utils/grant-manager.js内失败。没有显示错误或捕获块来调试-进一步追踪兔子洞我能够发现它发生在使用超文本传输协议选项的fetch方法中：

'{"protocol":"http:","slashes":true,"auth":null,"host":"localhost:8080","port":"8080","hostname":"localhost","hash":null,"search":null,"query":null,"pathname":"/auth/realms/my-realm/protocol/openid-connect/token","path":"/auth/realms/my-realm/protocol/openid-connect/token","href":"http://localhost:8080/auth/realms/my-realm/protocol/openid-connect/token","headers":{"Content-Type":"application/x-www-form-urlencoded","X-Client":"keycloak-nodejs-connect","Authorization":"Basic YW(etc...)Z2dP","Content-Length":1498},"method":"POST"}'

它似乎没有进入该fetch/http包装器的回调。我在启动命令中添加了NODE\u DEBUG=http，并找到了吞没的错误，看起来我回到了起点：

HTTP 31: SOCKET ERROR: connect ECONNREFUSED 127.0.0.1:8080 Error: connect ECONNREFUSED 127.0.0.1:8080

    at TCPConnectWrap.afterConnect [as oncomplete] (node:net:1157:16)

    at TCPConnectWrap.callbackTrampoline (node:internal/async_hooks:130:17)

然后我看到了一些我认为可能与我的docker网络设置有关的东西（dockerize环境中的Keycloak和Spring Boot Web应用程序），并尝试更改主机名dns，以便我可以使用其他本地主机，但它也不起作用（甚至添加到重定向uri等）。

更新#2：好吧，我拿到了钥匙斗篷。protect（）（纯身份验证）终结点现在正在工作。我通过阅读keybove connect lib代码发现了更多选项，似乎在实例化keybove connect时向keybove config对象添加“realmPublicKey”修复了这个问题。授权密钥斗篷仍然没有成功。强制一侧。

const kcConfig: any = { 
    clientId: 'my-rest-api',
    bearerOnly: true,
    serverUrl: 'http://localhost:8080/auth',
    realm: 'my-realm',
    realmPublicKey : "MIIBIjANBgk (...etc) uQIDAQAB",
};