开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

keycloak -使用kcadm的客户端注册策略中的受信任主机

Keycloak是一个开源的身份和访问管理解决方案，它提供了单点登录、多因素认证、授权和用户管理等功能。Keycloak可以帮助开发人员轻松地将身份验证和授权功能集成到他们的应用程序中。

在Keycloak中，使用kcadm客户端注册策略中的受信任主机是一种安全机制，用于限制只有来自受信任主机的请求才能注册新的客户端。这可以防止恶意用户通过未经授权的主机注册客户端，从而增加了系统的安全性。

受信任主机是指已经被管理员认可并被允许进行客户端注册的主机。通过在Keycloak的kcadm客户端注册策略中配置受信任主机，可以确保只有来自这些主机的请求才能成功注册新的客户端。

使用kcadm客户端注册策略中的受信任主机的步骤如下：

登录到Keycloak管理控制台。
导航到Realm Settings（领域设置）> Client Registration（客户端注册）。
在Trusted Hosts（受信任主机）部分，点击Add（添加）按钮。
输入受信任主机的名称和正则表达式模式。正则表达式模式用于匹配受信任主机的域名或IP地址。
点击Save（保存）按钮以保存配置。

相关搜索:如何使用kcadm在keycloak中启用更新密码的默认操作？原因: java.lang.SecurityException:权限策略文件未由受信任的签名者签名！在Java 7中如何使用来自受信任域的凭据绑定到PHP中的AD服务器？pip配置了需要TLS/SSL的位置，但Python中的ssl模块不可用。尽管作为受信任的主机运行如何使用Apollo Graphql React客户端访问本地解析器中的获取策略如何使用密码在JReJSON中创建到特定主机/post到特定主机/post的客户端？如何在Smack客户端中注册带内用户，特别是Ejabberd中的虚拟主机？使用Unity中的BestHTTP的socket.io客户端是否可以使用NestJS的WebSocketGateway在socket.io服务器上注册？将Javascript客户端应用程序与MSAL.js一起使用时，如何在访问令牌中获取受保护的应用程序接口的应用程序角色声明(角色如何在java中获取客户端系统的用户名和域名，因为我可以使用request.getRemoteHost获取ip地址和主机名

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Spring Security 中使用Keycloak作为认证授权服务器

Keycloak对流行的Java应用提供了适配器。在系列文章的上一篇我们演示了针对Spring Boot的安全保护，用的就是适配器的一种。Keycloak同样提供Spring Security的适配器，后续的几篇文章我们就来共同学习Spring Security适配器的使用。 ❝ Keycloak的安装可参考前面的系列教程。适配器集成在Spring 应用中我们集成keycloak-spring-security-adapter： <dependency> <groupId>org.keycloa

02

这个安全平台结合Spring Security逆天了，我准备研究一下

最近想要打通几个应用程序的用户关系，搞一个集中式的用户管理系统来统一管理应用的用户体系。经过一番调研选中了红帽开源的Keycloak，这是一款非常强大的统一认证授权管理平台。之所以选中了Keycloak是基于以下几个原因。

01

使用服务网格增强安全性：Christian Posta探索Istio的功能

Istio帮助使“服务网格”概念变得更加具体和可访问，随着Istio 1.0的最新发布，我们可以预期人们对它的兴趣会激增。Jasmine Jaksic在InfoQ之前的一篇文章中很好地介绍了Istio和服务网格，因此我想借此机会介绍Istio的一个特定领域，它将为云服务和应用程序的开发人员和运营商带来巨大的价值:安全性

02

重磅推荐！开源身份认证神器：KeyCloak！

安装&初始化下载 http://www.keycloak.org/downloads.html 笔者下载的是“Standalone server distribution” 。安装&启动安装Keycloak非常简单，步骤如下：解压下载下来的安装包将目录切换到KEYCLOAK_PATH/bin ，其中KEYCLOAK_PATH是您Keycloak的根目录执行./standalone.sh ，即可启动Keycloak，如需后台运行，则执行./standalone.sh & 。初始化启动后，访问

