我正在尝试使用 Spring 的 Oauth2RestTemplate，但我们需要它在进行 Rest 调用时使用一些超级用户（我们定义了用户），而不是通过最初进行服务调用的用户。

情况是这样的：

userA 调用 endpointA。自然，他有权访问此端点（基于他在 Keycloak 中分配的角色中允许的操作）。 endpointA 然后将使用 OAuth2RestTemplate 对另一个服务 endpointB 进行 Rest 调用。但是，userA 没有访问该端点的权限。这个调用应该以 service-user 的身份进行，在我们的 keycloak 中，他本质上是一个可以做任何事情的超级用户。问题是，OAuth2RestTemplate 保留了进行原始调用 (userA) 的同一用户 - 由于他未被允许访问该端点，因此调用失败（基于我们设置的 RBAC 内容，与Oauth2 安全方面的事情）。

有没有办法使用访问权限有限的 userA 访问端点，并让它触发通过 OAuth2RestTemplate 使用可以访问所有内容的 service-user 进行 REST 调用？注意：该 service-user 的 OAuth2 信息仍然应该像它仍然是 userA 一样被检索（在 keycloak 中查找）。本质上，这只是我们在进行 REST 调用之前更改用户名（嗯……我认为这就是它所需要的）。

注意：我找到了一种暂时通过这个的方法。那是通过在进行 REST 调用之前创建一个新线程。这是有效的，因为 Spring 不再有权访问该新线程中用户的安全上下文，迫使它使用创建 OAuth2RestTemplate 时提供的安全详细信息检索新令牌。这表明另一种解决方案（实际上是首选）是强制 OAuth2RestTemplate 在命中时始终检索新令牌（使用 ResourceDetails，而不是用户令牌的“刷新”），而不是使用存储在 SecurityContextHolder 中的令牌请求的开始。

解决方法

SecurityContextHolder.clearContext()