[Java/IAM] Spring Boot 환경에서 Keycloak 활용하기 -1 : OIDC 인증 흐름 구현(Standard Flow)

해당 글에서는 Spring Boot 환경에서 Keycloak과의 연동을 통하여 OIDC 인증 흐름 구현(Standard Flow) 하는 방법에 대해 알아봅니다.

 

 

 

💡 [참고] Keycloak 초기 구성에서부터 활용방법에 대해 궁금하시면 아래의 글을 참고하시면 도움이 됩니다.

분류	주제	URL
Docker	Docker Compose를 이용한 Keycloak 환경 구성 및 실행 방법	https://adjh54.tistory.com/644
환경설정	Google Cloud Console OAuth 2.0 API 액세스 환경 설정하기	https://adjh54.tistory.com/657
이해하기	Keycloak 이해하기 -1 : 구성 요소, 인증 처리과정, 주요 기능	https://adjh54.tistory.com/645
이해하기	Keycloak 이해하기 -2 : SAML/OIDC 프로토콜, 인증 흐름(Authentication flow) 종류	https://adjh54.tistory.com/646
이해하기	Keycloak 이해하기 -3 : 기본 환경 구성 및 로그인/로그아웃 구현	https://adjh54.tistory.com/647
이해하기	Keycloak 이해하기 -4 : Keycloak 권한 및 종류	https://adjh54.tistory.com/655
구성하기	Spring Boot 환경에서 Keycloak 활용하기 -1 : OIDC 인증 흐름 구현(Standard Flow)	https://adjh54.tistory.com/648
구성하기	Spring Boot 환경에서 Keycloak 활용하기 -2 : OIDC 인증 흐름 구현(Direct Access Grants, Implicit Flow)	https://adjh54.tistory.com/649
구성하기	Spring Boot 환경에서 Keycloak 활용하기 -3 : OIDC 인증 흐름 구현(Service Accounts Roles)	https://adjh54.tistory.com/654
구성하기	Spring Boot 환경에서 Keycloak 활용하기 -4 : Identity providers Social 소셜 로그인 구현(Google)	https://adjh54.tistory.com/658
Github	Spring Boot Keycloak 관련 Repository	https://github.com/adjh54ir/blog-codes/tree/main/spring-boot-keycloakhttps://github.com/adjh54ir/blog-codes/tree/main/spring-boot-keycloak-sub

 

 

1) Keycloak

---

💡 Keycloak

- Red Hat에서 개발한 오픈소스 Identity and Access Management(IAM) 솔루션입니다. 현대적인 애플리케이션과 서비스를 위한 인증 및 권한 부여 기능을 제공하는 인증 서버(Authentication Server)의 기능을 수행합니다.

- Keycloack에서는 여러 플랫폼에서 중앙 집중식 인증 서버로 동작을 합니다. 주요한 기능은 서로 다른 도메인에서 실행되는 애플리케이션 간의 SSO를 지원하거나 REST API 기반에 접근제어 토큰에 대한 인증 제공 및 세션 타임아웃, 동시 로그인 제한과 같은 다양한 세션 기능을 담당합니다.

Keycloak

 

 

2) OIDC(OpenID Connect)

---

💡 OIDC(OpenID Connect)

- OAuth 2.0 프로토콜을 확장하여 만든 사용자 인증을 위한 표준화된 인증(Authentication) 프로토콜입니다.
- 기존 OAuth 2.0은 인가(Authorization)에 중점을 두고 있어 사용자 인증에 대한 표준이 부족했습니다. 이러한 한계를 해결하기 위해 OIDC에서는 OAuth 2.0 위에 '표준화된 인증 계층'을 추가한 프로토콜입니다.

 

 

 

1. OIDC 인증 흐름(OpenID Connect Authentication flow)

---

💡 OIDC 인증 흐름(OpenID Connect Authentication flow)

- OIDC(OpenID Connect) 인증 프로토콜을 이용하여 구현하는 구체적인 인증 방법들을 의미합니다. 즉, 애플리케이션(Client)을 기준으로 OIDC 프로토콜을 통해서 Keycloak과 통신하고 인증하는 방법들을 의미합니다.

