Keycloak -在JWT标记中自定义"sub“格式

Keycloak是一个开源的身份和访问管理解决方案，它提供了一套完整的身份验证、授权和访问控制功能。它可以帮助开发人员轻松地将身份验证和授权集成到他们的应用程序中，同时提供了一系列的安全特性和工具。

在JWT（JSON Web Token）标记中，"sub"字段用于表示主题（Subject），即标识令牌所代表的用户或实体。通常情况下，"sub"字段的值是一个唯一的标识符，用于识别用户或实体。

如果要自定义"sub"字段的格式，可以根据具体需求进行修改。例如，可以将"sub"字段的值设置为用户的用户名、电子邮件地址或其他唯一标识符。这样做的好处是可以根据实际情况来定义"sub"字段的内容，以满足特定的业务需求。

在使用Keycloak时，可以通过配置来自定义"sub"字段的格式。具体的配置方法可以参考Keycloak的官方文档或相关的开发指南。

关于Keycloak的更多信息和详细介绍，可以参考腾讯云的相关产品：腾讯云身份与访问管理（CAM）。CAM是腾讯云提供的一套身份和访问管理服务，可以帮助用户实现身份验证、授权和访问控制。它提供了类似于Keycloak的功能，并且与腾讯云其他产品和服务紧密集成，可以方便地实现云计算应用的安全管理。

相关·内容

Vue+Golang接入KeyCloakVue+Golang接入KeyCloakVue+Golang接入KeyCloak

在Credentials中Tab记录下生成的Secret。供后续使用。为了能够有权限查询用户的角色信息，首先开启Service Accounts。...在新出现的Service Account Roles Tab中，增加Client Roles。我这里没有做测试，把能增加的权限都加进去了。...我这里是手动维护了一个JWT token 用于和keycloak进行通信，后续可能有更简单的方案。...userId string client = gocloak.NewClient(conf.AppConfig.KeycloakUrl) clientJWT *gocloak.JWT...路由鉴权为api接口增加鉴权，获取Authorization Header中的AccessToken，并发送给Keycloak，获取用户的基本信息，主要是Sub(即用户id)。

1.9K3 0

Keycloak vs MaxKey，开源单点登录框架如何选择？

SAML Security Assertion Markup Language，安全断言标记语言。一个基于 xml 的在不同安全域间进行交换认证和授权数据的协议，是很经典的一个授权协议。...因此在大部分的用户系统中，都会有 SAML 协议的支持。不过国内使用的还是偏少，OIDC 的出现抢了它的风头。...Keycloak Keycloak 于 2013 年末发布 1.0-alpha 版，到现在最新版已经是 15.0.2 了，16.0.0 在紧锣密鼓地开发中。...主题也可以自定义，方式是通过编写 base 模板的 css 来实现。上图的主题是内置的keycloak主题。...标准协议序号协议支持 1.1 OAuth 2.x/OpenID Connect 高 1.2 SAML 2.0 高 1.3 JWT 高 1.4 CAS 高 1.5 FormBased 中 1.6 TokenBased

5.4K5 1

在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证

id_token 使用JWT（JSON Web Token）格式进行封装，得益于 JWT 的自包含性，紧凑性以及防篡改机制等特点，使得 id_token 可以安全地传递给第三方客户端程序并且易于验证。...JSON Web Token（JWT）是一个开放的行业标准（RFC 7519），它定义了一种简洁的、自包含的协议格式，用于在通信双方间传递 JSON 对象，传递的信息经过数字签名可以被验证和信任。...要想让 Kubernetes 认识 Keycloak 中的用户，就需要在 Keycloak 返回的 id_token 中携带表明用户的身份的信息（例如用户名、组、邮箱等等），Keycloak 支持自定义声明并将它们添加到...Keycloak 会将 Token Claim Name 中设置的内容作为键注入 JWT，值的内容来自 6.2 创建 User 章节中在用户属性中设置的 name 字段的值。...，将内容复制到 https://jwt.io/ 网站上可以看到 id_token 的内容，在 payload 部分中可以看到标识的用户信息：name:tom。

6.8K2 0

单点登录，不要老盯着cas-server了，你还可以选择keycloak

/standalone.sh文件，即可启动keycloak server。可以看到它监听在9990端口。 ? 此时，访问这个链接得不到任何信息，因为里面还没有一个初始用户。...初始化以后，就可以在访问后台进行设置了。 ? Keycloak Server部署在8080端口，可以通过以下链接进行访问。 http://127.0.0.1:8080/auth/ 1....创建Realms 要想使用Keycloak，需要先生成一个Realm。Realm是领域的意思，在它其中，所有的用户和权限都是独立的。...格式。..." } End 可以看到，keycloak用的是无状态的方式进行的token管理，是基于比较先进的 OAuth 2.0 和 JSON Web Token(JWT) 规范来设计的。