02

通过管理API管理OAuth2 认证授权服务器Keycloak

我们在Keycloak Admin Console中的所有操作都有特定的Restful API，被统称为Keycloak Admin REST API。而 Keycloak Admin Client正是对Keycloak Admin REST API的Java HTTP客户端封装。我们只需要引入下面的依赖就可以集成了：

06

Keycloak vs MaxKey，开源单点登录框架如何选择？

单点登录(Single Sign On）简称为SSO，用户只需要登录认证中心一次就可以访问所有相互信任的应用系统，无需再次登录。

05

从0开始构建一个Oauth2Server服务 <5> 单页应用

单页应用程序（也称为基于浏览器的应用程序）在从网页加载 JavaScript 和 HTML 源代码后完全在浏览器中运行。由于浏览器可以使用整个源代码，因此它们无法维护客户端机密的机密性，因此这些应用程序不使用机密。因为他们不能使用客户端密码，所以最好的选择是使用 PKCE 扩展来保护重定向中的授权代码。这类似于也不能使用客户端密码的移动应用程序的解决方案。

03

吊炸天的可视化安全框架，轻松搭建自己的认证授权平台！

Keycloak是一款开源的认证授权平台，在Github上已有9.4k+Star。Keycloak功能众多，可实现用户注册、社会化登录、单点登录、双重认证、LDAP集成等功能。

02

Keycloak简单几步实现对Spring Boot应用的权限控制

我们在上一篇初步尝试了keycloak，手动建立了一个名为felord.cn的realm并在该realm下建了一个名为felord的用户。今天就来尝试一下对应的Spring Boot Adapter，来看看keycloak是如何保护Spring Boot应用的。

05

在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证

API Server 作为 Kubernetes 的网关，是用户访问和管理资源对象的入口。对于每个访问请求， API Server 都需要对访问者的合法性进行检查，包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式，本文将对 OpenID Connect 认证进行介绍。

02

SDP（软件定义边界）让SDN更安全,你的对面可不能是一条狗！

编者按：近年来，软件定义网络(SDN)如同海藻一样疯狂地席卷全球。但火热的SDN真的安全吗？Gartner分析师Neil MacDonald表示“SDN创建了一个抽象层，这将带来很多新的攻击面，例如OpenFlow协议、供应商API等”。为解决这难题，一种新型的安全模型软件定义边界（Software Defined Perimeter）诞生了,国际云安全联盟（CSA）表示“SDP被设计为与软件定义网络（SDN）高度互补”。

03

Keycloak Spring Security适配器的常用配置

在Spring Security集成Keycloak 适配器时需要引入一些额外的配置属性。一般我们会把它配置到Spring Boot的配置文件中。

05

（译）Kubernetes 单点登录详解

本文中我们将会为 Kuebernetes 构建一个完备的单点登录系统，这个系统会为 kubectl、Web 应用的 Ingress，以及 Docker 镜像仓库和 Gitea 提供服务，本文中会涉及多数单点登录模型，对于 Gitlab、Kibana、Grafana 等其它应用，应该也是适用的。

05

PowerShell系列（六）：PowerShell脚本执行策略梳理

PowerShell 脚本执行策略用于控制何时以及何种方式执行 PowerShell 脚本。通过执行策略可以限制 PowerShell 脚本的执行范围，为系统管理员提供一定的安全保障。策略可以限制执行脚本的用户、限制执行脚本的来源等等。这些策略可以在计算机本地或组策略中进行配置。最终保护计算机免受恶意脚本和非法操作的侵害。

01

keycloak+istio实现基于jwt的服务认证授权

基于角色的访问控制(RBAC)为服务提供服务级别和方法级别的访问控制。RBAC政策是附加的。依次检查策略。根据操作以及是否找到匹配的策略，允许或拒绝请求。

04

深度解读-如何用keycloak管理external auth

简单来说，以google授权为例，一般就是通过用户授权页面登录google账号，再跳转用code换取到相应权限的token，就可以代表用户去发起一些google api的请求。