- 이러한 OIDC 인증 흐름은 한 가지 방법으로 인증 과정을 수행할 수 있고, 여러 가지 다양한 방법으로 인증과정을 구현할 수 있습니다.

 

2. 인증 흐름(Authentication flow) 종류

---

인증 흐름 종류	설명	사용처
Standard Flow	- OAuth 2.0의 Authorization Code Flow 기반으로 인증을 수행하며, 사용자는 Keycloak 로그인 페이지로 리다이렉트 되어서 인증을 수행하는 인증방식을 의미합니다.	웹 애플리케이션
Direct Access Grants	- 직접 REST API를 통해 자격 증명(아이디/비밀번호)을 담아서 통신하며 별도의 리다이렉션 없이 즉시 토큰을 받을 수 있는 인증방식을 의미합니다.	신뢰할 수 있는 애플리케이션(모바일 애플리케이션, 백엔드 시스템에서 직접 인증이 필요한 경우)
Implicit Flow	- 간소화된 인증흐름으로 인가 코드(Auth Code) 없이 직접 액세스 토큰을 받아서 인증을 수행하는 방식을 의미합니다.	모바일 앱, 단일 페이지 애플리케이션(SPA)
Service Accounts Roles	- 애플리케이션 시스템 간에 인증 기반의 통신을 위한 방법으로, 클라이언트 자체적으로 API를 호출하여 다른 서비스와의 통신을 할 때 사용하는 인증방식입니다.	마이크로서비스 간 통신(서버-서버간 통신), 자동화된 프로세스
OAuth 2.0 Device Authorization Grant	- 스마트 TV나 IoT 기기와 같이 제한된 입력 기능을 가진 디바이스를 위한 인증 방식입니다.	스마트 TV 애플리케이션, IoT 디바이스, 게임 콘솔, 프린터 및 스캐너
OIDC CIBA Grant	- 클라이언트가 사용자의 직접적인 상호작용 없이 인증을 시작하는 인증 방식입니다.- 사용자가 인증을 요청한 디바이스와 실제 인증을 수행하는 디바이스가 물리적으로 분리된 방식입니다.	금융 서비스, 공유 디바이스, 스마트홈 시스템

 

 

 

3) 사전 작업

---

💡 사전 작업

- Keycloak의 구현 방식을 구현하고자 할때, 기본적으로 Keyclaok 인증 서버와 Realm, Client, User에 대한 구성을 진행합니다.

 

 

1. Keycloak 인증 서버 구축

---

💡 Keycloak 인증 서버 구축

- Spring Boot App 내에서 접근이 가능한 Keycloak 인증 서버 구축은 Docker를 기반으로 컨테이너로 구성하였습니다.
- 아래의 글을 참고하시면 이를 확인할 수 있습니다.

[Docker] Docker Compose를 이용한 Keycloak 환경 구성 및 실행 방법

 

 

2. Keycloak 기본 구성요소 구축

---

💡 Keycloak 기본 구성요소 구축

- Keycloak 인증서버에 관리자 계정으로 접근하여서 기본적인 Realm, Client, User 구성을 수행합니다.
- 아래의 글을 참고하시면 이를 확인할 수 있습니다.

[OpenSource] Keycloak 이해하기 -3 : 기본 환경 구성 및 로그인/로그아웃 구현

 

4) Standard flow 처리 과정 및 사전 구성, HTTP 호출

---

💡 Standard flow 처리 과정 및 사전 구성, HTTP 호출

- OAuth 2.0의 Authorization Code Flow를 기반으로 하는 가장 일반적이고 안전한 인증 방식을 의미하며, 주로 웹 애플리케이션에서 주로 사용되는 방식입니다.
- 해당 방식은 OAuth 2.0을 기반으로 하여 동작 방식은 비슷하지만, OIDC(OpenID Connect) 프로토콜이 추가되어서 인증(Authentication) 기능이 강화되었습니다.

 

1. 처리 과정

---

💡 처리 과정

1. 로그인 (Login)
- 사용자가 클라이언트 애플리케이션에서 로그인을 시도하는 단계입니다.
- 예를 들어서, 사용자는 로그인 페이지를 클릭하는 단계입니다.

