如何在react SPA中验证从keycloak中检索到的nodejs express api的访问令牌?
在React SPA中验证从Keycloak中检索到的Node.js Express API的访问令牌,可以按照以下步骤进行:
- 配置Keycloak:首先,确保已经正确配置了Keycloak,并且已经创建了相应的Realm、Client和用户。确保已经获取到Keycloak的Realm URL、Client ID和Client Secret。
- 安装相关依赖:在React项目中,使用npm或yarn安装以下依赖:
keycloak-js:用于在前端进行Keycloak认证和访问令牌的获取。axios:用于发送HTTP请求到Node.js Express API。
- 在React中集成Keycloak:在React的入口文件(通常是
index.js)中,使用keycloak-js库初始化Keycloak实例,并进行认证和访问令牌的获取。示例代码如下:
import Keycloak from 'keycloak-js';
const keycloak = Keycloak({
url: 'YOUR_KEYCLOAK_REALM_URL',
realm: 'YOUR_KEYCLOAK_REALM',
clientId: 'YOUR_KEYCLOAK_CLIENT_ID',
});
keycloak.init({ onLoad: 'login-required' }).then((authenticated) => {
if (authenticated) {
// 认证成功,获取访问令牌
const token = keycloak.token;
// 将令牌保存到本地,以便后续使用
localStorage.setItem('accessToken', token);
// 启动React应用
ReactDOM.render(<App />, document.getElementById('root'));
}
});- 在Node.js Express API中验证访问令牌:在Node.js Express API的路由中,使用中间件来验证从React SPA发送的访问令牌。首先,安装以下依赖:
express-jwt:用于验证JWT令牌。jwks-rsa:用于获取公钥以验证JWT签名。
然后,创建一个中间件来验证访问令牌,并将其应用于需要进行身份验证的路由。示例代码如下:
const jwt = require('express-jwt');
const jwksRsa = require('jwks-rsa');
// 验证访问令牌的中间件
const checkJwt = jwt({
// 从环境变量中获取Keycloak的Realm URL
secret: jwksRsa.expressJwtSecret({
cache: true,
rateLimit: true,
jwksRequestsPerMinute: 5,
jwksUri: 'YOUR_KEYCLOAK_REALM_URL/.well-known/jwks.json',
}),
// 验证令牌的配置
audience: 'YOUR_KEYCLOAK_CLIENT_ID',
issuer: 'YOUR_KEYCLOAK_REALM_URL',
algorithms: ['RS256'],
});
// 应用于需要进行身份验证的路由
app.get('/api/protected', checkJwt, (req, res) => {
// 在这里处理受保护的API逻辑
});这样,当React SPA发送请求到Node.js Express API的受保护路由时,中间件将验证访问令牌的有效性。
以上是在React SPA中验证从Keycloak中检索到的Node.js Express API的访问令牌的基本步骤。根据具体需求,你可以进一步优化和扩展这些步骤,例如处理令牌的刷新和过期、错误处理等。关于腾讯云相关产品和产品介绍的链接地址,可以参考腾讯云官方文档或咨询腾讯云的技术支持。
相关·内容
我在react SPA中收到了来自keycloak的访问令牌,但不知道如何在nodejs express后端API中使用相同的令牌来验证这是否是有效令牌。 这里我漏掉了什么?
浏览 44提问于2021-09-29得票数 0
2回答
我正在尝试使用Keycloak作为外部身份提供者在React-Redux应用程序上实现SSO。其目的是,如果用户未通过身份验证,则重定向到IdP的登录页面,并且在身份验证成功后,使用access_token访问另一个REST API微服务上的受保护资源。
我尝试使用Keycloak的NodeJS适配器(),它可以将我重定向到用于登录的IdP,我可以获得access_token,但这一切都发生在express-session中,并使用MemoryStore。我想知道这样行不行?在快速存储中保存JWTs,并在进行API调用时从存储中检索它们?
