使用OIDC和KeyCloak从SecurityIdentity获取字段issuedFor

OIDC（OpenID Connect）是一种基于OAuth 2.0协议的身份验证和授权协议，用于在客户端和身份提供者之间进行安全的身份验证和用户信息交换。它通过使用JSON Web Tokens（JWT）来传输和验证用户身份信息。

KeyCloak是一个开源的身份和访问管理解决方案，它实现了OIDC协议，并提供了一套完整的身份验证和授权功能。通过KeyCloak，开发人员可以轻松地集成OIDC身份验证流程到他们的应用程序中。

从SecurityIdentity获取字段issuedFor意味着获取SecurityIdentity对象中的issuedFor字段。在OIDC中，issuedFor字段表示授权服务器（身份提供者）为哪个客户端（应用程序）颁发了令牌。

以下是完善且全面的答案：

概念： OIDC（OpenID Connect）是一种基于OAuth 2.0协议的身份验证和授权协议，用于在客户端和身份提供者之间进行安全的身份验证和用户信息交换。

分类： OIDC是一种开放标准的身份验证协议，属于云计算和IT互联网领域的安全认证和授权技术。

优势：

安全性：OIDC使用JWT来传输和验证用户身份信息，JWT具有数字签名和加密功能，确保用户信息的安全性。
可扩展性：OIDC是基于OAuth 2.0协议的扩展，可以与现有的OAuth 2.0授权流程无缝集成。
用户体验：OIDC提供了单点登录（SSO）功能，用户只需一次登录即可访问多个应用程序，提高了用户的使用便利性。

应用场景： OIDC广泛应用于各种需要身份验证和授权的应用程序，包括Web应用程序、移动应用程序和API服务。

推荐的腾讯云相关产品和产品介绍链接地址：腾讯云提供了一系列与身份验证和授权相关的产品和服务，包括腾讯云身份认证服务（CAM）和腾讯云API网关。

腾讯云身份认证服务（CAM）：CAM是腾讯云提供的一种身份和访问管理服务，可以帮助用户管理和控制访问其云资源的用户和权限。CAM支持OIDC协议，可以与KeyCloak等身份提供者集成，实现安全的身份验证和授权。

腾讯云API网关：API网关是腾讯云提供的一种API管理和安全服务，可以帮助用户管理和保护其API接口。API网关支持OIDC协议，可以与KeyCloak等身份提供者集成，实现对API的安全访问控制和身份验证。

腾讯云身份认证服务（CAM）产品介绍链接：https://cloud.tencent.com/product/cam 腾讯云API网关产品介绍链接：https://cloud.tencent.com/product/apigateway

相关·内容

（译）Kubernetes 单点登录详解

Kubernetes 中的 Keycloak 和 OpenLDAP 完成了 Keycloak 和 OpenLDAP 的部署之后，可以进行进一步的配置，把两个系统连接起来，让 Keycloak 使用 OpenLDAP...如果我们在 Keycloak 中移除用户（或者从特定组中移除用户），对应用户就会失去权限。我们会使用 OpenID Connect。官网文档中介绍了这一特性的原理。...文档，configData 字段配置使用基于 Keycloak 的 Token 认证。...接下来我们会定制 Ingress 内容和 TLS 证书。必须在安装完成之后使用 Web UI 或者 API 配置 OIDC。...而密码不应该使用 Keycloak 的密码，而是从 Harbor 获取，在用户页面右上角选择 User Profile，在其中拷贝 CLI 密码。

5.9K5 0

在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证

5 部署 Keycloak 服务器 Kubernetes 要求使用的 OpenID Connect 认证服务必须是 HTTPS 加密的，运行以下脚本生成 Keycloak 服务器的私钥和证书签名请求，并使用...--oidc-client-id：客户端 ID。 --oidc-username：从 JWT Claim 中获取用户名的字段。...现在我们已经完成了 Keycloak 和 Kubernetes 的设置，接下来我们尝试获取身份验证令牌，需要提供以下参数： grant_type：获取令牌的方式。...当运行 kubectl 命令时，kubelogin 会打开浏览器，用户需要输入用户名和密码登录程序，认证通过后，kubelogin 会从认证服务器获取一个令牌，然后 kubectl 就可以使用该令牌和...设置完毕后，使用 kubectl 命令访问时，浏览器会自动弹出 Keycloak 认证页面，输入用户名和密码后就可以正常访问相应的资源了。

