Prihlásme sa do administrátorskej konzoly Keycloaku ako administrátorky (obvykle konto admin).

Rolu môžeme vytvoriť buď pre celý realm alebo len pre konkrétneho klienta. Skúsme vytvoriť pre našu megabanku z predošlých dielov rolu withdrawer pre človeka, ktorý si dokáže vybrať peniaze.

V bloku Clients na karte Roles vytvorme novú rolu tlačidlom Create Role.

Použime názov roly (withdrawer) a prípadný popis.

Rola je tým vytvorená a môžeme ju pridať používateľovi!

V bočnej lište v sekcii Users kliknime na používateľa harald a pridajme mu rolu.

Na karte Role Mapping priraďme rolu tlačidlom Assign Role.

Uvidíme zoznam rolí — ale keďže ide o zoznam rolí celého realmu a nie klienta, musíme rolu vyhľadať cez textové pole — ale predtým ešte prepnime vo filtri možnosť na Filter by clients.

Vyberme rolu a priraďme ju používateľovi — a to je všetko!

Od Spring Security 6.0 používame anotáciu @EnableMethodSecurity.

Teraz dodáme anotáciu @PreAuthorize, ktorá sa spustí iba ak má používateľ rolu withdrawer nastavenú v Keycloaku. V opačnom prípade získame stavový kód 503 (Forbidden).

Roly realmu sa objavia v tokene JWT na inom mieste, budú schované v claime realm_access v podobe zanoreného JSONu.

Vidíme rolu creditor a niekoľko implicitných systémových rolí.

Aj tieto roly vieme namapovať na roly / autority v Spring Security. Konverter bude vyzerať trochu inak:

Samozrejme, musíme sa rozhodnúť, ktorý konverter použijeme ako bean — či ten, ktorý vyťahuje roly z realmu alebo klienta.

Všetko ostatné sa zachová: automaticky máme k dispozícii roly dostupné v @Secured či @PreAuthorize.