2. 인증 요청 생성(Generate authentication request)
- 클라이언트가 client_id, redirect_uri, scope 등의 필요한 파라미터를 포함한 인증 요청을 생성합니다.

3. Keycloak으로 리다이렉트(Redirect to Keycloak)
- 클라이언트가 사용자를 Keycloak의 인증 엔드포인트로 리다이렉트 시킵니다.

4. Keycloak으로 인증 요청 전송 (Send authentication request to Keycloak)
- 생성된 인증 요청이 Keycloak 서버로 전송됩니다.
- 해당 단계에서는 실제 Keycloak에서 구성한 로그인 페이지가 사용자에게 표시되는 단계입니다.

5. 사용자 인증(Authenticate user)
- 사용자가 Keycloak의 로그인 페이지에서 자신의 자격 증명을 입력하여 인증을 수행합니다.
- 해당 단계에서 사용자는 keycloak에서 구성한 로그인 페이지로 자격 증명(아이디/패스워드)을 입력하여 로그인을 수행하는 단계입니다.

6. 인가 코드 반환(Return authorization code)
- 인증이 성공적으로 완료되면, Keycloak은 인가 코드를 생성하여 클라이언트의 리다이렉트 URI로 전송합니다.
- 해당 단계에서는 로그인이 성공하고, 인가코드(AuthCode)를 발급받습니다.

7. Keycloak으로 토큰 요청 전송(Send token request to Keycloak)

- 클라이언트는 받은 인가 코드를 사용하여 Keycloak의 토큰 엔드포인트에 액세스 토큰을 요청합니다.
- 해당 단계에서는 이전 단계에서 발급받은 인가코드(AuthCode)를 기반으로 Access Token을 요청하며, 최종적으로 사용자에게 반환이 됩니다.

 

💡 [참고] 상세한 처리 과정은 아래의 글을 참고하시면 도움이 됩니다.

[OpenSource] Keycloak 이해하기 -2 : SAML/OIDC 프로토콜, 인증 흐름(Authentication flow) 종류

 

 

2. 사전 Client 구성

---

💡 사전 Client 구성

- Realm 선택 > Clients 탭 > Client 선택 > Settings 탭 > Access settings 메뉴 중에서 Valid redirect URL로 리다이렉트 될 URL을 지정합니다.
- 해당 설정은 사용자에게 Keycloak 로그인 페이지를 제공하고, 로그인에 성공하였을 때 지정한 Valid redirect URIs를 통해 리턴되어서 결과 값을 반환받는 형태로 사용이 됩니다.

 

 

 

3. HTTP 호출 : 인가 코드(Authentication Code) 발급

---

💡 HTTP 호출 : 인가 코드(Authentication Code) 발급

- 형식에 맞는 URL을 접근하여서 Keycloak 로그인을 수행하고 redirect_url을 통해서 인증 코드(Authentication Code)를 반환하는 방법을 확인해 봅니다.

 

 

3.1. 주요 Keycloak 호출 엔드포인트

---

엔드포인트 이름	URL	HTTP Method	설명
인증 코드 발급	/realms/{realm-name}/protocol/openid-connect/auth	GET	인증 코드를 발급받기 위한 엔드포인트
토큰 발급	/realms/{realm-name}/protocol/openid-connect/token	POST	액세스 토큰, 리프레시 토큰을 발급받는 엔드포인트

 

Secure applications and services with OpenID Connect - Keycloak

 

 

 

3.2. 로그인 화면 출력

---

💡 로그인 화면 출력

- 직접 Keyclaok에 주요 파라미터를 포함하여서 호출하였습니다.

http://localhost:9001/realms/dev-realm/protocol/openid-connect/auth?client_id=spring-boot-app&response_type=code&redirect_uri=http://localhost:8080/api/v1/keycloak/callback

 

 

 💡 redirect_uri 부분에 대해서는 code라는 값을 받아서 리턴하도록 구성하였습니다.

