一、修复列表资源的curl命令错误 #

你碰到的RESTEASY003210错误核心原因是API路径不对——Keycloak的资源列表接口必须指定资源服务器ID（也就是你的客户端ID），正确的路径格式应该是：

http://$URL/auth/realms/$REALM/authz/resource-server/$CLIENT_ID/resource

修正后的完整curl命令：

curl -X GET \
  http://$URL/auth/realms/$REALM/authz/resource-server/$CLIENT_ID/resource \
  -H 'Authorization: Bearer $ADMIN_TOKEN' \
  -H 'cache-control: no-cache'

注意：这个接口需要具备管理员权限的token（或者拥有manage-resources权限的账户），用普通用户token会返回权限不足的错误。

二、两种获取资源的方式 #

1. 获取客户端下的所有资源（管理员视角） #

如果要拿到该客户端的全部资源，需要先获取管理员的access token：

curl -X POST \
  http://$URL/auth/realms/$REALM/protocol/openid-connect/token \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'username=admin&password=你的管理员密码&grant_type=password&client_id=admin-cli'

拿到token后替换到之前的GET请求中，就能获取该客户端下的所有资源了。

2. 获取当前用户有权限访问的资源（用户视角） #

你提供的PHP代码其实是用**UMA（User-Managed Access）**机制，获取当前用户被授权访问的资源子集，这个逻辑是没问题的，但需要注意两个点：

• 这个方式返回的不是所有资源，只是当前用户有访问权限的资源
• 确保你的客户端已经在Keycloak控制台开启了Authorization Enabled（客户端设置里的授权开关）

如果要优化这段代码，可以补充对$info['authorization']的存在性判断，避免数组索引不存在的报错。

三、创建新资源的方法 #

要创建资源，同样使用管理API，请求方法改为POST，路径和列表资源一致（不需要资源ID），示例curl命令：

curl -X POST \
  http://$URL/auth/realms/$REALM/authz/resource-server/$CLIENT_ID/resource \
  -H 'Authorization: Bearer $ADMIN_TOKEN' \
  -H 'Content-Type: application/json' \
  -d '{
    "name": "new-demo-resource",
    "displayName": "我的测试资源",
    "type": "urn:my-app:resources:custom",
    "scopes": ["view", "edit", "delete"],
    "ownerManagedAccess": true
  }'

请求体参数说明：

• name：资源的唯一标识，不可重复
• displayName：资源的友好显示名称
• type：自定义的资源类型，用于归类资源
• scopes：该资源支持的权限范围，比如查看、编辑等
• ownerManagedAccess：是否允许资源所有者自行管理权限

如果要在PHP中实现创建逻辑，可以参考你现有的curl代码，调整请求方法为POST，修改URL并构造对应的JSON请求体即可。

内容的提问来源于stack exchange，提问作者Viktor Peshevski