或者我是否应该尝试在Redux的存储中保存身份验证状态
浏览 1提问于2017-07-03得票数 1
回答已采纳
我正在努力实现oauth2,以保护将调用REST的web应用程序,并允许其他潜在客户端访问相同的rest。我想使用基于角色的访问来控制从API返回的数据。
我将使用Keycloak作为授权服务器,以及用于用户/组管理。
用例是
我将使用公共客户端(SPA)和机密(可能只有承载客户端) (REST )以及将成为这些组的一部分的组和用户创建keycloak领域。
用户将通过授权流登录到SPA,并将收到访问令牌。
SPA将向REST服务发出请求(XHR),将令牌作为承载令牌传递,并根据用户所在的组检索数据或执行允许的操作。
我正在努力理解/最佳实践,我应该在哪里存储用户所属的组列
浏览 2提问于2021-01-29得票数 3
回答已采纳
对于nodejs +类型记录项目,我有一个带有一些用户的Keycloak领域作为IdP。
我目前有这两次会议,如它所示:
如果我按下“全部注销”,它们就会从这里消失,但它们仍然有效。
示例:
1) I create a new session. I get its JWT token as a response
2) I do a GET req on one of the protected routes with the token attached. It works.
4) I logout all sessions by pressing the button in that
浏览 13提问于2022-02-28得票数 0
回答已采纳
var loadData = function () {
var url = 'http://localhost:3000/users';
var req = new XMLHttpRequest();
req.open('GET', url, true);
req.setRequestHeader('Accept', 'application/json');
req.setRequestHeader('Authorization', 'Bearer ' + keycloak.token);
浏览 1提问于2017-02-22得票数 4
回答已采纳
我有一个后端API受Keycloak保护的SPA。我希望允许SPA用户以编程方式对API执行操作,而不仅仅是通过SPA。通常,应用程序允许用户“创建API密钥”并对API执行操作。
使用Keycloak时,推荐的方法是什么?
我当前的计划是在公共客户端上启用直接访问授权(资源所有者密码凭据授权),并指示SPA用户检索访问令牌,执行以下操作:
curl -u public-client: -X POST \
https://keycloak.url/auth/realms/REALM/protocol/openid-connect/token \
-d 'grant_type=p
浏览 20提问于2019-07-27得票数 1
1回答
我的客户端应用程序是使用REACT-REDUX构建的SPA,后端API是带有express框架的nodejs。
问题是在我的客户端应用程序中,人们可以在不登录的情况下访问信息,所以如何在不实际登录到服务器API的情况下对客户端应用程序进行身份验证。
我尝试使用Auth0,但对于单页web应用程序,身份验证仅通过登录完成,有一个机器到机器的选项,但这不适合我的情况,因为我的客户端应用程序是静态的web应用程序,没有服务器来保存客户端id。
浏览 0提问于2019-02-21得票数 0
尝试使用Keycloak作为SSO运行在minikube上的Kubernetes集群中,以验证演示nodejs应用程序:
var express = require('express');
var session = require('express-session');
var Keycloak = require('keycloak-connect');
var cors = require('cors');
var app = express();
app.use(cors());
const memoryStore =
浏览 9提问于2021-03-13得票数 1
回答已采纳
2回答
禁用密钥披风中的刷新令牌
、、、
我们有一个角SPA,这是由OIDC授权使用隐式流。我们使用Keycloak作为授权服务器。访问令牌的寿命很短,并且通过隐藏的iframe定期刷新。
在阅读了授权代码流+ PKCE是新推荐的SPA授权方式之后,我们决定切换流。一切正常,但是每次调用令牌-端点时,Keycloak都会给我们一个刷新令牌(以及访问和ID-令牌)。由于没有存储刷新令牌的安全方法,我们希望继续使用隐藏的iframe方法刷新访问令牌。
是否有一种方法可以禁用密钥披风中的刷新令牌?还是我们遗漏了什么?在SPA中存储刷新令牌可以吗?