03

MIT 6.858 计算机系统安全讲义 2014 秋季（二）

<embed name="nacl_module" id="hello_world" width=0 height=0 src="hello_world.nmf" type="application/x-nacl" />

01

keycloak集群化的思考

单体服务如果想要突破到高并发服务就需要升级为集群服务。同时集群化也为高可用打下了坚实的基础。纵观现在比较流行的服务或者中间件，不管是RabbitMQ还是redis都提供了集群的功能。

02

基于 LDAP 的统一认证服务 Keycloak

此前，笔者曾写过一篇《OpenLDAP 安装初体验》尝试使用 Docker 一键式部署 OpenLDAP。其中，对 LDAP 协议也作了一定的基础入门，但对如何利用 LDAP 来为各式各样的应用提供统一认证服务还未有深入的实践。本文就打算以 LDAP 为中心集成到团队内部的各类第三方系统或服务中。例如，团队内部常用的私有化代码托管服务 Gitlab、网盘服务 Nextcloud、缓存加速服务 Squid、访问内部集群的专用 OpenVPN 服务、内部团队知识库服务 Dokuwiki、内部代码库及容器镜像服务 Nexus3 等等。

07

基于Keycloak的Grafana SSO身份认证过程剖析

Keycloak是一款主流的IAM（Identity and Access Management 的缩写，即“身份识别与访问管理”）开源实现，它具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

OAuth2.0 技术选型参考

[Hea01a7018ebc445787a9789dde52b592p.png]

04

keycloak集群化的思考

单体服务如果想要突破到高并发服务就需要升级为集群服务。同时集群化也为高可用打下了坚实的基础。纵观现在比较流行的服务或者中间件，不管是RabbitMQ还是redis都提供了集群的功能。

03

开源认证授权管理平台Keycloak初体验

上一篇文章简单介绍了Keycloak，反响不错。看来大家都对这个东西感兴趣，今天就来进一步的体验Keycloak，让我们对它有一个直观的认识，然后逐步深入，把它的设计理念和概念各个击破。

03

攻击本地主机漏洞（下）

Windows注册表负责记录在Windows操作系统上创建的服务的执行路径。管理员可以使用烘焙到Windows系统中的sc.exe命令实用程序创建新服务。图10-10提供了如何使用sc.exe命令创建指向易受攻击的服务名称“vulnerablesvc”的示例。“共享命令”文件夹中的exe可执行文件。

01

商业证书颁发机构与自签名SSL证书之间的比较

无论是公共网站，Intranet流量还是Web应用程序的登台服务器，您都需要一个证书来保护您的数据并满足用户的安全需求。

06

Certified Pre-Owned

Certified Pre-Owned是安全研究员@（Will Schroeder和Lee Christensen）在6月17号提出的针对Active Directory 证书服务的一个攻击手法，并于8月5日在Black Hat 2021中进行展示。

02

使用JavaScript开发物联网设备也会非常安全

本文将引导你完成一个练习，向你展示如何在 IoTivity 安全框架上使用 Java 对 OCF 设备进行快速原型设计。

aspnetcore 应用接入Keycloak快速上手指南

登录及身份认证是现代web应用最基本的功能之一，对于企业内部的系统，多个系统往往希望有一套SSO服务对企业用户的登录及身份认证进行统一的管理，提升用户同时使用多个系统的体验，Keycloak正是为此种场景而生。本文将简明的介绍Keycloak的安装、使用，并给出aspnetcore 应用如何快速接入Keycloak的示例。

03

OAuth2 服务器Keycloak中的Realm

Realm翻译成中文为领域。用来逻辑隔离一些特定空间，有点多租户的感觉，不同的Realm之间互相隔离，有各自的特色配置，互不影响。

06

1、iOS安全【 SSL证书验证，让Charles再也无法抓你的请求数据】2、iOS逆向：【绕过证书校验】

经过app的SSL证书验证之后，就是这样子，别人无法获取报文，除非服务器的证书信任Charles的证书

05

Spring Boot+Keycloak从零到壹

在本文中，我们将介绍安装、配置Keycloak服务器的基础知识，如何将Spring Boot应用程序**和Keycloak服务器连接起来，以及在Spring Security下如何使用它。

