我有一个后端API受Keycloak保护的SPA。我希望允许SPA用户以编程方式对API执行操作,而不仅仅是通过SPA。通常,应用程序允许用户“创建API密钥”并对API执行操作。使用Keycloak时,推荐的方法是什么?我当前的计划是在公共客户端上启用直接访问授权(资源所有者密码凭据授权),并指示SPA用户检索访问令牌,执行以下操作:
curl -u public-client:
浏览 20提问于2019-07-27得票数 1
1回答
我的设置有三个组件:
前端将使用Keycloak让用户登录并使用访问令牌对后端的请求进行身份验证。现在,我希望第三方应用程序能够针对后端发出经过身份验证的请求,我想知道如何使用Keycloak实现这一点?我的想法是为每个客户颁发一套新的凭证。然后,他们的应用程序与Keyc
浏览 3提问于2018-09-07得票数 48
2回答
我正在使用keycloak为应用程序进行身份验证。我希望从keycloak生成的JWT令牌中删除领域访问。
拥有领域访问(角色)离子JWT令牌是一种糟糕的实践吗?是否有一种方法可以从keycloak服务生成的JWT令牌中删除领域访问?
浏览 1提问于2019-08-30得票数 1
我正在尝试为使用Keycloak进行授权的API编写测试。
我可以使用grant_type password以编程方式从测试脚本登录到keycloak,然后keycloak使用令牌进行响应。当应用编程接口尝试使用Keycloak userinfo端点验证该令牌时,我得到了一个403 Token Authorization Error。如果我通过web客户端手动登录
浏览 18提问于2021-05-14得票数 0
1回答
管理密钥披风和rest上的用户权限的最佳实践是什么?
我们正在用spring实现一个rest,它将被移动应用程序和SPA使用。我们的用户帐户,权限,规则…所有数据都存储在不同的单片应用程序使用的自定义数据库中。为了保护我们的api,我们决定使用Keycloak。现在,我们必须按以下方式管理用户权限:
客户端应用程序应该知道用户显示/隐
浏览 1提问于2018-06-04得票数 4
回答已采纳
1回答
当我使用keycloak来处理身份验证并使用它发出的令牌来保护我的API时,Keycloak提供了一种支持个人访问令牌的方法吗?当我的应用程序使用web浏览器时,通过OIDC流登录可以很好,但是如何处理从CLI或无头API脚本登录到我的应用程序呢?这正是Github提供个人访问令牌的<
浏览 2提问于2020-05-13得票数 4
我已经创建了一个令牌,并在调用rest services.But时传递它,响应时我得到了未经授权的访问错误。
import org.keycloak.adapters.springboot.KeycloakSpringBootConfigResolver;
import org.keycloak.adapters.springsecurity.KeycloakSecurityComponen
浏览 0提问于2019-07-22得票数 0
1回答
我有一个spring REST API,它是由spring安全性和Keycloak保护的,我正在使用keycloak测试容器进行集成测试。在测试大多数API时,我可以向keycloak添加一个用户,并获得一个可以使用的令牌。问题是,如果我有一个使用@Secured注释的API来限制它对具有特定角色的用户的访问,
浏览 5提问于2022-09-20得票数 3
后端服务器有一个端点,它在pinging时提供JSON响应,并受到Apigee代理的保护。目前,此端点没有安全性,我们希望为所有发出请求的客户端实现Bearer令牌身份验证。向API发出请求的所有客户端都将发送授权比勒和Apigee中的JWT令牌,用于验证JWT令牌。
如何使用Keycloak来生成这个JWT令牌?另外,需要一个的公钥-- JWT
浏览 0提问于2019-02-26得票数 44
回答已采纳
我正在努力实现oauth2,以保护将调用REST的web应用程序,并允许其他潜在客户端访问相同的rest。我想使用基于角色的访问来控制从API返回的数据。我正在努力理解/最佳实践,我应该在哪里存储用户所属的组列表。SPA和/或REST服务可以检索和传递的访问令牌还是ID令牌中的数据必须使用访问令牌和useri
浏览 2提问于2021-01-29得票数 3
回答已采纳
我正面临着一个间歇性的问题。如果用户触发飞行前API调用,而Keycloak的令牌在该调用和实际API调用之间过期,则预飞调用将返回200,但真正的API调用将返回401 (因为令牌现在已过期)。事件的流动实质上是:
飞行前请求返回,GET呼叫用旧的</em
浏览 0提问于2017-11-07得票数 0
回答已采纳
2回答
我正在尝试验证(并从JWT令牌读取角色)。遗憾的是,由于我的整体应用程序架构,我无法使用任何适配器或自动配置。像任何其他JWT令牌一样解码令牌是没有问题的,但是我想知道是否有来自Keycloak的库来存档这个目标。(例如,只需将令牌解析为类似于KeycloakJWTToken的东西,并通过从密钥隐藏服务器获取秘密来验证它)
有什么容易使用的客户吗?