浏览 2提问于2020-05-15得票数 8
回答已采纳
React SPA将注册详细信息(包括用户名和密码)发送到后端。除此之外,后端还通过REST管理API创建一个keycloak用户。 然后,用户仍然需要转到keycloak登录页面进行身份验证。是否可以跳过此步骤,通过API在注册时自动登录用户? 我想如果后端可以获得令牌并将其发送到SPA。但我不知道在这种情况下如何初始化keycloak-js。
浏览 44提问于2020-10-19得票数 2
我试图保护一个react.js水疗应用程序与adal登录和认证与.net核心wepApi。
我能够从react调用的azure中获取JWT (使用react模块)并检索基本的用户信息。
现在joy开始使用,因为大多数mvc示例都是基于mvc方法的,它们有一个密码可以在webconfig文件中签名令牌,这对于前端应用程序是不可访问的。
那么,我如何使用密码签署JWT令牌,而不将其推送到SPA应用程序,因为它可以在web控制台中读取?
我的想法之一是在SPA中启动登录,然后使用webapi端点作为重定向链接(并在state字段中提供连接id ),然后通过ajax,我可以在SPA上进行重定向,但是J
浏览 2提问于2018-05-29得票数 1
1回答
React-redux客户端令牌
、、、、
我正在构建一个React-redux spa,并且我正在使用一个构建在node + express + jwt-simplea模块和passport.js之上的API。
当用户使用用户名/密码登录时,服务器将验证这些凭据,并向客户端发送回一个JSON web令牌,然后客户端必须将该令牌与每个API请求一起发送。所以React-redux应用程序必须存储这个令牌。
如何在React-redux应用程序中安全地存储此客户端令牌?我必须遵循哪些计划来使用web令牌,以及如何最好地使用react-redux在客户端实现用户身份验证。
感谢您的帮助)
浏览 0提问于2016-04-18得票数 11
2回答
我有一个由react-client (前端)、express server (后端)和keycloak组成的应用程序。出于开发目的,我在docker-container中运行keycloak并公开其相应的端口(8080);前端和后端在我的机器上本地运行。它们连接到前面提到的端口上的keycloak。后端服务于一些REST端点,这些端点由keycloak保护。一切都很好。
然而,当我试图通过将后端放在容器中并使用docker-compose (前端仍然在我的本地机器上运行)来将我的应用程序容器化以用于生产目的时,后端拒绝了来自前端的所有请求,尽管这些请求附加了一个有效的令牌。我猜问题是后端无法连
浏览 4提问于2021-01-29得票数 1
1回答
在用户通过oidc流进行了正确的身份验证之后,我很难找到一个很好的用户授权解决方案。让我们假设以下设置:
一个角度的SPA与几个微服务相互作用。
需要注意的是,这些微服务支持多租户,这取决于外部调用的url (customer1.myapp.com),请求是在特定的租户(比如tenantId=42)中完成的。这作为筛选器应用于所有数据库请求。此外,租户id对微服务是不透明的。在此确定之后,正在处理的请求不能脱离其租户。
一项服务负责维持某种形式的组织结构,如属于团体的雇员。让我们称它为主数据服务。
其他人可能会根据组的成员身份授权访问资源。
身份验证由Keycloak完成(社会身份提供者就位)
浏览 0提问于2021-05-08得票数 0
回答已采纳
2回答
我们正在开发一种新的角度SPA,它利用OpenID连接(OIDC)来利用密钥披风的SSO能力。该应用程序目前的设计是使用隐式流通过keycloak适配器检索短暂的访问令牌。
但是,最近,我在ietf邮件列表中看到一些电子邮件,指出由于访问令牌显示在浏览器历史记录和/或日志文件中的安全问题(如果存在任何SSL终止/检查/等等),应该优先使用Auth代码流。
我理解在日志文件中任何地方都会出现AT的安全性问题。但是,我不理解Auth代码流如何被认为是更安全的,或者为什么它应该被优先于隐式流。在browser/SPA中使用Refresh令牌不是比在日志文件中拥有一个短暂的AT更高的安全风险吗?
