keycloak从一个新的域和一些客户端配置开始
基础概念
Keycloak是一个开源的身份和访问管理解决方案,它提供了单点登录(SSO)、身份代理、LDAP和Active Directory集成、OAuth 2.0和OpenID Connect支持等功能。Keycloak的核心组件包括领域(Realm)、客户端(Client)、用户(User)、组和角色(Role)等。
相关优势
- 开源与社区支持:Keycloak是一个活跃的开源项目,拥有强大的社区支持和频繁的更新。
- 易于集成:Keycloak可以轻松地与现有的应用程序和基础设施集成。
- 灵活的认证和授权:支持多种认证和授权机制,包括OAuth 2.0、OpenID Connect、SAML 2.0等。
- 可扩展性:可以通过插件和自定义服务来扩展Keycloak的功能。
类型
Keycloak的配置主要包括领域(Realm)和客户端(Client)的配置。
应用场景
Keycloak广泛应用于需要身份验证和授权的Web应用程序、移动应用程序和微服务架构中。
配置新的域和客户端
创建新的域
- 打开Keycloak管理控制台。
- 点击“添加领域”按钮。
- 输入领域的名称和其他必要信息,然后点击“创建”。
配置客户端
- 在Keycloak管理控制台中,选择刚刚创建的领域。
- 点击“客户端”选项卡。
- 点击“创建”按钮来添加一个新的客户端。
- 填写客户端的名称、客户端协议(如openid-connect)和其他必要信息。
- 配置客户端的设置,如访问类型(confidential/public)、服务URLs、重定向URIs等。
- 点击“保存”来完成客户端的配置。
可能遇到的问题及解决方法
问题:无法创建新的领域或客户端
原因:可能是由于权限不足或网络问题。
解决方法:
- 确保你有足够的权限来创建领域和客户端。
- 检查网络连接是否正常。
- 查看Keycloak的日志文件以获取更多错误信息。
问题:客户端无法正常工作
原因:可能是由于配置错误或证书问题。
解决方法:
- 仔细检查客户端的配置,确保所有必要的设置都已正确配置。
- 确保客户端使用的证书是有效的,并且与Keycloak服务器上的证书匹配。
- 查看Keycloak和客户端的日志文件以获取更多错误信息。
示例代码
以下是一个简单的示例,展示如何在Java应用程序中使用Keycloak进行身份验证:
import org.keycloak.KeycloakSecurityContext;
import org.keycloak.adapters.KeycloakDeployment;
import org.keycloak.adapters.spi.HttpFacade;
import org.keycloak.adapters.springsecurity.KeycloakConfiguration;
import org.keycloak.adapters.springsecurity.authentication.KeycloakAuthenticationProvider;
import org.keycloak.adapters.springsecurity.config.KeycloakWebSecurityConfigurerAdapter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.core.authority.mapping.SimpleAuthorityMapper;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy;
import org.springframework.security.web.authentication.session.SessionAuthenticationStrategy;
@KeycloakConfiguration
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new SimpleAuthorityMapper());
auth.authenticationProvider(keycloakAuthenticationProvider);
}
@Bean
public KeycloakSpringBootConfigResolver KeycloakConfigResolver() {
return new KeycloakSpringBootConfigResolver();
}
@Bean
@Override
protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasRole("USER")
.anyRequest().authenticated();
}
}参考链接
通过以上信息,你应该能够了解Keycloak的基本概念、优势、类型、应用场景以及如何配置新的域和客户端。如果在配置过程中遇到问题,可以参考上述解决方法进行排查和解决。
