44

aud设置声明以避免以下错误的正确方法是什么?

unable to verify the id token   {"error": "oidc: JWT claims invalid: invalid claims, 'aud' claim and 'client_id' do not match, aud=account, client_id=webapp"}

我通过硬编码aud声称与我的client_id. 有没有更好的办法?

这是我的docker-compose.yml

version: '3'
services:
  keycloak-proxy:
    image: "keycloak/keycloak-gatekeeper"
    environment:
     - PROXY_LISTEN=0.0.0.0:3000
     - PROXY_DISCOVERY_URL=http://keycloak.example.com:8181/auth/realms/realmcom
     - PROXY_CLIENT_ID=webapp
     - PROXY_CLIENT_SECRET=0b57186c-e939-48ff-aa17-cfd3e361f65e
     - PROXY_UPSTREAM_URL=http://test-server:8000
    ports:
      - "8282:3000"
    command:
      - "--verbose"
      - "--enable-refresh-tokens=true"
      - "--enable-default-deny=true"
      - "--resources=uri=/*"
      - "--enable-session-cookies=true"
      - "--encryption-key=AgXa7xRcoClDEU0ZDSH4X0XhL5Qy2Z2j"
  test-server:
    image: "test-server"
4

3 回答 3

137

在最近的 keycloak 版本 4.6.0 中,客户端 ID 显然不再自动添加到访问令牌的受众字段“aud”中。因此,即使登录成功,客户端也会拒绝用户。要解决此问题,您需要为您的客户配置受众(比较文档 [2])。

在 Keycloak 中配置受众

  • 添加领域或配置现有
  • 添加客户端 my-app 或使用现有的
  • 转到新添加的“客户端范围”菜单 [1]
    • 添加客户范围“优质服务”
    • 在“优质服务”转到 Mappers 选项卡的设置中
      • 创建协议映射器'my-app-audience'
        • 名称:我的应用程序受众
        • 选择映射器类型:受众
        • 包含的客户受众:my-app
        • 添加到访问令牌:打开
  • 在“客户端”菜单中配置客户端 my-app
    • 我的应用设置中的客户端范围选项卡
    • 将可用的客户端范围“优质服务”添加到分配的默认客户端范围

如果您有多个客户,请为其他客户重复这些步骤并添加优质服务范围。这背后的目的是隔离客户端访问。颁发的访问令牌仅对目标受众有效。这在 Keycloak 的文档 [1,2] 中有详细描述。

链接到 keycloak 文档的最新主版本:

带有 git 标签的链接:

于 2018-12-05T08:07:36.630 回答
15

这是由于一个错误:https ://issues.jboss.org/browse/KEYCLOAK-8954

错误报告中描述了两种解决方法,这两种方法似乎与 此处接受的答案基本相同,但可以应用于 Client Scope ,因此您不必将它们单独应用于每个客户端。role

于 2019-04-27T23:28:42.460 回答
6

如果像我一样,你想自动化 keycloak 配置,你可以使用 kcadm

/opt/jboss/keycloak/bin/kcadm.sh \
        创建客户端/d3170ee6-7778-413b-8f41-31479bdb2166/protocol-mappers/models -r your-realm \
        -s 名称=受众映射\
        -s 协议=openid 连接\
        -s protocolMapper=oidc-audience-mapper\
        -s config.\"included.client.audience\"="your-audience" \
        -s 配置。\"access.token.claim\"="true" \
        -s config.\"id.token.claim\"="false"
于 2020-04-06T12:30:29.550 回答