2.1K2 0

Spring Boot 3.1 中如何整合Spring Security和Keycloak

在今年2月14日的时候，Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。...但是，如此强大的Keycloak，还要用怎么办呢？本文就来聊聊，在最新的Spring Boot 3.1版本之下，如何将Keycloak和Spring Security一起跑起来。...如果您还不会，可以看看我的Spring Boot教程：http://blog.didispace.com/spring-boot-learning-2x/ 第二步：在pom.xml中添加依赖：中查找角色信息的位置。...，启动Spring Boot应用，同时保证Keycloak也在运行中。

1.1K4 0

（译）Kubernetes 单点登录详解

首先在 Keycloak 上创建一个 KubernetesAdmin 群组，然后在群组中创建一个新用户。接下来要更新我们的 Keycloak 客户端，把用户所属群组的信息包含在 JWT 中。...在更复杂的环境中，还可以在 Keycloak 中创建一个 customers realm，把认证和鉴权工作都交给 Keycloak。...如果我们在应用中对 JWT 进行验证，会抛出 Token 无效的异常。...在 Keycloak 管理界面中，进入侧面菜单的 Clients 页面，并选择 Create。...在尝试登录之前，我们需要给在 Keycloak 中创建的用户设置一个密码。

6K5 0

Keycloak Spring Security适配器的常用配置

Keycloak适配器的常用属性在Spring Security集成Keycloak 适配器时需要引入一些额外的配置属性。一般我们会把它配置到Spring Boot的配置文件中。...realm-public-key PEM格式的realm公钥，不建议客户端配置。每次Keycloak Adapter会自动拉取它。...auth-server-url Keycloak服务器的基本地址，格式通常是https://host:port/auth，这是一个必须项。...生成secret的方法是在Keycloak控制台上修改对应客户端设置选项的访问类型为confidential,然后在安装中查看对应配置项。当访问类型不是confidential时该值为false。...credentials 当客户端的访问类型(access type)为Confidential时，需要配置客户端令牌，目前支持secret和jwt类型。参考public-client中的描述。

2.6K5 1

Keycloak简单几步实现对Spring Boot应用的权限控制

下图不仅仅清晰地说明了keycloak中Masterrealm和自定义realm的关系，还说明了在一个realm中用户和客户端的关系。 ?...Realm、client、user关系图我们需要在felord.cn这个realm中建立一个客户端： ? 在realm中创建客户端创建完毕后你会发现felord.cn的客户端又多了一个： ?...角色基于角色的权限控制是目前主流的权限控制思想，keycloak也采取了这种方式。我们需要建立一个角色并授予上一篇文章中建立的用户felord。我们来创建一个简单的角色： ?...在keycloak中创建角色 ❝keycloak的角色功能非常强大，在后面的系列文章中胖哥会和大家深入学习这个概念。...获取和刷新JWT 我们可以通过下面这个方式获取用户登录的JWT对: POST /auth/realms/felord.cn/protocol/openid-connect/token HTTP/1.1

2.2K5 0

keycloak+istio实现基于jwt的服务认证授权

•permissions 由AuthorizationPolicy中to转换过来定义角色的权限集。每个权限都与OR语义匹配。...•principals 由AuthorizationPolicy中to和when字段转换过来根据操作分配/拒绝角色的主体集。每个主体都与OR语义匹配。...本文将基于istio和keyclock应用envoy的rbac策略，实现基于jwt的权限控制。...admin -e KEYCLOAK_PASSWORD=admin quay.io/keycloak/keycloak:11.0.0 配置keycloak 创建istioclient ?...allow条件时，如果无法匹配默认会拒绝所以需要应用以下策略在访问非headers时不验证客户端信息 - source: notRequestPrincipals: ["*"]

3.1K4 0

使用服务网格增强安全性：Christian Posta探索Istio的功能

在不同的语言、框架、运行时等环境中执行这些操作，会造成许多组织无法承受的操作负担。此外，在每种语言中找到的实现之间很难保持一致性，更不用说在需要更改或发现错误时同步升级它们了。...在服务体系结构中，服务通信终端用户或原始标识(登录用户)的典型方式是传递标识令牌，比如JSON Web令牌。这些标记用于表示经过身份验证的用户和用户拥有的声明。...例如，要将Istio配置为同时使用mTLS和验证请求中的JWT令牌(如果请求不存在、无效或过期，则失败)，我们可以配置策略对象。...issuer: http://keycloak:8080/auth/realms/istio jwksUri: http://keycloak:8080/auth/realms/istio/...在零信任网络中，我们根据身份以及上下文和环境分配信任，而不仅仅是“调用者碰巧在同一个内部网络上”。当我们开始转向完全连接和混合的云部署模型时，我们需要重新考虑如何最好地将安全性构建到我们的体系结构中。