@Slf4j
@RestController
@RequestMapping("/api/v1/keycloak")
public class KeycloakController {

    private final AuthFlowService authFlowService;

    public KeycloakController(AuthFlowService authFlowService) {
        this.authFlowService = authFlowService;
    }

    /**
     * Keycloak 로그인 성공 이후 정보 수신 리다이렉트 URL
     *
     * @param code
     * @param state
     * @param session_state
     * @param error
     * @param error_description
     * @return
     */
    @GetMapping("/callback")
    public ResponseEntity<Object> loginCallback(
            @RequestParam(required = false) String code,
            @RequestParam(required = false) String state,
            @RequestParam(required = false) String session_state,
            @RequestParam(required = false) String error,
            @RequestParam(required = false) String error_description
    ) {

        log.debug("code :: {}", code);
        log.debug("state :: {}", state);
        log.debug("session_state :: {}", session_state);
        log.debug("error :: {}", error);
        log.debug("error_description :: {}", error_description);

        return new ResponseEntity<>(code, HttpStatus.OK);
    }
  }

 

 

3.3. 로그인 성공

---

💡 로그인 성공

- 로그인 성공 시 redirect_url을 통해서 인가 코드(Authentication code)가 발급이 되었습니다.

 

 

4. HTTP 호출 : 접근 토큰(Access Token) 발급

---

 

4.1. 주요 Keycloak 호출 엔드포인트

---

엔드포인트 이름	URL	HTTP Method	설명
인증 코드 발급	/realms/{realm-name}/protocol/openid-connect/auth	GET	인증 코드를 발급받기 위한 엔드포인트
토큰 발급	/realms/{realm-name}/protocol/openid-connect/token	POST	액세스 토큰, 리프레시 토큰을 발급받는 엔드포인트

 

 

4.2. 발급받은 인가코드를 기반으로 접근 토큰 발급

---

 💡 발급받은 인가코드를 기반으로 접근 토큰 발급

- 위에서 발급받은 인가코드를 기반으로 토큰 발급 엔드포인트로 호출을 하는 경우 아래와 같이 접근 토큰이 발급됨을 확인하였습니다. 해당 키값을 기반으로 리소스에 접근하고 이를 활용할 수 있습니다.

 

 

 

 

5) Spring Boot 처리 과정 -1 : 인증 코드(Authentication Code) 발급

---

💡 Spring Boot 처리 과정 -1 : 인증 코드(Authentication Code) 발급

- 로그인 페이지를 제공하고, 로그인을 성공하면 인증 토큰을 발급받습니다. 이를 통해, 다음 단계에서 접근 토큰(Access Token)을 발급 받습니다.

 

1. StandardFlowDto

---

💡 StandardFlowDto

- Standard Flow 방식에서 필요한 파라미터를 구성한 DTO입니다.
- 해당 데이터를 기반으로 로그인 페이지 출력에 필요한 데이터를 구성합니다.

package com.blog.springbootkeycloak.dto;

import lombok.AccessLevel;
import lombok.Builder;
import lombok.Getter;
import lombok.NoArgsConstructor;

/**
 * Auth Flow 중 Standard Flow 방식 데이터 구성
 *
 * @author : jonghoon
 * @fileName : StandardFlowDto
 * @since : 25. 1. 28.
 */
@Getter
@NoArgsConstructor(access = AccessLevel.PROTECTED)
public class StandardFlowDto {
    private String response_type;
    private String client_id;
    private String redirect_uri;
    private String scope;
    private String state;

    @Builder
    public StandardFlowDto(String response_type, String client_id, String redirect_uri, String scope, String state) {
        this.response_type = response_type;
        this.client_id = client_id;
        this.redirect_uri = redirect_uri;
        this.scope = scope;
        this.state = state;
    }
}

 

 

2. AuthFlowController

---

💡 AuthFlowController

- /api/v1/keycloak/authFlow 메인 엔드포인트를 구성하였고, 하위에 /standardFlow를 구성하였습니다.
- 사용자는 해당 엔드포인트에 RequestParam을 제공하여서 로그인 페이지를 출력합니다.