今天
浏览 0提问于2018-09-18得票数 11
用户试图通过反向代理访问浏览器中的/hello url。
"500错误:不能在只承载模式下交换授予代码“
在访问受保护的url时,用户在Keycloak登录页面上成功登录后会弹出错误。
在反向代理中使用以下代码:
var Keycloak = require('keycloak-connect');
var session = require('express-session');
var memoryStore = new session.MemoryStore();
let keycloak = new Keycloak(memorySto
浏览 0提问于2018-09-27得票数 3
回答已采纳
我有一个SPA应用程序,它使用MSAL从AAD获取令牌。因为MSAL与v2端点一起工作,而且由于v2端点目前不支持为自定义api发出令牌,所以我将ID令牌传递给api,并将我的api本质上视为相同的应用程序。(虽然这有点难闻,但它确实有效--至少在Nodejs中是这样的)。
SPA应用程序
let idToken = Msal.Storage('localStorage').getItem(Msal.Constants.idTokenKey);
this.http.configure(config => {
config.withBaseUrl("http
浏览 5提问于2017-10-20得票数 2
回答已采纳
我正在与人类用户和物联网设备一起在Keycloak中实现一个认证系统。
人类用户:通过spa访问系统,并使用标准的基于重定向的身份验证流程。
IOT设备:用例涉及许多高价值的设备,这些设备不具有交互性,需要将遥测传输到后端并访问自己的数据以及来自相关用户的数据。我的当前计划是使用资源所有者密码凭据授予,因为嵌入式系统可以在配置期间使用凭据设置。
我的想法是,这将使我能够使用Keycloak组和角色进行权限管理和用户<->设备关联。
这种方法有什么内在的问题吗?
浏览 6提问于2021-02-23得票数 5
回答已采纳
1回答
我有一个web应用程序,登录到keycloak服务器,并从keycloak服务器获得JWT令牌。
它将触发和api,并且为了完成请求,它将转到多个微服务。我想验证这些微服务上的keycloak JWT令牌,而不必每次都联系keycloak服务器。
这些微服务是用nodejs编写的
浏览 10提问于2017-02-18得票数 0
嗨,我正在使用Keycloak,我想知道获得用户角色的最好方法是什么。我使用的是用ReactJS编写的SPA,它需要知道用户的角色。有没有一个Keycloak API来实现这个功能?或者我应该从JWT令牌中获取它。无论哪种方式,我应该选择什么。谢谢。
浏览 37提问于2019-10-07得票数 6
回答已采纳
2回答
我尝试向.net Core2.1应用程序添加身份验证。从头开始:我们可以使用VS模板通过react创建新的web应用程序。 在这个tempate中,我们可以看到: app.UseSpa(spa =>
{
spa.Options.SourcePath = "ClientApp";
spa.ApplicationBuilder.UseAuthentication();
if (env.IsDevelopment())
{
spa.UseReactDevelopmentServer(npmScript: "start
浏览 46提问于2019-05-29得票数 2
回答已采纳
2回答
如何实现OpenID连接有很多例子。在节点代码授予(+客户端密码)。关于如何使用PKCE实现OpenID in React (SPA)代码授予,有很多示例。
即使我知道PKCE是相当安全的,但是我觉得只在客户端进行身份验证很糟糕。每个React都有后端(至少应该托管在某个地方)。
我希望在Node (Express)中有服务器端来安全地保存客户端密码,并使用Identity server进行所有繁重的工作,并对前端进行响应。
正如我已经说过的,有许多用于身份验证的“带有模板引擎的Node (Express)”示例。但我想用React作为“模板引擎”。
因此,我正在寻找它的充分和正确的执行。与此
浏览 0提问于2020-07-17得票数 3
回答已采纳
2回答
我试图在nodejs、中使用csurf。我的电脑冲浪现在很好,但是我想再检查一下我是否做得对。
以下是我的nodejs路由器和中间件结构:
app.use(cookieParser());
app.use("/api/...") // routes that don't need csrf
app.use("/form/...",csrf({cookie:true})) // form path with csrf middleware
app.use(express.static("/img")) // image folder
浏览 0提问于2019-09-23得票数 0
1回答
我们有一个使用Vue3的前端应用程序和一个使用nodejs+express的后端。
我们正在尝试这样做,因此一旦前端应用程序被keycloak授权,它就可以将一个承载令牌传递到后端(在相同的领域中,这个令牌也受到keycloak的保护),以进行API调用。
有人能建议我们该怎么做吗?
