keycloak - Keycloak-gatekeeper：“aud”声明和“client_id”不匹配

Question

aud设置声明以避免以下错误的正确方法是什么？

unable to verify the id token   {"error": "oidc: JWT claims invalid: invalid claims, 'aud' claim and 'client_id' do not match, aud=account, client_id=webapp"}

我通过硬编码aud声称与我的client_id. 有没有更好的办法？

这是我的docker-compose.yml：

version: '3'
services:
  keycloak-proxy:
    image: "keycloak/keycloak-gatekeeper"
    environment:
     - PROXY_LISTEN=0.0.0.0:3000
     - PROXY_DISCOVERY_URL=http://keycloak.example.com:8181/auth/realms/realmcom
     - PROXY_CLIENT_ID=webapp
     - PROXY_CLIENT_SECRET=0b57186c-e939-48ff-aa17-cfd3e361f65e
     - PROXY_UPSTREAM_URL=http://test-server:8000
    ports:
      - "8282:3000"
    command:
      - "--verbose"
      - "--enable-refresh-tokens=true"
      - "--enable-default-deny=true"
      - "--resources=uri=/*"
      - "--enable-session-cookies=true"
      - "--encryption-key=AgXa7xRcoClDEU0ZDSH4X0XhL5Qy2Z2j"
  test-server:
    image: "test-server"

Answer 1

在最近的 keycloak 版本 4.6.0 中，客户端 ID 显然不再自动添加到访问令牌的受众字段“aud”中。因此，即使登录成功，客户端也会拒绝用户。要解决此问题，您需要为您的客户配置受众（比较文档 [2]）。

在 Keycloak 中配置受众

• 添加领域或配置现有
• 添加客户端 my-app 或使用现有的
• 转到新添加的“客户端范围”菜单 [1]
  • 添加客户范围“优质服务”
  • 在“优质服务”转到 Mappers 选项卡的设置中
    • 创建协议映射器'my-app-audience'
      • 名称：我的应用程序受众
      • 选择映射器类型：受众
      • 包含的客户受众：my-app
      • 添加到访问令牌：打开
• 在“客户端”菜单中配置客户端 my-app
  • 我的应用设置中的客户端范围选项卡
  • 将可用的客户端范围“优质服务”添加到分配的默认客户端范围

如果您有多个客户，请为其他客户重复这些步骤并添加优质服务范围。这背后的目的是隔离客户端访问。颁发的访问令牌仅对目标受众有效。这在 Keycloak 的文档 [1,2] 中有详细描述。

链接到 keycloak 文档的最新主版本：

• [1] https://github.com/keycloak/keycloak-documentation/blob/master/server_admin/topics/clients/client-scopes.adoc
• [2] https://github.com/keycloak/keycloak-documentation/blob/master/server_admin/topics/clients/oidc/audience.adoc

带有 git 标签的链接：

• [1] https://github.com/keycloak/keycloak-documentation/blob/f490e1fba7445542c2db0b4202647330ddcdae53/server_admin/topics/clients/oidc/audience.adoc
• [2] https://github.com/keycloak/keycloak-documentation/blob/5e340356e76a8ef917ef3bfc2e548915f527d093/server_admin/topics/clients/client-scopes.adoc

Answer 2

这是由于一个错误：https ://issues.jboss.org/browse/KEYCLOAK-8954

错误报告中描述了两种解决方法，这两种方法似乎与 此处接受的答案基本相同，但可以应用于 Client Scope ，因此您不必将它们单独应用于每个客户端。role

Answer 3

如果像我一样，你想自动化 keycloak 配置，你可以使用 kcadm

/opt/jboss/keycloak/bin/kcadm.sh \
        创建客户端/d3170ee6-7778-413b-8f41-31479bdb2166/protocol-mappers/models -r your-realm \
        -s 名称=受众映射\
        -s 协议=openid 连接\
        -s protocolMapper=oidc-audience-mapper\
        -s config.\"included.client.audience\"="your-audience" \
        -s 配置。\"access.token.claim\"="true" \
        -s config.\"id.token.claim\"="false"