相关·内容
在我的设计中,我尝试使用keycloak作为身份验证服务。在我的例子中,当keycloak启动时,除了默认的主域之外,我还需要一个域。假设新机构名为"demo“。所以这意味着当keycloak启动时,它应该有两个域(master和demo)。 此外,在realm演示中,我需要配置默认客户端"admin-cli“以启用"
浏览 80提问于2021-02-24得票数 1
回答已采纳
刚刚开始使用Keycloak。我创建了一个身份提供者,设置了一切,当客户端执行openid请求时,它会通过keycloak成功地转到我的提供者后端。但作用域字段在提供程序设置中已完全替换为“Default claims”,不包含请求的声明。我创建了一个客户端作用域,并将其放在“可选列表”中,因此,如果客户端请求它,但它没有帮助,则应该发送它。我还有一个关于clai
浏览 0提问于2019-11-26得票数 0
1回答
为了保护前端应用程序的安全,我创建了一个具有自定义配置的新Keycloak客户端:此设置在本地开发设置中运行良好现在,我们需要将此配置转移到其他环境,如开发/预生产/生产阶段。完成realmSpecific客户端
看起来这两种分配都有
浏览 7提问于2022-07-08得票数 0
回答已采纳
我们正在构建一个应用程序,其中多个客户端可以注册并拥有自己的用户群。例如,客户端“LDAP”可以注册,然后允许他们的用户使用自己的用户名(一些来自CompanyA)访问我们的系统。"CompanyB“也可以做同样的事情,用户名对于一个客户端是唯一的,但可以在多个客户端之间重复。
我们使用keycloak来实现这一点,并使用领域的
浏览 0提问于2020-02-21得票数 2
2回答
我安装了Keycloak服务器,服务器机器上的一切都运行良好,但是当我尝试将Keycloak与本地计算机(Localhost)集成时,我得到的是
甚至我也会检查我的本地机器ip地址并添加到Keycloak->Clients->Settings->Valid Redirect URIs中,即使这样,我也会得到相同的异常。
浏览 19提问于2017-05-13得票数 11
我正在使用keycloak和我的dotnet应用程序来处理身份验证--使用Keycloak 18,我希望使用动态作用域,并且在运行时还需要能够根据当前用户和操作更改我的作用域值。用例是,用户通过选择一些选项添加需要在运行时由keycloak评估的附加作用域,假设用户根据这个app选择一个应用程序和一个名为app:<APP_ID><em
浏览 6提问于2022-05-31得票数 1
在Keycloak中,对于同一领域中的所有客户端,是否可能只有一次登录?我已经以这种方式配置了服务器(从管理控制台):我已经分别测试了这两个客户端,它们工作正常(出现默认的keycloak
浏览 2提问于2019-10-08得票数 4
我有一个REST,它应该使用Keycloak来授权传入的请求。在API中配置所需的作用域时,我遇到了问题。在Keycloak中,我为API定义了一个客户机,为调用服务定义了一个客户机,并定义了两个用户。两个用户都有一些领域角色。我的API的客户端定义了一个资源、一些作用域(例
浏览 3提问于2019-12-18得票数 2
回答已采纳
当登录到控制台时,Keycloak服务器发送一个路径值为"/auth“的额外AUTH_SESSION_ID cookie。我正在Windows2016服务器上运行Keycloak3.4.3最后的、独立的HA配置,这些服务器位于F5负载均衡器后面。当这个cookie出现在浏览器中,用户在不关闭浏览器的情况下登录/退出控制台时,它最终会导致Keycloak警告用户“您登录时间太长了。登录过程从一</e
浏览 1提问于2018-02-28得票数 4
回答已采纳
我有一个由Keycloak保护的多租户应用程序(springboot keycloak适配器+ spring安全性)。考虑到项目的多租户特性,我编写了一个工作良好的多客户端连接器。在正式的Keycloak文档中,建议(对于多租户应用程序)将每个租户建模为一个新的领域,但对于我来说,在同一个领域中拥有多个客户机更好。这是由于以下优点:
客户范围、组和其他信任可以共享
浏览 3提问于2019-10-11得票数 4
回答已采纳
我有一些麻烦,使用钥匙斗篷-管理-客户端在春季启动。如果我尝试使用此代码,将得到401 (未经授权): var keycloak = KeycloakBuilder.builder;另外,如果我在上面的代码中添加了.resteasyClient(....)和.clientSecret(...),我就会收到错误的请求。
在客户角色中,我创建了一个新的</em
浏览 1提问于2020-05-06得票数 3
我目前正在设置Keycloak,以便为某些服务提供保护。将会有外部客户和内部服务在我的服务上使用相同的端点。
我是否可以在用户、角色或客户端级别设置令牌过期,或者混合使用令牌和基本身份验证?