1.4K2 0

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

JWT 令牌的结构这是遵循 JWT 格式的解码访问令牌的内容： { "iss": "https://YOUR_DOMAIN/", "sub": "auth0|123456", "aud":...私人声明：这些是为在同意使用它们的各方之间共享信息而创建的自定义声明，既不是注册声明也不是公开声明。..."sub": (Subject)声明，"sub"（subject）声明标识JWT的主体。 "aud": (Audience)声明，"aud"（audience）声明标识JWT的接收者。...可以在服务器端通过将令牌添加到黑名单或在数据库中将其标记为已撤销来使刷新令牌失效。...还需要注意的是，此示例不适合生产，因为它仅将令牌标记为已撤销，并且不处理令牌黑名单。在生产环境中，建议使用Redis等分布式机制来处理黑名单。

3643 0

读懂JWT的使用，你就会用PHP如何实现了

*JWT有两个特点：* 自包含(Self-contained)：负载中包含了所有用户所需要的信息，避免了多次查询数据库简洁(Compact)：可以通过URL, POST 参数或者在 HTTP header...标准中注册的声明 (建议但不强制使用) ： iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间，这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前...说明：该字段为json格式，表明用户身份的数据，可以自己自定义字段，很灵活。...例如可自定义示例如下： { "iss": "admin", //该JWT的签发者 "iat": 1535967430, //签发时间 "exp": 1535974630, ...'; /** * 获取jwt token * @param array $payload jwt载荷格式如下非必须 * [ * 'iss'=>'jwt_admin',

8921 0

php 后端实现JWT认证方法示例

它具备两个特点：简洁(Compact)：可以通过URL, POST 参数或者在 HTTP header 发送，因为数据量小，传输速度快自包含(Self-contained)：负载中包含了所有用户所需要的信息..." } 对应base64UrlEncode编码为：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 说明：该字段为json格式。...，表明用户身份的数据，可以自己自定义字段，很灵活。...例如可自定义示例如下： { "iss": "admin", //该JWT的签发者 "iat": 1535967430, //签发时间 "exp": 1535974630, //过期时间...JWT：服务器的HTTP RESPONSE中将JWT返还带JWT的请求：以后客户端发起请求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，为JWT 服务器验证

1.3K2 0

Spring Security 之 JWT介绍

（RFC 7519）,它定义了一种简洁的、自包含的协议格式，用于在通信双方传递JSON对象，传递的信息经过数字签名可以被验证和信任。...官网： https://jwt.io 标准：https://tools.ietf.org/html/rfc7519 JWT令牌的优点： JWT基于JSON，非常方便解析可以在令牌中自定义丰富的内容，易扩展...，因为base64是对标解密的，意味着该部分信息可以归类为明文信息这个指的就是自定义的claim，比如： { "sub": "1234567890", "name": "John Doe",..."iat": 1516239022 } sub 标准的声明，name自定义的声明（公共的或者私有的）再base64后得到jwt的第二部分： eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ...加密后的header、base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret，然后构成jwt的第三部分。

4643 0

一个全栈SpringBoot项目-Book Social Network

该应用程序使用 JWT 令牌确保安全性，并遵循 REST API 设计的最佳实践。...Spring Data JPA JSR-303 and Spring Validation OpenAPI and Swagger UI Documentation Docker GitHub Actions Keycloak...Authentication Guard OpenAPI Generator for Angular Bootstrap 学习目标通过完成这个项目，学生将学习：根据业务需求设计类图实施单一回购方法使用 JWT...保护应用程序通过电子邮件注册用户并验证帐户通过 Spring Data JPA 使用继承实现服务层并处理应用程序异常使用 JSR-303 和 Spring Validation 进行对象验证处理自定义异常...OpenAPI 和 Swagger UI 记录 API 落实业务需求并处理业务异常 Docker 化基础设施 CI/CD 管道和部署入门要开始使用 Book Social Network 项目，请按照相应目录中的设置说明进行操作

700 0

JWT

JWT 1.什么是JWT JSON Web Token（JWT）是一个开放的行业标准（RFC 7519），它定义了一种简介的、自包含的协议格式用于在通信双方传递json对象，传递的信息经过数字签名可以被验证和信任...官网 https://jwt.io/ 标准 https://tools.ietf.org/html/rfc7519 优点： jwt基于ison，非常方便解析可以在令牌中自定义丰富的内容，易扩展。...: 接收jwt的一方 exp: jwt的过期时间，这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前，该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的唯一身份标识，主要用来作为一次性...一定要保密) **注意：**secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去...将生成的jwt令牌在jwt官网查看： ?