6.2K2 0

使用keycloak实现k8s用户权限的统一管理

keycloak 介绍 keycloak 现代应用程序和服务的开源身份和访问管理以最小的麻烦为应用程序和安全服务添加身份验证。无需处理存储用户或认证用户。开箱即用。...以docker方式运行keycloak 和k8s交互要求必须启用https,我们使用docker启动没有配置证书，需要启动PROXY_ADDRESS_FORWARDING，然后通过NGINX配置证书，从而与...tls.crt和tls.key的文件挂载到/etc/x509/https，同时给api-server添加 --oidc-ca-file=path/ca.pem 配置nginx代理keycloak...配置k8s启动oidc认证使用kubeadm安装k8s集群,kubeadmconfig配置如下 apiVersion: kubeadm.k8s.io/v1beta2 bootstrapTokens:...此时查看kubeconfig发现oidc用户的refresh-token及id-token已经被配置如果不使用kubelogin等工具也可以直接通过curl获取token信息 curl -k 'https

3.6K2 0

深度解读-如何用keycloak管理external auth

文章目录初探`OAuth` 初始化`oidc client` 生成 auth url auth callback 换取 token 使用 keycloak IDP keycloak 配置 keycloak...keycloak IDP keycloak 配置上边流程怎么让 keycloak 这个身份和访问管理系统接管呢，答案是使用keycloak IDP (Identity provider) 我们先看下需要如何配置相应配置...auth 接入上边keycloak配置了realm，后边授权和token获取都会和这个realm下的issueUrl打交道，这里issueUrl就类似google的auth server 地址。...才可使用(详见keycloak docker-composer配置 ) // 启用idp获取refresh token resource "keycloak_oidc_google_identity_provider...好了，keycloak如何管理external auth到这里就结束了。以上是我在使用keycloak的一些摸索和思考，欢迎大家一起探讨。

5163 0

使用 KeyCloak 对 Kubernetes 进行统一用户管理

准备工作首先我们需要有一个 Identity Provider 来统一管理 K8s 中的用户，并且提供 OIDC 协议服务，本文采用了 KeyCloak 作为 Identity Provider。...KeyCloak 中的配置要想实现用户管理，我们需要利用 K8s 中 group 的概念，来对一组用户分配权限，这需要利用 OIDC 协议中的 Claim 概念，来实现 K8s 中用户的分组。...ID Token 和 Refresh Token 的生成方式有很多种，其中最简单的方式是使用 curl 进行 Password Grant 方式的身份认证，从而获取想要的 ID Token 和 Refresh...: https://github.com/making/k8s-keycloak-oidc-helper kuberos: https://github.com/negz/kuberos k8s-oidc-helper...总结本文仅仅通过 KeyCloak 和 kubectl 向大家介绍了 K8s 中如何进行用户管理，相应地，如果自己的用户中心实现 OIDC 协议，并且客户端通过 ID Token 以 "bearer

2.8K2 0

在wildfly中使用SAML协议连接keycloak

还有一种场景就是client想去访问远程服务的资源，这种情况下client可以先从keycloak中获取到access token，然后使用这个access token去远程服务中请求资源。...还有一种场景就是client想去访问远程服务的资源，这种情况下client可以先从keycloak中获取到SAML assertion，然后使用这个SAML assertion去远程服务中请求资源。...所以总结起来，一般情况下是推荐是用OIDC的，因为它比较简单和多平台支持性更强。使用SAML的场景主要考虑的是SAML的成熟性，或者说公司中已经在使用了SAML了。...SP收到这个引用之后，可以从后台再去查询真实的SAML assertion，从而提高了安全性。在keycloak中使用SAML 接下来，我们看下怎么在keycloak中配置使用SAML协议。...准备wildfy和应用程序我们从wildfly官网下载wildfly应用程序之后，还需要到keycloak中下载wildfly Client Adapters。