浏览 2提问于2016-06-30得票数 24
我们已经使用keycloak配置了一个基于SAML的ext-idp。现在,我们正在尝试将用户从ext-idm添加到keycloak。用法是,同一个用户已经存在于keycloak中,并且同一个用户正在尝试从ext-idm登录。现在,keycloak正在显示一个用于链接用户的同意页面。有没有办法绕过这个同意,将ext-idm用户链接到keycloak用户? 对于密钥罩中的</e
浏览 16提问于2019-05-27得票数 0
3回答
Keycloak公共客户端和授权
、、、、
我们使用带有Jetty的Keycloak适配器进行身份验证和使用Keycloak进行授权。根据
这个流程的另一个重要的方面是公共和机密客户端的概念。机密客户端在将临时代码交换为令牌时,必须提供客户端机密。公共客户不需要提供此客户端机密。只要严格执行HTTPS,并且您对为客户端注册什么重定向URI非常严格,公共客户端就会非常好。HTML5 5&#
浏览 1提问于2018-11-02得票数 24
回答已采纳
我已经成功地安装了Keycloak和一个公共/前端的spring引导应用程序。一切都如期而至。前端Spring被配置为领域中的客户端( App -ui),用户可以通过keycloak登录,令牌成功地传递了所有的东西。Security正在确保端点的安全,并且端点的角色受到尊重。对于后端Spring应用程序,我需要在Keycloak中配置什么吗?它是否应该作为机密/
浏览 4提问于2018-11-05得票数 6
回答已采纳
1回答
我正在尝试使用keycloak-admin-client创建一个新的Keycloak客户端。这是我的密码: KeycloakBuilder.builder()我的用例是,我使用的是主要的Keycloak管理。我需要能够使用客户端API来设置一个</em
浏览 2提问于2021-03-24得票数 2
回答已采纳
我在keycloak中创建了一个客户端,并将它的访问类型配置为“保密”。我可以使用REST protocol/openid-connect/token和clientId和客户端机密来获取这个客户机的访问令牌。在我的设计中,我需要使用客户端访问令牌在其领域中发布一个角色(角色需要属于领域,而不是这个客户端)。然后我就可以看到邮件请求被拒绝了。我已
浏览 0提问于2021-03-18得票数 4
回答已采纳
我目前正在设置一个新的KeyCloak实例,并尝试实现以下目标:用户将被放入组中-这些组将获得特定于客户端的角色就像角色将使他能够访问REST API一样,组将过滤他将收到的结果。gi
浏览 2提问于2020-01-06得票数 2
1回答
我目前正在做一个项目,我的后端使用Spring、security + keycloak并运行在本地主机上:8081。我的前端(svelte)运行在上,url 需要从本地主机访问数据:8081/products(需要登录),但是来自keycloak的登录页面没有出现。换句话说,我想要实现的是:我希望url 重定向到localhost:8081/products,它重定向到keycloak登录页面,在成功登录之后,我想返回到,在那里我将
浏览 7提问于2022-10-11得票数 0
回答已采纳
我有一个浏览器前端和多个机器对机器客户端使用的RESTful API。因此,我通过标准流(授权代码)和服务帐户流(客户端凭据)发行带有Keycloak 18的令牌。当我将领域角色分配给客户端作用域时,如果我将用户映射到相同的领域角色,则通过授权代码流(浏览器前端)发出的令牌包含该范围。另外,当我创建一个机器对机器客户端,并直接添加到客户端范围时,
浏览 8提问于2022-08-02得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
