spring-boot - Spring Boot - 无法通过 Zuul 代理获得 Keycloak 授权 api 的响应
问题描述
我为我的应用程序使用 Spring Boot 微服务和 docker。我已经通过 Zuul 代理公开了所有端点。而且我还使用 keycloak 来保护我的 api 端点。我在application.properties
文件中配置如下所示。目前我无法获得授权使用的微服务 api 的响应keycloak.securityConstraints
。
请注意,我还将 docker0 的子网和网关更改为169.254.0.1/24
和169.254.0.1
。请找到我的应用程序的以下文件。
docker-compose.yml不指定子网
version: "3"
services:
eureka-naming-server:
image: eureka-naming-server
ports:
- "8761:8761"
container_name: eureka-naming-server
zuul-proxy-service:
image: zuul-proxy-service
ports:
- "8765:8765"
links:
- eureka-naming-server
container_name: zuul-proxy-service
user-service:
image: user-service
ports:
- "8082:8082"
links:
- eureka-naming-server
container_name: user-service
keycloak:
image: jboss/keycloak
container_name: keycloak
environment:
KEYCLOAK_USER: user
KEYCLOAK_PASSWORD: user_password
ports:
- 8080:8080
带有指定默认子网的 docker-compose.yml
version: "3"
services:
eureka-naming-server:
image: eureka-naming-server
ports:
- "8761:8761"
container_name: eureka-naming-server
zuul-proxy-service:
image: zuul-proxy-service
ports:
- "8765:8765"
links:
- eureka-naming-server
container_name: zuul-proxy-service
user-service:
image: user-service
ports:
- "8082:8082"
links:
- eureka-naming-server
container_name: user-service
keycloak:
image: jboss/keycloak
container_name: keycloak
environment:
KEYCLOAK_USER: user
KEYCLOAK_PASSWORD: user_password
ports:
- 8080:8080
networks:
default:
ipam:
config:
- subnet: "169.254.3.0/24"
Zull代理的application.yml
server:
port: 8765
eureka:
client:
serviceUrl:
defaultZone: http://eureka-naming-server:8761/eureka/
instance:
prefer-ip-address: true
metadataMap:
instanceId: ${vcap.application.instance_id:${spring.application.name}:${spring.application.instance_id:${random.value}}}
instanceId: ${vcap.application.instance_id:${spring.application.name}:${spring.application.instance_id:${random.value}}}
zuul:
prefix: /api
sensitive-headers:
add-proxy-headers: false
routes:
user-service:
path: /user/**
service-id: USER-SERVICE
用户服务的application.yml
spring.application.name=user-service
keycloak.realm=master
keycloak.resource=my-client
keycloak.auth-server-url=http://<ip>/auth
keycloak.public-client=true
keycloak.principal-attribute=preferred_username
keycloak.securityConstraints[0].authRoles[0]=admin
keycloak.securityConstraints[0].securityCollections[0].patterns[0]=/change-password
这是我的问题
1)当我不使用 zuul 代理(即http//:8082/change-password)时,我可以使用有效的 keycloak 令牌成功获得响应。但是,当使用带有指定默认子网的http//:8765/api/user/change-password和docker-compose.yml 时,我无法得到响应。
对于有效令牌,我总是会收到具有 200 状态的响应标头。
cache-control: private
date: Wed, 21 Aug 2019 11:02:02 GMT
expires: Thu, 01 Jan 1970 00:00:00 GMT
transfer-encoding: chunked
并在用户服务日志中创建以下日志。
2019-08-21 03:18:26.191 WARN [-,,,] 1 --- [nio-8087-exec-2] o.k.adapters.RequestAuthenticator : SSL is required to authenticate. Remote address 169.254.0.4 is secure: false, SSL required for: EXTERNAL .
但是,当我使用无效令牌时,我收到 401 错误(如预期的那样)。
我需要为这个问题使用路由过滤器吗???
任何帮助将不胜感激!
解决方案
似乎所有外部请求都需要 SSL。这可以通过Realm Settings -> Login -> Require SSL
(https://www.keycloak.org/docs/5.0/server_admin/index.html#_ssl_modes)中的管理控制台进行设置。出于测试目的,您可以尝试将其设置为None
. 永远不要在生产系统上这样做。
可以为客户端(在application.yml
用户服务中)做同样的事情:
keycloak.ssl-required = none
(https://www.keycloak.org/docs/latest/securing_apps/index.html#_java_adapter_config)
推荐阅读
- java - 如何创建二进制文件?
- c# - SaveFileDialog 我应该使用 FilterIndex 属性还是 FileName 属性的扩展名?
- c# - 我不能将多个参数传递给 ASP Web API
- excel - Excel VBA - InputBox 和 Autofilter UK 日期格式问题
- c - 如何在c编程中将整数转换为字符串?(例如 0 => 零)
- javascript - “ReferenceError:未定义”尽管在 html 文件中列为脚本
- android - 故意不授予位置权限后应用退出
- php - 如何使用 web.config 将所有 .asp 页面 301 重定向到 IIS 上的 .php 页面
- asp.net - 需要算法预订房间
- html - 将系统时间格式更改为 24 小时后,输入类型时间应为上午/下午