// 로그인 페이지 호출 엔드포인트
http://localhost:9001/realms/dev-realm/protocol/openid-connect/auth?client_id=spring-boot-app&response_type=code&redirect_uri=http://localhost:8080/api/v1/keycloak/callback

package com.blog.springbootkeycloak.controller;

import com.blog.springbootkeycloak.dto.DirectAccessTokenDto;
import com.blog.springbootkeycloak.dto.StandardFlowDto;
import com.blog.springbootkeycloak.service.AuthFlowService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;

/**
 * OIDC 인증 플로우 구성
 *
 * @author : jonghoon
 * @fileName : AuthFlowController
 * @since : 25. 1. 28.
 */
@Slf4j
@RestController
@RequestMapping("/api/v1/keycloak/authFlow")
public class AuthFlowController {

    private final AuthFlowService authFlowService;

    public AuthFlowController(AuthFlowService authFlowService) {
        this.authFlowService = authFlowService;
    }

    /**
     * Standard Flow : 로그인 페이지 출력 및 로그인
     *
     * @param response_type
     * @param client_id
     * @param redirect_uri
     * @param scope
     * @param state
     * @return
     */
    @GetMapping("/standardFlow")
    public ResponseEntity<Object> getStandardFlow(
            @RequestParam String response_type,
            @RequestParam String client_id,
            @RequestParam String redirect_uri,
            @RequestParam(required = false) String scope,
            @RequestParam(required = false) String state
    ) {
        StandardFlowDto standardFlowDto = StandardFlowDto.builder()
                .response_type(response_type)
                .client_id(client_id)
                .redirect_uri(redirect_uri)
                .scope(scope)
                .state(state)
                .build();
        try {
            String authorizationUrl = authFlowService.getStandardFlowLoginView(standardFlowDto);
            return new ResponseEntity<>(authorizationUrl, HttpStatus.OK);
        } catch (Exception e) {
            log.error("Standard flow failed", e);
            return new ResponseEntity<>(e.getMessage(), HttpStatus.INTERNAL_SERVER_ERROR);
        }
    }

}

 

 

3. AuthFlowService

---

💡 AuthFlowService

- Spring Boot Cloud OpenFeign 방식을 통해서 Keycloak 서버가 통신을 하여서 값을 반환해 옵니다.

- http://localhost:9001/realms/dev-realm//protocol/openid-connect/auth 엔드포인트로 “application/x-www-form-urlencoded" 데이터 형태로 전달합니다.
- 해당 서비스 호출을 최종적으로 HTML 페이지가 출력이 됩니다.

package com.blog.springbootkeycloak.service;

import com.blog.springbootkeycloak.dto.DirectAccessTokenDto;
import com.blog.springbootkeycloak.dto.StandardFlowDto;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.http.MediaType;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.ModelAttribute;
import org.springframework.web.bind.annotation.PostMapping;

/**
 * Keycloak 서버와 통신하여서 데이터를 수신합니다.
 *
 * @author : jonghoon
 * @fileName : AuthFlowService
 * @since : 25. 1. 28.
 */
@FeignClient(
        name = "keycloak-auth-service",
        url = "<http://localhost:9001/realms/dev-realm>"
)
public interface AuthFlowService {

    /**
     * Standard Flow : 로그인 페이지 출력 이후 로그인 성공 시 리다이렉트 경로로 데이터 리턴
     *
     * @param standardFlowDto 전송 객체 값 (form 데이터 형태로 전송)
     * @return 토큰 값 반환
     */
    @GetMapping(
            value = "/protocol/openid-connect/auth",
            consumes = MediaType.APPLICATION_FORM_URLENCODED_VALUE
    )
    String getStandardFlowLoginView(@ModelAttribute StandardFlowDto standardFlowDto);
}

 

 

4. KeycloakController

---

💡 KeycloakController

- 위에 엔드포인트를 통해서 로그인 페이지가 출력하고, requestParam 내에 redirect_uri을 입력한 부분이 아래의 엔드포인트입니다.
- 이는 로그인을 성공하였을 경우 리다이렉트 되어서 값을 전달받은 엔드포인트를 구성합니다.
- 최종적으로, 로그인이 성공되면 아래와 같이 인증 코드(Authentication Code)를 발급 받습니다.추후 해당 값을 기반으로 접근 토큰(Access Toekn)을 클라이언트에게 반환해줄 수 있습니다.

package com.blog.springbootkeycloak.controller;

import lombok.extern.slf4j.Slf4j;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;

