keycloak~认证与校验使用说明

主要内容

  • 密码认证
  • 授权码认证 哪个client申请的code,使用哪个client获取token
  • 客户端认证 在kc开通了服务端帐号之后,可通过client_id和client_secret来获取token,与用户无关,无刷新token机制
  • 自动触发社区认证 当用户在社区网站上登录后,访问这个地址可自动登录网站
  • 验证token是否在线 可使用任意client来验证所有token的在线性
  • refresh_token刷新token 哪个client生成的token,就用哪个client去刷新
  • 登出/注销 官方post方式和浏览器302方式

密码认证

  • POST /auth/realms/your-realm/protocol/openid-connect/token
  • 请求体 x-www-form-urlencoded
grant_type:password
username:test
password:123456
client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
client_id:democlient
  • 响应
{
    "access_token": "*.*.*",
    "expires_in": 3000,
    "refresh_expires_in": 1800,
    "refresh_token": "*.*.*",
    "token_type": "bearer",
    "not-before-policy": 1619512543,
    "session_state": "765969ec-94da-4edb-9dcb-e15ea3e0ad3b",
    "scope": "roles email profile"
}

授权码认证

注意的几点

  • code时的redirect_uri和authorization_code的需要是一致的,不一致的错误
{
    "error": "invalid_grant",
    "error_description": "redirect_uri error"
}
  • code时的client_id和client_secret和authorization_code的需要是一致的,不一致的错误,这块我已经修改了源码,去掉了这个限制
    {
    "error": "invalid_grant",
    "error_description": "Auth error"
    }
  • code的组成
    它由3部分组成,中间使用.分割,第一部分是UUID,第二部分是用户会话ID【session_state】,第三部分是客户端ID,例如:
5c33f9a2-cbf4-4804-a8ee-e2d076eda2d6.40be5301-f41b-4f0d-97e7-d2074db2801c.ff591897-7654-460e-9c19-8e8f92117768

请求code

  • GET /auth/realms/your-realm/protocol/openid-connect/auth
  • QUERY
client_id:democlient
scope:openid
response_type:code
client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
redirect_uri:http://localhost:9090/callback
  • 跳转到kc的登录页,完成用户名和密码的登录

  • 登录成功之后,跳回callback删除,在url参数上带上了code

请求token

  • POST /auth/realms/your-realm/protocol/openid-connect/token
  • 请求体 x-www-form-urlencoded
grant_type:authorization_code
code:68058719-add6-4b40-ab96-8e71af03827a.7a31b1a9-c3e8-46d4-b8cc-345012fcf4a2.25e52f60-5991-43dd-9108-873f60af385d
client_id:democlient
client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
scope:openid
redirect_uri:http://localhost:9090/callback
  • 响应
{
    "access_token": "*.*.*",
    "expires_in": 3000,
    "refresh_expires_in": 1800,
    "refresh_token": "*.*.*",
    "token_type": "bearer",
    "id_token": "*.*.*",
    "not-before-policy": 1619660302,
    "session_state": "14812f50-b9f7-4cee-be56-bf9bef5c961a",
    "scope": "openid roles email profile"
}

客户端认证

客户端认证,与用户无关,主要保证向keycloak发起的请求,来自合法的client即可(由keycloak颁发的client)

  • POST /auth/realms/your-realm/protocol/openid-connect/token
  • 请求 x-www-form-urlencoded
  • 参数
grant_type:client_credentials
client_secret:912ecc47-60b1-4dd4-8f62-c7745c293cab
client_id:kce
  • 注意,需要在keycloak客户端配置开启服务账号

  • 如果没有开启服务账号,将出现下面异常
{
    "error": "unauthorized_client",
    "error_description": "Client not enabled to retrieve service account"
}

自动触发社区认证

carsi中出现的东西,院校希望直接通过固定的uri实现社区登录,故开发这个功能

  • 这个里的重定向认证使用的认证流是carsi

  • 其次,需要新添加客户端,专门用来发送社区自动认证请求的,如carsi-auto,或者配置客户端的自定义认证方式

  • 最后,测试一下,你可以看到,通过这个地址,可以唤起社区登录,最后回调到我们OIDC认证上来

验证token是否在线

是否触发了keycloak的logout接口,如果触发了,那token将被删除,在线状态active为false,如果不希望提供client_secret参数,也可以通过/auth/realms/your-realm/protocol/openid-connect/userinfo接口来判断token是否有效,httpcode为401表示token失效.

  • 使用场景:a客户端在kc申请的token,可以在b客户端调用kc的接口去校验它的合法性
  • POST /auth/realms/your-realm/protocol/openid-connect/token/introspect
  • 请求体 x-www-form-urlencoded
token:*.*.*
client_id:democlient
client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
  • 响应,状态码都是200,如果json体中active为false,表示已经离线
{
    "active": false
}

refresh_token刷新token

注意,刷新token与客户端有关,自己客户端生产的access_token,只能由自己客户端去refresh_token刷新

  • POST /auth/realms/your-realm/protocol/openid-connect/token
grant_type:refresh_token
refresh_token:*.*.*
client_id:democlient
client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
  • 响应
    新的token对象
{
    "access_token": "*.*.*",
    "expires_in": 3000,
    "refresh_expires_in": 1800,
    "refresh_token": "*.*.*",
    "token_type": "bearer",
    "not-before-policy": 1621497420,
    "session_state": "405d25b0-5128-45ae-9934-953eecb79894",
    "scope": "roles profile"
}

登出/注销

KC的登出是属于会话的登出,通过这个会话产生的所有token(一个会话可能对应多个不同client的token)都将会退出

一般地,如果是前后不分享项目,应该还会清除自己网站的session会话,然后再去调用KC的接口

  • POST /auth/realms/your-realm/protocol/openid-connect/logout
  • 请求体 x-www-form-urlencoded
refresh_token:*.*.*
client_id:democlient
client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
  • 响应
HttpCode为200或者204表示操作成功
  • 浏览器端可通过这个接口来实现302浏览器跳转方式的登出
GET /auth/realms/your-realm/sms/remove-sessions?redirect_uri={redirect_uri}
登出后,KC会跳转到redirectUri的页面
posted @   张占岭  阅读(146)  评论(1编辑  收藏  举报
相关博文:
阅读排行:
· 【.NET】调用本地 Deepseek 模型
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
历史上的今天:
2022-02-14 springcloud~nacos中的共享配置文件
2017-02-14 Js~对数组的操作
2012-02-14 重构artDialog.prompt方法,让它支持多行文本
点击右上角即可分享
微信分享提示