Keycloak 密钥斗篷中UMA策略的否定逻辑

我想通过一个符合UMA的端点来管理Key斗篷中我的资源的策略。因此，我创建了一个资源

配置文件

，其中包含范围

查看用户、邀请用户、编辑用户

然后，我继续使用策略API创建策略

## POST
{
    "name": "can_view_users",
    "logic": "NEGATIVE",
    "decisionStrategy": "AFFIRMATIVE",
    "clients": ["uma_postman"],
    "scopes": ["view_users"],
    "roles": ["uma_postman/lg_admin", "uma_postman/sales", "uma_postman/customer_admin"],
    "users": ["37ae8b1e-f1b0-4e72-b6ac-5ad1e49f89d7", "3627cb69-23ed-474d-abec-8f31b230b730"]
}

我可以查询这个（

GEThttp://localhost:8080/auth/realms/ng_whs/authz/protection/uma-策略

），并且似乎策略创建正确

现在我的理解是，由于决策策略是肯定的&逻辑是否定的，对于上述任何角色-

lg\u admin、sales、customer\u admin

或具有上述ID的用户，我都不应该被允许访问资源

但是，当我以具有上述角色或id的用户身份进行查询时，我仍然不会拒绝访问。

现在，当我将同一政策的逻辑改为积极时，反应仍然是一样的。我是不是遗漏了什么？任何帮助都将不胜感激。：）

---

我是按照这里的指示来的-

对不起。我有一个问题没有回答。如何从Keyclope获得许可证？文档中说要询问资源服务器

curl-xget\http://${host}:${port}/my resource server/resource/1BFDFFE78-a4e1-4c2d-b142-fc92b75b986f

。可以像这样获得权限

HTTP/1.1 401未经授权的WWW-Authenticate:UMA realm=“${realm}”，as_uri=“https://${host}:${port}/auth/realms/${realm}”，ticket=“016f84e8-f9b9-11e0-bd6f-0021cc6004de”

，但是我的案例资源服务器和authz服务器是keydeave。我很抱歉。我有一个问题没有回答。如何从Keyclope获得许可证？文档中说要询问资源服务器

curl-xget\http://${host}:${port}/my resource server/resource/1BFDFFE78-a4e1-4c2d-b142-fc92b75b986f

。可以像这样获得权限

HTTP/1.1 401未经授权的WWW-Authenticate:UMA-realm=“${realm}”，就像_-uri=“https://${host}:${port}/auth/realms/${realm}”，ticket=“016f84e8-f9b9-11e0-bd6f-0021cc6004de”

但是我的案例资源服务器和authz服务器是keydepot。