2.1K3 1

Keycloak简单几步实现对Spring Boot应用的权限控制

首先我们需要在这些开放平台上注册一个客户端以获取一套类似用户名和密码的凭证。有的叫appid和secret；有的叫clientid和secret，都是一个意思。...下图不仅仅清晰地说明了keycloak中Masterrealm和自定义realm的关系，还说明了在一个realm中用户和客户端的关系。 ?...获取和刷新JWT 我们可以通过下面这个方式获取用户登录的JWT对: POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1...OIDC认证授权登录走的是基于OIDC(OAuth 2.0的增强版)的认证授权模式。只有你正确填写了用户名和密码才能得到/foo/bar的正确响应。...不过看了这一篇文章后你会有不少疑问，这是因为你不太了解OIDC协议。这个协议非常重要，大厂都在使用这个协议。下一篇会针对这个协议来给你补补课。本文的DEMO已经上传到Git

2.1K5 0

Kubernetes 中用 Sidecar 为应用添加 Oauth 功能

这里我们就使用 Sidecar 方式，将 Keycloak 集成到 httpbin 服务上去，为没有认证的 httpbin 服务添加认证功能。...在 Kubernetes 上部署 Keycloak 服务，对其进行初始化，建立用户和认证系统，然后将 Keycloak-Proxy 和 Httpbin 集成在同一个 Pod 中进行部署运行，测试集成效果...Keycloak 服务的初始化 Keycloak 支持多种数据库存储，这里为了方便，就直接使用内置的 H2 数据库了。...打开Installation标签，选择Keycloak OIDC JSON，并拷贝显示出来的 JSON 代码，其中的部分内容可能不一致。...Keycloak OIDC JSON的输出。

1.9K3 0

开源认证和访问控制的利器keycloak使用简介

简介 keycloak是一个开源的进行身份认证和访问控制的软件。是由Red Hat基金会开发的，我们可以使用keycloak方便的向应用程序和安全服务添加身份认证，非常的方便。...我从WildFly的官网下载最新版本的WildFly，然后解压备用。因为keycloak和WildFly都是在同一台机子上面启用。所以默认情况下端口都是一样的8080。...选择keycloak OIDC JSON,点击Download，下载keycloak.json文件。...然后选择Keycloak OIDC JBoss Subsystem XML，点击下载，下载keycloak-oidc-subsystem.xml文件。接下来，我们需要修改WildFly配置信息。...我们使用之前创建的用户名和密码登录看看。 ? 登录成功。总结上面的例子我们演示了如何配置keycloak，并且创建一个realm供第三方程序使用。还举了一个无侵入的例子来和keycloak对接。

5.8K2 2

OAuth 2.0只是授权协议，OIDC才是认证授权协议

上一文我们对Keycloak保护Spring Boot应用进行了实操。让大家见识到了Keycloak的强大。为了掌握Keycloak就必须对OpenID Connect（OIDC）协议进行了解。...从用户角度来看，可以同时享受照片云储存、云打印服务是非常具有吸引力的。所以开放一些功能给第三方是非常划算的。客户端授权接入虽然开放授权的好处很多，但是也不能没有规则。...有的第三方只能获取用户信息；有的第三方可以调用云打印。方便后续收费恰饭。调用这些服务必须征求照片的实际拥有者（资源拥有者）同意，这是一个法律问题。获取用户的信息和资源必须征得用户同意才行。...授权流程用户登录了照片打印平台，发现居然还提供从XX相册存储服务拉取照片打印的功能。便兴冲冲地尝试了一下。...它和OAuth 2.0的关系是这样的： interface OIDC extends OAuth2{ boolean authentication () } 也就是说OIDC 在OAuth 2.0