/**
 * Keycloak에서 공통 데이터를 관리합니다.
 *
 * @author : jonghoon
 * @fileName : KeycloakController
 * @since : 25. 1. 25.
 */
@Slf4j
@RestController
@RequestMapping("/api/v1/keycloak")
public class KeycloakController {

    /**
     * Keycloak 로그인 성공 이후 정보 수신 리다이렉트 URL
     *
     * @param code
     * @param state
     * @param session_state
     * @param error
     * @param error_description
     * @return
     */
    @GetMapping("/callback")
    public ResponseEntity<String> loginCallback(
            @RequestParam(required = false) String code,
            @RequestParam(required = false) String state,
            @RequestParam(required = false) String session_state,
            @RequestParam(required = false) String error,
            @RequestParam(required = false) String error_description
    ) {
        log.debug("code :: {}", code);
        log.debug("state :: {}", state);
        log.debug("session_state :: {}", session_state);
        log.debug("error :: {}", error);
        log.debug("error_description :: {}", error_description);

        return new ResponseEntity<>(code, HttpStatus.OK);
    }
}

 

 

5. 결과 확인 : 브라우저 로그인 출력

---

💡 결과 확인

- 구성한 엔드포인트로 브라우저에 접근을 하면 아래와 같이 로그인 페이지가 출력됨을 확인하였습니다.

 

 

6. 결과 확인 : 로그인 성공 이후 인증 코드(Autentication Code) 발급 확인

---

 💡 결과 확인 : 로그인 성공 이후 인증 토큰(Autentication Code) 발급 확인

- 로그인에 성공하면 아래와 같이 리다이렉트 URL을 통해 반환되는 code라는 인증 코드(Autentication Code)을 발급받았습니다.

 

 

6) Spring Boot 처리 과정 -2 : 접근 토큰(Access Token) 발급

---

 

💡 Spring Boot 처리 과정 -2 : 접근 토큰(Access Token) 발급

- 위에 과정에서 발급된 인증 코드(Authentication Code)를 기반으로 Keycloak 서버와 한 번 더 통신하여서 리소스에 접근이 가능한 접근 토큰(Access Token)을 발급받습니다.

1. KeycloakController

---

 💡 KeycloakController

- 위에서 callback 엔드포인트 API 내에 추가적으로 getAccessToken() 메서드를 호출하여 Keycloak 통신을 통해서 Access Token을 발급받아서 리턴해주도록 수정하였습니다.

package com.blog.springbootkeycloak.controller;

import com.blog.springbootkeycloak.dto.DirectAccessTokenDto;
import com.blog.springbootkeycloak.dto.TokenResponseDto;
import com.blog.springbootkeycloak.service.AuthFlowService;
import lombok.extern.slf4j.Slf4j;
import org.bouncycastle.pqc.jcajce.provider.sphincsplus.SignatureSpi;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;

/**
 * Keycloak에서 공통 데이터를 관리합니다.
 *
 * @author : jonghoon
 * @fileName : KeycloakController
 * @since : 25. 1. 25.
 */
@Slf4j
@RestController
@RequestMapping("/api/v1/keycloak")
public class KeycloakController {

    private final AuthFlowService authFlowService;

    public KeycloakController(AuthFlowService authFlowService) {
        this.authFlowService = authFlowService;
    }

    /**
     * Keycloak 로그인 성공 이후 정보 수신 리다이렉트 URL
     *
     * @param code
     * @param state
     * @param session_state
     * @param error
     * @param error_description
     * @return
     */
    @GetMapping("/callback")
    public ResponseEntity<Object> loginCallback(
            @RequestParam(required = false) String code,
            @RequestParam(required = false) String state,
            @RequestParam(required = false) String session_state,
            @RequestParam(required = false) String error,
            @RequestParam(required = false) String error_description
    ) {

        log.debug("code :: {}", code);
        log.debug("state :: {}", state);
        log.debug("session_state :: {}", session_state);
        log.debug("error :: {}", error);
        log.debug("error_description :: {}", error_description);

        DirectAccessTokenDto directAccessTokenDto = DirectAccessTokenDto.builder()
                .grant_type("authorization_code")
                .client_id("spring-boot-app")
                .client_secret("oDq9fBBGRbpkCsZP3dhsS84TBfyjJk1h")
                .code(code)
                .redirect_uri("<http://localhost:8080/api/v1/keycloak/callback>")
                .build();