02

利用DNS隧道构建隐蔽C&C信道

无论是高级持续性威胁(APT）、僵尸网络(Botnet)，还是勒索软件、后门等，命令与控制信道(C&C)都是其重要组成部分，尤其是APT和僵尸网络中的C&C信道决定了其威胁程度。学术界和工业界就C&C方面的研究已逐渐深入，目前网络战格局逐渐形成，公众对网络安全逐渐重视，网络空间中的攻防双方持续较量。

02

谈谈基于OAuth 2.0的第三方认证 [上篇]

对于目前大部分Web应用来说，用户认证基本上都由应用自身来完成。具体来说，Web应用利用自身存储的用户凭证（基本上是用户名/密码）与用户提供的凭证进行比较进而确认其真实身份。但是这种由Web应用全权负责的认证方式会带来如下两个问题：对于用户来说，他们不得不针对不同的访问Web应用提供不同的用户凭证。如果这些凭证具有完全不同的密码，我们没有多少人能够记得住，所以对于大部分整天畅游Internet的网友来说，我想他们在不同的网站注册的帐号都会采用相同的密码。密码的共享必然带来安全隐患，因为我们不能确定Web应

TLS降级攻击的一种抵御方法

在TLS握手期间攻击者可以利用一个或者两个通信方对旧版本或者密码套件的支持发起一系列的攻击本研究利用服务器与浏览器的协调设计实现一种抵御TLS降级攻击的方法

03

AD RMS高可用（一）rms工作原理及实验环境

Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术，它与支持 AD RMS 的应用程序协同工作，以防止在未经授权的情况下使用数字信息（无论是联机和脱机，还是在防火墙内外）。AD RMS 适用于需要保护敏感信息和专有信息（例如财务报表、产品说明、客户数据和机密电子邮件消息）的组织。AD RMS 通过永久使用策略（也称为使用权限和条件）提供对信息的保护，从而增强组织的安全策略，无论信息移到何处，永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据，因此使用权限保持与信息在一起，而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问（无论是联机和脱机，还是在防火墙内外）后得以强制执行。AD RMS 可以建立以下必要元素，通过永久使用策略来帮助保护信息：

02

Windows日志取证

Windows常见安全事件日志ID汇总适用于：Windows Server 2016

01

TSF微服务治理实战系列（四）——服务安全

导语 “道路千万条，安全第一条。治理不规范，老板两行泪”。当企业从单体架构逐渐转向微服务架构时，服务安全的需求也随之分散到了整个微服务体系的各个部分中。这就需要构建一套配置活、成本低的安全防控体系，覆盖请求链路中的各个部分，满足用户的安全诉求。本章将从安全的视角介绍TSF相关的能力，包括服务和网关的鉴权机制、如何保证应用配置的安全、权限管理及事件审计等方面。作者简介崔凯腾讯云 CSIG 微服务产品中心产品架构师多年分布式、高并发电子商务系统的研发、系统架构设计经验，擅长主流微服务架构技术平台的

02

域控信息查看与操作一览表

描述:Nltest是内置于 Windows Server 2008 和 Windows Server 2008 R2 的命令行工具。如果您有 AD DS 或 AD LDS 服务器角色安装，则可用，如果安装活动目录域服务工具的一部分的远程服务器管理工具（RSAT）则也可以用。若要使用nltest您必须从提升的命令提示符下运行nltest命令。注意：要打开提升的命令提示符，请单击开始用鼠标右键单击命令提示符下，然后单击以管理员身份运行。