浏览 5提问于2021-05-12得票数 1
2回答
假设我们有一个使用Keycloak身份验证机制的多模块应用程序。我们希望通过自定义预定义的领域设置尽可能多地自动化Keycloak的安装过程。我们希望在安装过程中避免使用Keycloak API来配置领域设置。
有没有什么已知的最佳实践可以使用某种模板根据预定义的配置值自动创建Keycloak模式?
浏览 7提问于2018-01-09得票数 2
在运行于域上的单页面应用程序(SPA)上,对域/graphql的调用被重新路由到后端。前端和后端都通过Keycloak Gatekeeper实例进行保护。其想法是前端和后端共享kc-access令牌。
现在,访问令牌在后端网守中过期。如果在浏览器中刷新了SPA,则前端将重新路由到Keycloak,并且需要新的访问令牌。但是如果没有刷新,则当令牌过期时,向域/graphql发出的P
浏览 229提问于2019-10-22得票数 1
回答已采纳
1回答
我需要一些帮助才能理解我的问题。My场景:我的服务将使用来自公共客户端和外部的API网关公开。通过验证OAuth2协议,我意识到OAuth2协议只提供了从第三方应用程序访问的
浏览 0提问于2020-02-12得票数 1
1回答
让网站用户访问api瓶
、、、、
api使用加密签名令牌。api由移动应用程序(例如ios)使用。这些应用程序调用/api/login并在网站上发布与您预期相同的用户名和密码。然后,api返回一个令牌,应用程序存储该令牌并在将来使用该令牌进行身份验证。令牌是使用它的危险库生成的。具体来说,它是使用<
浏览 3提问于2015-02-25得票数 0
回答已采纳
我是第一次使用Keycloak。使用Postman或CURL,我可以生成令牌,然后使用它访问入口点/api。如果我尝试在没有令牌的情况下连接到/api,则访问被拒绝-到目前为止一切正常。我在Keycloak admin中更改了mydemoapp-api的访问类型为“仅限持有者”。然后我使用这个令牌来访问端点&
浏览 6提问于2021-06-23得票数 0
1回答
技术细节:Java版本: 1.8Keycloak Spring启动启动器我有一个Spring Boot应用程序,内部工作人员可以使用它的官方之后我尝试了Keycloak Rest API的impersonate函数,API在头中返回了一些Cookies不幸的是我似乎不知道如何使用这些cookies,但我尝试创建这些cookies并设
浏览 4提问于2021-07-30得票数 2
1回答
我正在使用vert.x-openAPI模块,并且我的petstore.yaml具有如下安全性: /pets/{petId}: summary: Info for a specificpet security:
- ApiKeyAuth: [] 这是使用JWT Auth Handler的服务器端(垂直部分) operationId的相关部分(我将在代码中省略JWT Au
浏览 29提问于2021-05-02得票数 0
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