        Object result = authFlowService.getAccessToken(directAccessTokenDto);

        return new ResponseEntity<>(result, HttpStatus.OK);
    }

}

 

 

2. TokenRequestDto

---

💡 TokenRequestDto

- Token 요청을 위해 필요한 데이터를 구성하였습니다.

package com.blog.springbootkeycloak.dto;

import lombok.AccessLevel;
import lombok.Builder;
import lombok.Getter;
import lombok.NoArgsConstructor;

/**
 * Access Token을 발급받기 위해 필요한 데이터
 *
 * @author : jonghoon
 * @fileName : TokenRequestDto
 * @since : 25. 1. 25.
 */
@Getter
@NoArgsConstructor(access = AccessLevel.PROTECTED)
public class TokenRequestDto {

    private String code;
    private String grant_type;
    private String client_id;
    private String client_secret;
    private String username;
    private String password;
    private String redirect_uri;

    @Builder
    public TokenRequestDto(String code, String grant_type, String client_id, String client_secret, String username, String password, String redirect_uri) {
        this.code = code;
        this.grant_type = grant_type;
        this.client_id = client_id;
        this.client_secret = client_secret;
        this.username = username;
        this.password = password;
        this.redirect_uri = redirect_uri;
    }
}

 

 

 

3. AuthFlowService

---

💡 AuthFlowService

- 추가적으로 토큰 발급을 위한 Keyclaok 엔드포인트 /protocol/openid-connect/token에 대해 요청을 하여서 결괏값을 반환받습니다.

package com.blog.springbootkeycloak.service;

import com.blog.springbootkeycloak.dto.TokenRequestDto;
import com.blog.springbootkeycloak.dto.StandardFlowDto;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.http.MediaType;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.ModelAttribute;
import org.springframework.web.bind.annotation.PostMapping;

/**
 * Keycloak 서버와 통신하여서 데이터를 수신합니다.
 *
 * @author : jonghoon
 * @fileName : AuthFlowService
 * @since : 25. 1. 28.
 */
@FeignClient(
        name = "keycloak-auth-service",
        url = "<http://localhost:9001/realms/dev-realm>"
)
public interface AuthFlowService {

    /**
     * Direct Access Flow : 토큰을 즉시 요청하는 방법
     *
     * @param tokenRequestDto 전송 객체 값 (form 데이터 형태로 전송)
     * @return 토큰 값 반환
     */
    @PostMapping(
            value = "/protocol/openid-connect/token",
            consumes = MediaType.APPLICATION_FORM_URLENCODED_VALUE
    )
    Object getAccessToken(@ModelAttribute TokenRequestDto tokenRequestDto);

    /**
     * Standard Flow : 로그인 페이지 출력 이후 로그인 성공 시 리다이렉트 경로로 데이터 리턴
     *
     * @param standardFlowDto 전송 객체 값 (form 데이터 형태로 전송)
     * @return 토큰 값 반환
     */
    @GetMapping(
            value = "/protocol/openid-connect/auth",
            consumes = MediaType.APPLICATION_FORM_URLENCODED_VALUE
    )
    String getStandardFlowLoginView(@ModelAttribute StandardFlowDto standardFlowDto);
}

 

 

4. 결과 확인 : 브라우저 로그인 출력

---

💡 결과 확인 : 브라우저 로그인 출력

- 이전 수행과정을 다시 수행하여서 로그인 > Auth Code > Access Token 발급과정에 대해 알아봅니다.

 

 

 

5. 결과 확인 : 로그인 성공 이후 접근 토큰(Access Token) 발급

---

 💡 결과 확인 : 로그인 성공 이후 접근 토큰(Access Token) 발급

- 로그인을 성공하게 되면 인증 토큰(auth token)을 기반으로 서버 내에서 keycloak과 통신하여서 accessToken을 발급해 줍니다.
- Direct Access Grants에서는 직접 자격증명을 수행하지만, Standard flow에서는 로그인 수행 → auth token 발급 → access token을 발급해 주는 과정을 통해 보안이 강화가 됩니다.

 

 

오늘도 감사합니다 😀