05

域控信息查看与操作一览表

描述:Nltest是内置于 Windows Server 2008 和 Windows Server 2008 R2 的命令行工具。如果您有 AD DS 或 AD LDS 服务器角色安装，则可用，如果安装活动目录域服务工具的一部分的远程服务器管理工具（RSAT）则也可以用。若要使用nltest您必须从提升的命令提示符下运行nltest命令。注意：要打开提升的命令提示符，请单击开始用鼠标右键单击命令提示符下，然后单击以管理员身份运行。

02

Windows日志取证

Windows常见安全事件日志ID汇总适用于：Windows Server 2016

04

一个请求过来都经过了什么

我面试人家的时候特别喜欢问一个问题：”请描述一下一个请求过来到响应完成都做了什么，越详细越好。” 对于一个高手来说，他只要回答好了这一个问题，技术面试就通过了。所以如果我要去面试，我就把这个问题的答案压缩到40分钟到1个小时。因为一般的技术面试都是这个时间段哒，虽然我其实很想讲上两天。哎，一看我们部门就是做业务的。为了让人家听懂，我一般会设置一个业务场景。比如说：现在用户要开始上传一个视频。那么业务上要经过用户打开浏览器页面，用户点击[选择视频文件]按钮，JS端调用系统本地文件选择器，JS端将视频信息写入

04

微服务架构：Eureka参数配置项详解

作者：袁gg 来源：https://www.areatao.com/article/5b45718d7ab07c574d5888d0?from=timeline&isappinstalled=0 Eu

03

渗透技巧 | Bypass Powershell执行策略的N种方式

1.是Windows原生的2.可以调用Windows API3.无文件执行命令4.可以逃避Anti-Virus的检测(这个其实现在还比较敏感了)5.被大多数程序加入白名单中，标记为可信的6.有许多开源的渗透工具集

02

平台工程的六大支柱之一：安全

平台团队的工作流程和检查表，用于在其平台中构建安全性、流水线、预配、连接性、编排和可观察性。

01

Harbor 入门指南

Harbor 是由 VMware 开源的一款云原生制品仓库，Harbor 的核心功能是存储和管理 Artifact。Harbor 允许用户用命令行工具对容器镜像及其他 Artifact 进行推送和拉取，并提供了图形管理界面帮助用户查看和管理这些 Artifact。在 Harbor 2.0 版本中，除容器镜像外，Harbor 对符合 OCI 规范的 Helm Chart、CNAB、OPA Bundle 等都提供了更多的支持。

04

windows域环境下认证和攻击初识

Kerberos是一种认证机制。目的是通过密钥系统为客户端/服务器应用程序提供强大的可信任的第三方认证服务：保护服务器防止错误的用户使用，同时保护它的用户使用正确的服务器，即支持双向验证。kerberos最初由MIT麻省理工开发，微软从Windows 2000开始支持Kerberos认证机制，将kerberos作为域环境下的主要身份认证机制，理解kerberos是域渗透的基础。

02

网络基础记一次HTTPS证书验证测试过程

说明：采用https的服务器，必须安装数字证书，这个可以是自己制作，也可以想组织申请，区别在于自己颁发的证书，需要客户端验证通过，才可以继续访问（常见的就是浏览器弹窗，提示是否信任该网站），而由像组织申请的受信任证书则不会弹出该提示。

03

2020年了，再不会Https就老了

合格的web后端程序员，除搬砖技能，还必须会给各种web服务器启用Https，本文结合ASP.NET Core部署模型聊一聊启用Https的方式。

01

【ASP.NET Core 基础知识】--安全性--SSL和HTTPS配置

SSL（安全套接层）是一种加密协议，用于在网络上安全地传输数据。它最初由Netscape公司在1990年代中期开发，旨在确保在Internet上进行的通信的安全性和完整性。SSL通过对数据进行加密、认证和完整性验证来保护通信过程，防止数据被窃听、篡改或伪造。 SSL的工作原理如下：

00

如何选择有效的防火墙策略来保护您的服务器

使用防火墙既可以用于制定智能策略决策，也可以用于学习语法。像iptables这样的防火墙能够通过解释管理员设置的规则来实施策略。但是，作为管理员，您需要知道哪些类型的规则对您的基础架构有意义。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