7644 0

Keycloak vs MaxKey，开源单点登录框架如何选择？

主要功能：所有应用系统共享一个身份认证系统所有应用系统能够识别和提取ticket信息协议用户中心系统作为服务端，肯定是要跟客户端进行对接来授权&获取用户信息的。...OIDC 在所有（没有几乎）语言、框架中均有提供，所有的用户系统也都支持，因此这是一个非常广泛使用的协议。我们平时常见的微信授权登录、QQ 授权登录、Github 登录无一不采用此认证方式。...一个基于 xml 的在不同安全域间进行交换认证和授权数据的协议，是很经典的一个授权协议。因此在大部分的用户系统中，都会有 SAML 协议的支持。不过国内使用的还是偏少，OIDC 的出现抢了它的风头。...相对于 CAS，Keycloak 没有那么多的协议的支持，认证协议支持 OIDC 和 SAML，将 LDAP 和 Kerberos 作为用户存储协议集成。...，Keycloak和MaxKey除了用户登录和相关协议的实现，更重要的是实现用户生命周期的管理，基于角色用户的访问控制，各有各的优势，具体怎么去选择还需要看具体情况。

4.5K5 1

Spring Boot 3.1 中如何整合Spring Security和Keycloak

其中包括Spring Security和Spring Boot的适配器，这意味着今后Keycloak团队将不再提供针对Spring Security和Spring Boot的集成方案。...但是，如此强大的Keycloak，还要用怎么办呢？本文就来聊聊，在最新的Spring Boot 3.1版本之下，如何将Keycloak和Spring Security一起跑起来。...尝试请求/test/hello接口：当不包含Authorization头信息的时候，将返回401错误当包含Authorization头信息（前文用调接口获取的Access Token）的时候，才能正确访问到...小结虽然Keycloak 团队宣布了不再对Spring Security提供适配，但Spring Security长期以来一直为OAuth和OIDC提供强大的内置支持。...所以，只要我们理解Spring Security是如何处理OAuth和OIDC的，那么与Keyloak的集成依然不复杂。

8294 0

aspnetcore 应用接入Keycloak快速上手指南

本文将简明的介绍Keycloak的安装、使用，并给出aspnetcore 应用如何快速接入Keycloak的示例。...安装Keycloak Keycloak安装有多种方式，这里使用Docker进行快速安装登录后复制 docker run -d --name keycloak \ -p 8080:8080 \...事实上，Keycloak目前的访问类型共有3种： confidential：适用于服务端应用，且需要浏览器登录以及需要通过密钥获取access token的场景。...绑定用户和角色给geffzhang 用户分配角色admin和user ?...aspnetcore 应用集成Keycloak简明指南添加 Microsoft.AspNetCore.Authentication.OpenIdConnect 和 Microsoft.AspNetCore.Identity

2.4K3 0

一个接口是如何在Keycloak和Spring Security之间执行的

这里需要大家明白的是所谓的用户和base_user角色目前都由Keycloak平台管理，而我们的应用目前只能控制资源的访问策略。...其它情况就跳一个OIDC认证授权请求。...认证授权成功就从Session中重新获取/admin/foo接口并跳转。整个简单的Keycloak认证授权过程就完成了。...补充其实要想搞清楚任何一个框架的运行流程，最好的办法就是从日志打印中提炼一些关键点。Keycloak Spring Security Adapter的运行流程如果你想搞清楚，最好是自己先试一试。...Keycloak的流程简单了解一下就好，感觉非常平淡无奇，大部分也没有定制化的需要，个人觉得重心其实不在这里，如何根据业务定制Keycloak的用户管理、角色管理等一系列管理API才是使用好它的关键。

1.9K2 0

使用 Excel和 Python从互联网获取数据

本节通过Python编写测试用Web应用程序，然后使用Excel和Python从编写的Web网站上获取数据。...HTTP资源请求类从Resource类继承，然后映射到不同的路由，同时指定可使用HTTP方法。...Python可以使用 requests 库、Beautiful Soup包、Scrapy框架调用Web API获取数据。...get方法获取网页数据 import pandas as pd frame= pd.read_json(strhtml.text) #使用Pandas包中的read_json函数 print(frame...需要注意Excel从互联网抓取数据的功能并不完善。

