问题标签 [keycloak-services]

在从 angular js 2 调用端点到 widlfly 服务器时，我得到了这个异常“没有找到孩子的 publicKey”。

身份验证发生在 keycloak 中，但是我使用相同的令牌从同一领域内的不同客户端（不同的微服务）调用大约 8 个端点，但我只为这个微服务调用得到了这个异常。

我确信用户拥有所有客户的所有角色。我还解码了 JWT 上的令牌以验证这一点。

有时有效，有时无效！！这是异常堆栈跟踪：

我正在尝试使用 keycloak REST API 删除用户会话，但得到 403 禁止的 Http 状态代码。我将令牌和 cookie 传递到标题中，如果我遗漏了什么，请告诉我。

我正在评估使用现有（开放）ldap 服务器进行身份管理的 keycloak。

我已经设法将telephoneNumberldap 属性放入 keycloak 中。

如果我尝试通过 keycloak 删除电话号码，则会出现问题：keycloak 尝试将 ldap 属性设置为空字符串，这是不允许的。如果属性为空，有没有办法配置user-attribute-ldap-mapper删除属性？

最好的祝愿

丹尼尔

[编辑] 我已经在 keyloak 上为这个问题打开了一个错误报告

假设我们有几个微服务。他们每个人都使用 Keycloak 身份验证。我们还有基于 for ex 的负载均衡器。nginx，它具有外部 URL 和到 keycloak 的不同路由（例如，在 OpenShift 中它可以是https://keycloak.rhel-cdk.10.1.2.2.xip.io）。但在内部，此地址可能无法访问。还具有依赖于负载均衡器 URL 的微服务配置有点奇怪。更合适的是在微服务内部使用内部 keycloak auth URL，甚至是短 URI。但在这种情况下，由于颁发者验证问题，令牌不会被验证。如何以良好和灵活的方式进行配置？我可以简单地覆盖 realmInfoUrl 以更改验证吗？我可以定义哪个发行者将用于基于客户端的令牌。

另一个问题是如何更好地处理多租户场景？首先在客户端，我想我们没有对多租户的任何特定支持。我应该通过在不同的 URL/标题之间切换并使用适当的配置解析器来手动处理这个问题。在服务器端，我需要为每种情况动态提供适当的 KeycloakDeployment 实例。还有其他建议吗？

我们有非常具体的要求，我们将有两种类型的身份验证机制， username& password username（身份验证将在移动应用程序中通过输入密码完成）

我们在 react 中构建了登录页面，它通过 keycloak 管理客户端调用 keycloak 登录，使用这种方法我们无法维护会话，所以尝试使用 keycloak 会话管理，但是当我们尝试使用 keycloak 时，我没有找到使用现有登录页面的选项。我们需要使用 keycloak 的登录页面并根据需要对其进行自定义，但即使我们这样做，keycloak 也总是需要密码才能登录。

注意：我们有自定义authenticator处理密码登录或移动应用登录的条件。

我正在关注此文档以确保其余服务的安全。我能够获得访问令牌。但是，当我尝试使用令牌调用服务时，出现错误 -

状态：401

WWW-Authenticate Bearer realm="bkofc", error="invalid_token", error_description="没有找到指定孩子的公钥"

我在这里想念什么？与领域设置有什么关系？

Though there is a CSRF token used in the Keycloak Account service, there is CSRF token fixation vulnerability.

To prevent CSRF, a cookie named KEYCLOAK_STATE_CHECKER is used (CSRF defense method: "Double submit cookie"). The CSRF token is required to be unique for each session. But, as this cookie accepts user-agent provided value at login and doesn't clear the cookie at logout, the value of the CSRF token is same across sessions, for the users using the same user-agent.

This vulnerability can be exploited by an attacker to steal this cookie from the victim's browser, even when there is no active victim session. And then, the value can be used by the attacker to perform the CSRF attack. The impact of this attack can be as bad as an attacker taking over as the admin of the IDP and exploiting any application hosted using this IDP service.

A fix for the issue is requested here.

My question is: if there can be a solution/work-around to the problem, until an actual fix is provided?

我可以通过配置 SMTP 服务器详细信息来触发验证电子邮件。

但是，keycloak 中是否有任何方法可以使用 Rest API 或任何其他方式发送电子邮件？尝试搜索这样的 api 但没有运气。

所以，我使用 keycloak 来保护我的服务。客户端应用程序从 keycloak 服务器获取访问令牌，并使用它来保护对 Spring Boot 应用程序的访问。我已经使用仅持有者访问类型为我的 Spring Boot 应用程序配置了 keycloak 属性：

Spring Boot 密钥斗篷启动器：

并配置 KeycloakWebSecurityConfigurerAdapter：

现在，一切正常。我的问题是：不记名令牌是 JWT 令牌，您需要对其进行解码（并验证访问）是公钥，即

为什么需要其他设置，特别是：

公钥不是您所需要的一切吗？

提前致谢

我刚刚开始探索 Keycloak，所以对它不太了解。我可以将验证链接发送到用户的电子邮件 ID。单击电子邮件中存在的验证链接时，它已成功验证。

但是，成功验证后，用户将被重定向到登录页面。我想知道是否可以在验证链接中嵌入某种令牌/安全信息，这将自动让用户在点击验证链接时登录？