java - Keycloak 桌面 java 适配器删除 KEYCLOAK_IDENTITY cookie
问题描述
我遇到了 Keycloak java 适配器的问题。我尝试将桌面应用程序与 Keycloak 集成,并在其他一些 Web 应用程序之间启用 SSO。问题是,当我尝试登录 Keycloak 时,一切正常且顺利,我获得有关正确身份验证的信息,获取令牌,甚至可以毫无问题地解析它,但是在 WebBrowser 中没有创建会话(没有会话,没有 cookie) . 这意味着我不能将刚刚创建的会话与同一 Keycloak 领域中的其他应用程序一起使用,即使 Keycloak 中的会话已正确创建。
此外,在使用我的桌面适配器“成功”登录后,其他应用程序之前创建和存储的更多 cookie 也会被删除(作为 cookie,我的意思是 KEYCLOAK_IDENTITY 和 KEYCLOAK_INDENTITY_LEGACY)。当我检查浏览器 cookie 时,有一些警告声明说 cookie 因过期而被拒绝。
我使用的是KeycloakInstalled适配器(最新的 15.0.2 版本)。我使用页面上的说明对其进行了配置:https ://www.keycloak.org/docs/latest/securing_apps/
在我看来,这种情况下最重要的一段代码:
KeycloakInstalled keycloak = new KeycloakInstalled();
AdapterConfig config = new AdapterConfig();
Map<String, Object> credentials = new HashMap<String, Object>();
credentials.put("secret", secret);
config.setAuthServerUrl(url);
keycloak.getDeployment().setRealm(realm);
keycloak.getDeployment().setAuthServerBaseUrl(config);
keycloak.getDeployment().setResourceName(resource);
keycloak.getDeployment().setResourceCredentials(credentials);
keycloak.getDeployment().setClientAuthenticator(ClientCredentialsProviderUtils.bootstrapClientAuthenticator(keycloak.getDeployment()));
keycloak.loginDesktop();
在这种情况下,一些 Keycloak 属性在keycloak.json文件中静态设置,一些在 Java 中动态设置(上面的示例)。在keycloak.json文件中, realm、auth-server-url、resource和secret等一些属性填充了垃圾数据,因为它们是稍后动态设置的。
{
"realm": "<realm>",
"auth-server-url": "<url>",
"ssl-required": "external",
"resource": "<keycloak-client>",
"use-resource-role-mappings": true,
"credentials" : {
"secret" : "abc"
},
"truststore" : "<file>.jks",
"truststore-password" : "<password>"
}
我设置的 Keycloak 的客户端配置是这样的:
如何避免使用桌面适配器删除会话 cookie?
解决方案
我已经解决了我的问题。一切都与适配器身份验证机制有关。它是这样工作的:
- 适配器连接到 keycloak 以验证用户。
- 然后从标记为redirect_url的第一个url重定向到参数中的地址,以告诉适配器身份验证是肯定的。请注意,到目前为止,每个 cookie 都已正确设置。
- 然后有另一个重定向到/delegated端点,这会使所有会话 cookie 过期。这一切都归功于 Keycloak 存储库中的这段代码:
@Path("delegated")
public Response kcinitBrowserLoginComplete(@QueryParam("error") boolean error) {
AuthenticationManager.expireIdentityCookie(realm, session.getContext().getUri(), clientConnection);
AuthenticationManager.expireRememberMeCookie(realm, session.getContext().getUri(), clientConnection);
...
}
我所做的是创建自己的CustomKeycloakInstalled类,扩展原始KeycloakInstalled在其中我复制了关键方法loginDesktop()和一些其他必要的方法来让loginDesktop()正常工作,而且 - 最重要的是,覆盖返回最后一个重定向 url 的函数(/delegated)和我自己的:
private String getRedirectUrl() {
String redirectUrl = CustomKeycloakInstalled.this.getDeployment().getTokenUrl()
.replace("/protocol/openid-connect/token", "/my-endpoint");
if (this.error != null) {
redirectUrl = redirectUrl + "?error=true";
}
return redirectUrl;
}
现在每个 cookie 都已正确设置,SSO 运行良好,但 Keycloak 服务器中没有/my-endpoint,因此最后一步是实施和部署它。我在下面使用了 KeycloakResourceProvider 示例: https ://github.com/keycloak/keycloak/tree/master/examples/providers/rest
这真的很简单,所以我所做的就是用委托的 Keycloak 端点的实现替换get()方法,但没有过期的 cookie 片段:
@GET
@Produces("text/plain; charset=utf-8")
public Response get(@QueryParam("error") boolean error) {
if (error) {
LoginFormsProvider forms = session.getProvider(LoginFormsProvider.class);
return forms
.setAttribute("messageHeader", forms.getMessage(Messages.DELEGATION_FAILED_HEADER))
.setAttribute(Constants.SKIP_LINK, true).setError(Messages.DELEGATION_FAILED).createInfoPage();
} else {
LoginFormsProvider forms = session.getProvider(LoginFormsProvider.class);
return forms
.setAttribute("messageHeader", forms.getMessage(Messages.DELEGATION_COMPLETE_HEADER))
.setAttribute(Constants.SKIP_LINK, true)
.setSuccess(Messages.DELEGATION_COMPLETE).createInfoPage();
}
}
然后编译它并部署在 Keycloak 中。
推荐阅读
- c# - 如何将自定义类型作为参数传递给已编译的 cmdlet?
- google-apps-script - 在特定时间编写脚本以清除数据,归档清除的数据,并在可能的情况下将某些字段移动到单独的工作表
- android - 我的带有 externalProject_add (cmake) 的 android 应用程序不执行 ninja
- javascript - JavaScript - 推送数组的索引
- sql - 面临 3 个表的 SQL 查询问题
- python - 泡菜和打开文件的区别?
- c# - WPF .Net Core 3.1 WPF 转换不顺利(有趣的问题!!)
- python - 如何在 Python 中绘制此函数?
- jsf - Etat HTTP 500 - 无法找到带有 [0] 参数的方法 [isDelaiAvis]
- scala - Apache Flink Kryo 序列化程序 - ClassNotFoundException