9322 0

kubernetes API 访问控制之：认证

但是缺陷在于对于秘钥的管理上，以及在非安全信道中通讯时，密钥交换的安全性不能保障。所以在实际的网络环境中，会将两者混合使用. ---- 双向TLS认证 ① 浏览器发送一个连接请求给安全服务器。...)认证机制，JWT原理和x509证书认证其实有点类似，都是通过CA根证书进行签名和校验，只是格式不一样而已，JWT由三个部分组成，每个部分由.分割，三个部分依次如下: Header（头部）: Token...这里需要注意的是我们发现JWT Token中没有exp字段，即意味着只要这个SA存在，这个Token就是永久有效的。...除此之外，SA虽然能够对应一个虚拟User，但不支持自定义Group，在授权体系中不够灵活。另外也不支持客户端高级认证功能，比如MFA、SSO等。...能够认证 token 的合法性的关键在于，所有 JWT token 都被其颁发 Auth Service 进行了数字签名，我们只需在 Kubernetes API Server 中配置上我们所信任的这个

7.3K2 1

在restful api模式上使用JWT

什么是JWT JWT(JSON Web Token), 顾名思义就是可以在Web上传输的token，这种token是用JSON格式进行format的。...它是一个开源标准(RFC 7519)，定义了一个紧凑的自包含的方式在不同实体之间安全的用JSON格式传输信息。现在，许多项目模式基本都是前端分离和restful api模式。...所以我们只需要定义jwt中的 poyload部分就可以了。也就是demo里面的token部分。加密成功会得到一个加密的Jwt字符串，下次前端在请求api的时候需要携带这个jwt字符串作为认证。...该JWT所面向的用户 "sub" => "jrocket@example.com", # 非必须。not before。...针对当前token的唯一标识 "jti" => '222we', # 自定义字段 "GivenName" => "Jonny", # 自定义字段 "name

8382 0

浅谈json web token及应用

在web应用中，我们提供的API接口，通过GET或者POST方式调用，在调用过程中，就存在着接口认证及数据的安全性问题。例如如下问题： 1、请求来自哪里，身份是否合法？ 2、请求参数是否被篡改？...传统的Session认证方式在传统的web应用中，服务端成功相应请求者，返回正常的response依赖于服务端通过一种存储机制把每个用户经过认证之后的会话信息（session）记录服务器端，一般记录到内存...、磁盘、数据库中，这种方式在请求量和用户量增多的时候无疑会增大服务端的开销；如果是记录在内存中，那每次请求都分发登到该机器上才能授权获取资源，那在分布式系统中就存在着问题；因为是基于Cookie的，如果...{ "typ": "JWT", "alg": "HS256" } 将以上json进行base64编码，当然编码前将json去格式化，如图： ?...iss: 该JWT的签发者 sub: 该JWT所面向的用户 aud: 接收该JWT的一方 exp(expires): 什么时候过期，这里是一个Unix时间戳 iat(issued at): 在什么时候签发的

4673 0

cookie和token

服务器不记录哪些用户已登陆或者已经发布了哪些JWT。对服务器的每个请求都需要带上验证请求的token。该标记既可以加在header中，可以在POST请求的主体中发送，也可以作为查询参数发送。...因为JWT可以被签名，收信人可以确认发信人的身份，同时也能够验证内容是否被篡改。格式 JWT包括三个部分：头部、载荷和签名，这三个部分通过.连接起来。...但是为了避免冲突，应在在IANA JSON WEB令牌注册表中定义它们，或者将其定义为包含防冲突命名空间的URI。私有声明：这些是为了在同意使用它们的各方之间共享信息而创建的自定义声明。...使用JWT的理由现在来谈谈JWT与简单网页令牌（SWT）和安全断言标记语言令牌（SAML）相比的优势。由于JSON比XML更短小，编码时其大小也较小，使得JWT比SAML更紧凑。...这使得JWT成为在HTML和HTTP环境中能更快地传递。从安全角度来说，SWT只能通过使用HMAC算法的共享密钥进行对称签名。

2.4K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云