以下是我们正在尝试和看到的结果。
抛回的错误只是‘访问拒绝’,没有其他细节运行调试器,我们看到在GrantManager.validateToken函数中抛出了一个“无效令牌(错误的受众)”错误(不幸的是,这个错误不会出现)。
前端使用了,它利用了。
后端使用。它的端点基于REST。
在webap
浏览 18提问于2021-12-13得票数 1
我正在实现一个Nodejs后端API,其中一些需要在访问之前进行身份验证。为此,我选择keycloak服务器作为身份服务器。我使用npm密钥披风连接库来集成节点服务器和密钥披风服务器.现在认证工作还不错。
问题是当我使用'‘这个API从keycloak服务器上登出时。keycloak服务器说令牌不再有效。但是,当我使用相同的same访问Node服务器时,它将该令牌作为有效令牌。
'use strict';
const Keycloak = require('keycloak-connect');
const express = require('
浏览 0提问于2019-08-20得票数 0
我有一个使用时间戳的mongoose模式。我试着运行它错误的代码 error TS2554: Expected 0-1 arguments, but got 2.
{ timestamps: true } 以下是代码架构 const Schema = mongoose.Schema;
const loginUserSchema = new Schema(
{
userId: { type: String, required: false }
},
{ timestamps: true }
);
loginUserSchema.index({ userName:
浏览 505提问于2020-12-02得票数 0
回答已采纳
2回答
React应用程序和用于检索和操作数据的Nodejs服务器在同一服务器上运行。当在本地访问应用程序时,它工作得很好,但当从外部访问时,应用程序是可见的,但没有数据。这背后的原因是运行应用程序的端口是打开的,但Nodejs服务器运行的端口没有打开。 我的问题是,解决这个问题的最好方法是什么?最简单的解决方案是开放另一个端口,但我认为这不是最安全的解决方案。 如有任何建议,我们将不胜感激。
浏览 18提问于2020-09-17得票数 2
3回答
我有一个关于Keycloak和获取访问令牌的问题。
我有两个不同的应用程序设置为两个不同的客户端在keycloak。两者都使用相同的LDAP (Active directory)服务器进行身份验证,该服务器在keycloak中设置为用户联盟。
用户使用密钥罩登录页面登录到applicationA。现在,用户想要在其网页上单击一个按钮即可打开applicationB。
单击该按钮后,applicationA应该能够从keycloak中检索访问令牌,并使用它启动applicationB。
但不应该要求它再次登录到keycloak。
一旦它收到令牌,它就应该能够使用令牌启动applicationB。
浏览 1提问于2018-03-09得票数 1
我是使用@react-keycloak/web的反应应用程序安全使用钥匙斗篷。我最近开始使用带有React的KeyCloak。我的KeyCloak码头在8080端口上运行,我的React应用程序在3000上运行。
当我尝试登录时,地址栏开始跳转,一些不同的令牌出现在url中。
App.js
import React from "react";
import { ReactKeycloakProvider } from "@react-keycloak/web";
import keycloak from "./Keycloak"
import {
浏览 8提问于2022-06-01得票数 0
我在节点js中创建了rest,并使用了keycloak-connect包。我已经将nodejs中间件映射为keycloak中间件。
var express = require('express');
var router = express.Router();
var app = express();
var Keycloak = require('keycloak-connect');
var keycloak =new Keycloak();
app.use( keycloak.middleware( {
logout: '/logout'
浏览 5提问于2020-09-02得票数 1
回答已采纳
1回答
TL;博士
目标:管理api权限:
OIDC授权直接授权流
用户联合和身份验证来源: LDAP
权限存储:旧数据库
客户端管理和身份验证: Keycloak
问:?管理密钥披风和rest上的用户权限的最佳实践是什么?