3.9K2 0

开源网关 Apache APISIX 认证鉴权精细化实战讲解

从以上两点可以看出在 API 网关层面鉴别和验证 API 消费者的身份至关重要。...例如，我们可以使用 openid-connect 插件对接任意支持 OIDC 协议的认证服务，下面是一段对接到 Keycloak 服务的样例配置： curl http://127.0.0.1:9180/...如果无法获取或者获取到的 Key 是不合法的，那么该请求将会被网关直接拒绝，从而保护上游服务。...OIDC OpenID 是一个去中心化的网上身份认证系统。对于支持 OpenID 的网站，用户不需要记住像用户名和密码这样的传统验证标记。...针对 OIDC，APISIX 提供了 openid-connect 插件，可以用于对接支持了 OIDC 协议的认证服务。

2.1K2 0

这个安全平台结合Spring Security逆天了，我准备研究一下

并且Keycloak为登录、注册、用户管理提供了可视化管理界面，你可以借助于该界面来配置符合你需要的安全策略和进行用户管理。...而且还可以登录界面可配置的GUI管理功能强大 Keycloak实现了业内常见的认证授权协议和通用的安全技术，主要有：浏览器应用程序的单点登录（SSO）。 OIDC认证授权。...身份代理 - 使用外部 OpenID Connect 或 SAML 身份提供商进行身份验证。第三方登录。用户联盟 - 从 LDAP 和 Active Directory 服务器同步用户。...适配Spring Security 这个框架对Spring Security和Spring Boot做了适配，非常适合使用了这两种体系的迁移扩展。这也是我选择它的重要原因之一。...如果你对Keycloak进行了详细的研究和实践，基本上能够搞定一些大中型的应用安全体系构建，既有诱惑也有挑战。

1.6K1 0

OAuth2 服务器Keycloak中的Realm

前几篇我和大家一起对Keycloak进行了粗略的了解。...我们可以这么定义一个名称为felord.cn的Realm，来管理该应用的角色、资源、和客户端，客户端开发可以专注于业务。...整个Keycloak就像一个开放平台一样，集中式管理Realm的生命周期，这些Realm之间可以在OIDC协议下互联互通。...这个是Keycloak内建的Realm，它的作用有点类似Linux中的root用户，主要是管理其它的Realm，Master Realm中的管理员账户有权查看和管理在Keycloak服务器实例上创建的任何其它...使用Master用户管理我们在Master Realm中建立一个用户，并在其角色映射中剥夺admin和create-realm角色，同时在Client Roles中选中felord.cn-realm

1.7K6 0

Harbor制品仓库的访问控制（1）

授权码方式指第三方应用先获取一个授权码，然后使用该授权码换取令牌。这是最常见的流程，安全性也最高，适合同时具有前端和后端的应用，授权码被传递给前端，令牌则被存储在后端。...客户端凭证方式适用于应用的客户端获取令牌，使用的是应用的客户端ID和密码，与用户的凭证无关，适合客户端调用第三方的API服务。...Harbor 可以与支持 OIDC 的 OAuth 服务提供商集成来进行用户认证，并通过授权码方式获取令牌，其流程如图所示，步骤如下。...（4）Harbor 将与 OIDC 提供商交换此授权代码以获得访问令牌。（5）Harbor 使用访问令牌请求 UserInfo 接口获取用户信息。...下面是一些支持 OIDC 的 OAuth 服务提供商： ◎Apple ◎GitLab ◎Google ◎Google App Engine ◎Keycloak ◎Microsoft（Hotmail、Windows

1.7K3 0

使用 Bash 脚本从 SAR 报告中获取 CPU 和内存使用情况

大多数 Linux 管理员使用 SAR 报告监控系统性能，因为它会收集一周的性能数据。但是，你可以通过更改 /etc/sysconfig/sysstat 文件轻松地将其延长到四周。...脚本 1：从 SAR 报告中获取平均 CPU 利用率的 Bash 脚本该 bash 脚本从每个数据文件中收集 CPU 平均值并将其显示在一个页面上。...SAR 报告中获取平均内存利用率的 Bash 脚本该 bash 脚本从每个数据文件中收集内存平均值并将其显示在一个页面上。...SAR 报告中获取 CPU 和内存平均利用率的 Bash 脚本该 bash 脚本从每个数据文件中收集 CPU 和内存平均值并将其显示在一个页面上。...它在同一位置同时显示两者（CPU 和内存）平均值，而不是其他数据。 # vi /opt/scripts/sar-cpu-mem-avg.sh#!

1.9K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云