上下文
我们正在用spring实现一个rest,它将被移动应用程序和SPA使用。我们的用户帐户,权限,规则…所有数据都存储在不同的单片应用程序使用的自定义数据库中。为了保护我们的api,我们决定使用Keycloak。
keycloak服务器配置了用于用户联合的现有LDAP和用于移动客户端应用程序的“直接大流”。对于第一个用
浏览 1提问于2018-06-04得票数 4
回答已采纳
当SPA与后端API对话时,我对Azure B2C是如何工作的感到困惑。我们有一个VUE应用程序从ASPNet核心Web中检索数据。我将VUE与Azure B2C上的应用程序连接,我可以登录并检索访问令牌,但是。
SPA和API之间的身份验证/授权是如何工作的?
提亚
浏览 2提问于2020-09-24得票数 4
回答已采纳
我有一个带有NodeJS后端(带有Express)和React前端的应用。用户身份验证由前端借助Firebase身份验证直接处理。现在,我在后端有一些我想要从前端访问的端点,例如,用从后端获取的数据填充“select”小部件选项,或者将一些数据写入后端控制的数据库。
我如何确保我的端点是安全的,并且只有我的React前端能够访问它们?
我读到了关于使用JWT的内容,但据我所知,令牌需要在后端生成,并在登录期间发送给用户。问题是我前台的登录不涉及后端的任何东西。
浏览 2提问于2021-11-23得票数 0
我刚接触到keycloak,并试图使用带有Nodejs的keycloak建立一个基于角色的身份验证,但是每次我使用正确的用户名和密码登录时,我都会得到这个只授予载体的授权。我已经尝试过所有的解决方案,甚至还检查了Keycloak上的访问类型是否是比勒--但不,这是机密的--只尝试将承载设置为真和假,但对我没有任何作用。
{
"realm": "realm_name",
"auth-server-url": "Keycloak_auth_url",
"ssl-required": "none
浏览 1提问于2021-11-26得票数 1
我们在REACT SPA中使用MSAL 2.0进行身份验证。根App组件实现了一个处理身份验证部分的react高阶组件(HOC)。在身份验证逻辑中,我们如何检查用户在首次登录后是否登录,以避免重新呈现与从图形api获取用户信息相关的逻辑。要求是在用户第一次登录并从图形api中检索信息后,应用程序应该重用这些信息,直到登录过期。这里最好的方法是什么?
浏览 62提问于2021-01-10得票数 1
我是一名来自德国的初级软件开发人员,目前我正在尝试从一个Jax-RS Rest API (部署在Wildfly上)设置一些app服务,这些服务受“Keycloak”保护,并通过一个简单的react应用程序访问。
我已经完成了本文中的所有步骤:。
唯一的区别是:
I有三个服务:“级别零”、“第一级”和“第二级”。every服务只返回一个字符串(例如:“这是服务级别1”)--我在中定义了两个角色:“第一级用户”和“第二级用户”第二级用户将自动访问所有服务<代码>H 110</代码>级别用户只能访问服务级别一级和级别<</代码>H 211</代码>
浏览 4提问于2021-09-20得票数 1
我知道这个话题已经有很多了,而且已经有很多票了。但在查看了数百张门票和页面后,我没有找到必要的架构信息。
我计划的是一个简单的SPA (角)-休息后端(单独的.Net核心2.1 WebApi)设置。我有密钥披风,可以通过OpenId连接提供身份验证。我使用了一个OpenId包,用于与Keycloak通信,获取id和访问令牌。
我想要的是,角客户端只能访问标识令牌,并且信息是身份验证/登录。接入令牌不应该是角前端感兴趣的,对吗?所以我也可以加密访问令牌来保护信息?
然后,我将加密的访问令牌传递到我的REST后端(可以访问应用程序秘密),在这里我可以验证加密签名、令牌的加密主体以及可能在身份验证服
浏览 1提问于2020-01-28得票数 2
回答已采纳
我正在尝试调整引用为和的示例B2C代码,以针对我们的组织AAD工作。
我有一个SPA应用程序,它通过MSAL成功地与AAD进行身份验证,并接收令牌。SPA应用程序可以使用令牌从MS Graph API中提取数据--因此我确信令牌是有效的。
SPA当前正在本地运行@ localhost:9000。
我还有一个运行@ localhost:3000的Nodejs API应用程序。SPA应用程序调用应用程序接口,传递用于GraphAPI的相同令牌。API应用程序应该使用该令牌对用户进行身份验证,并提供对API的访问;然而,我只得到了一个401 - Unauthorized。
(我正在使用Aurelia
浏览 12提问于2017-07-25得票数 2
回答已采纳
1回答
如何将loopback4应用程序身份验证策略与密钥罩或密钥罩连接一起使用。
Keycloak提供了步骤w.r.t express应用程序,但希望在loopback4中使用它。
参考:
浏览 10提问于2020-05-15得票数 1
1回答
我对OAuth 2.0和OpenID Connect非常陌生,我很难理解流程的某些部分(或者我应该使用什么最佳实践)。
很抱歉发表了这么长的文章:)
我的设置:
OP (OpenID Provider),它基本上是一个使用oauth2orize-openid和passport对用户进行身份验证和授权的express服务器。我们叫它http://authserver.com吧
需要根据我的Single page application (react+webpack)对用户进行身份验证的react+webpack,让我们称之为http://my-spa.com
由于这是一个SPA
浏览 10提问于2017-01-05得票数 3
回答已采纳
为我那篇冗长的帖子道歉。在我的应用程序中,我使用了keycloak、openid、nginx、docker和react。
例如,keycloak正在码头上运行( )
当我在本地主机上提到我的前台时:3000。它将我重定向到登录页面with ( ),然后在登录后,我需要从我的后端微服务中获取当前的登录用户,该服务需要使用带会话的cookie和键盘斗篷注入的X用户。我相信是因为前端运行在本地主机上,而keycloak在另一个域上运行。cookie和http标头没有被注入后续请求。
如何使keycloak为每个后续请求注入cookie?
浏览 4提问于2019-10-24得票数 0
我已经试了好几个小时了,好像撞到了墙。如有任何建议/帮助,将不胜感激。
目标:通过映射到客户机作用域的各种方法(例如:“create”/“read”/“update”/“”),-api (ex client-id:"my- rest-api ")路由(示例资源:"WeatherForecast")授权。我希望通过策略来控制这些权限(例如,如果满足策略“仅管理组”(用户属于管理组)),将授予“读- WeatherForecast -权限”。
Rest-api不会登录用户(将从前端直接与keycloak对话,然后他们将使用该令牌与rest-api对话)。
环境:
r
浏览 10提问于2022-04-08得票数 4
回答已采纳
1回答
我正试图用一个React本地应用程序和一个单独的NodeJS/Express API后端来处理oauth。据我所知,为React本地应用程序提供身份验证,为NodeJS后端提供身份验证。我不知道如何将这两者连接起来以进行身份验证,以便登录和访问API。
我希望用户可以通过电子邮件和密码或通过Facebook/Twitter/Google登录到。一旦登录到应用程序中,我应该向API发送什么,以确保它们经过身份验证并能够访问特定的路由?
下面是一个登录并查看登录用户设置的示例流:
用户通过电子邮件/密码或Facebook/Twitter/Google登录本机应用程序。
用户身份验证
A
浏览 2提问于2016-04-29得票数 73
我有一个spring boot (后端)和angular (前端)应用程序,我想用keycloak保护它(用于身份验证)。
我有一个非常基本的部署,其中spring创建的可执行jar还提供客户端代码(来自angular)。
我看过几个教程,其中正面和背面是分开的,正面使用代码流+ pkce将其身份验证委托给keycloak,而背面是无状态的,并检查是否存在由keycloak实例认证的jwt令牌。
但是,由于我有一个后端服务器,所以我希望避免使用公共客户端,而是依赖于服务器端的反向通道令牌交换。因此,前端不应该对keycloak实例有任何了解。
这是可能的吗?/这是最佳实践吗?有没有一个前置库可
浏览 3提问于2021-03-29得票数 2
1回答
在我的公司,我们需要从Keycloak提供的REST中提取登录用户的角色。我们已经翻阅了Keycloak文档,但是找不到我们正在寻找的答案。让我解释一下我们想要实现的流程:用户登录到Keycloak中定义的客户端,并接收存储在应用程序web客户端中的JWT。用户不是Keycloak中的管理员。当web客户端向后端服务器发出请求时,后端服务器将查询Keycloak以查找用户的角色。这就是我们遇到麻烦的地方。我们无法确定REST的正确URL或向身份验证标头添加哪个令牌。总之:我们需要URL的帮助,该URL用于查询用户角色,以及根据API发送哪些令牌来授权。我知道可以从JWT中检索角色,但我们担心,
浏览 0提问于2019-03-18得票数 4
我目前正在构建一个使用Spring、Zuul作为API网关和Keycloak作为身份验证和身份提供者的微服务后端。对于我的前端,我目前使用角作为一个SPA与授权代码授权。在将每个请求发送到微服务之前,API网关应该通过Keycloak验证每个请求(如果用户得到了授权)。每个微服务( ResourceServer)都应该能够使用内省端点来获取当前请求的用户信息。
实现这一点的正确方法是什么,或者这是否是一个糟糕的设计,而我却走错了路?
浏览 2提问于2019-07-18得票数 4
我必须将node.js应用程序与keycloak.The应用程序集成在express.But中,策略不是enforcing.It授予所有用户访问所有express.But的权限。对于/test api:只有具有“首席”角色的用户才有访问权限,我已经在密钥披风管理console.But中给出了这些策略,而不是reflecting.Why?
没有“首席”角色的用户也访问/test
app.js:
'use strict';
const Keycloak = require('keycloak-connect');
const express = require(&
浏览 0提问于2018-12-11得票数 4
回答已采纳
我对Keycloak的理解(这可能是不正确的)是,一旦用户登录并通过身份验证,访问令牌/JWT将作为cookie存储在浏览器中(默认名称为'kc-access')。
是否可以将keycloak配置为直接存储访问令牌,而不是将其存储在cookie中?
尽管我希望使用Keycloak来保护web应用程序,但是我在身份验证上阅读的大多数资源通常都谈到访问--存储为Bearer令牌的令牌,而不是cookie。
从Keycloak文档中,我看不到任何关于将访问令牌存储为Cookie或be令牌的选项,我是否误解了Keycloak如何用于为web应用程序提供身份验证?
浏览 0提问于2019-10-04得票数 4
1回答
我有一个react SPA -它调用自定义的Identity Manager,如果成功,则向SPA应用程序返回一个授权码。例如: https://my-identiymanager.com/authorize?response_type=code&client_id=******&redirect_uri=https://localhost:5001&scope=openid 它起作用了,我在重定向URL中得到了一个返回的代码。现在,我想调用我的dotnetcore web api并使用此代码,以便服务器端webapi可以获取和维护浏览器会话的JWT。 这是一个有效的
浏览 21提问于2021-08-11得票数 1
我有一个SPA应用程序和一个相关的API,它可以从中获取数据。(Aurelia和Nodejs)
我最近在SPA上完成了身份验证,这样它就可以使用MSAL来根据我们公司的AAD对用户进行身份验证,并且能够检索一个令牌,然后应用程序也可以用来访问MS图。
但是,我也希望我的API能够针对AAD进行身份验证。我希望API能够接受来自SPA客户端的令牌。
虽然我能够将令牌从客户机发送到API (Authorization: 'Bearer'...) ),但我不知道在服务器端如何处理它,然后与身份提供者验证令牌是否有效。
在大多数情况下,我不希望API有UI问题(即身份验证/登录屏幕)。
浏览 2提问于2017-07-21得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
