우리는 Keycloak을 SSO 솔루션으로 평가하려고 노력하고 있으며 여러 측면에서 좋아 보이지만 문서에는 기본이 부족합니다.
http://localhost:8080/
영역 에 대해 지정된 Keycloak 설치의 test
경우 OAuth2 인증 엔드 포인트 , OAuth2 토큰 엔드 포인트 및 OpenID Connect UserInfo 엔드 포인트는 무엇입니까?
우리는 Keycloak의 자체 클라이언트 라이브러리를 사용하는 데 관심이 없습니다. keycloak 서버를 사용하는 클라이언트 애플리케이션은 광범위한 언어 (PHP, Ruby, Node, Java, C #)로 작성되므로 표준 OAuth2 / OpenID Connect 클라이언트 라이브러리를 사용하려고합니다. , 각도). 따라서 Keycloak 클라이언트를 사용하는 예제는 우리에게 유용하지 않습니다.
답변
Keycloak 1.2의 경우 위 정보는 URL을 통해 검색 할 수 있습니다.
http : // keycloakhost : keycloakport / auth / realms / {realm} /. well-known / openid-configuration
예를 들어 영역 이름이 demo 인 경우 :
http : // keycloakhost : keycloakport / auth / realms / demo / .well-known / openid-configuration
위 URL의 출력 예 :
{
"issuer": "http://localhost:8080/auth/realms/demo",
"authorization_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/auth",
"token_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/token",
"userinfo_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/userinfo",
"end_session_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/logout",
"jwks_uri": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/certs",
"grant_types_supported": [
"authorization_code",
"refresh_token",
"password"
],
"response_types_supported": [
"code"
],
"subject_types_supported": [
"public"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"response_modes_supported": [
"query"
]
}
https://issues.jboss.org/browse/KEYCLOAK-571 에서 정보를 찾았습니다.
참고 : 유효한 리디렉션 URI 목록에 클라이언트를 추가해야 할 수 있습니다.
답변
버전 1.9.3.Final에서 Keycloak은 많은 OpenID 끝점을 사용할 수 있습니다. 에서 찾을 수 있습니다 /auth/realms/{realm}/.well-known/openid-configuration
. 영역의 이름이라고 가정하면 demo
해당 엔드 포인트는 이와 유사한 JSON 응답을 생성합니다.
{
"issuer": "http://localhost:8080/auth/realms/demo",
"authorization_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/auth",
"token_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/token",
"token_introspection_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/token/introspect",
"userinfo_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/userinfo",
"end_session_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/logout",
"jwks_uri": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/certs",
"grant_types_supported": [
"authorization_code",
"implicit",
"refresh_token",
"password",
"client_credentials"
],
"response_types_supported": [
"code",
"none",
"id_token",
"token",
"id_token token",
"code id_token",
"code token",
"code id_token token"
],
"subject_types_supported": [
"public"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"response_modes_supported": [
"query",
"fragment",
"form_post"
],
"registration_endpoint": "http://localhost:8080/auth/realms/demo/clients-registrations/openid-connect"
}
내가 찾은 한 이러한 엔드 포인트는 Oauth 2.0 사양을 구현합니다 .
답변
실제로 링크 .well-know
는 영역 설정의 첫 번째 탭에 있지만 링크는 링크처럼 보이지 않지만 텍스트 상자의 값으로 … 잘못된 UI 디자인입니다.
Realm의 일반 탭 스크린 샷
답변
많은 파고 끝에 우리는 정보를 다소 긁어 낼 수있었습니다 (주로 Keycloak의 자체 JS 클라이언트 라이브러리에서) :
- 승인 끝점 :
/auth/realms/{realm}/tokens/login
- 토큰 끝점 :
/auth/realms/{realm}/tokens/access/codes
에 관해서는 오픈 ID 연결 사용자 정보 가 완전히 오픈 ID 연결을 준수하지 않는, 그래서 지금 (1.1.0.Final) Keycloak이 엔드 포인트를 구현하지 않습니다. 그러나이 글을 쓰는 시점에서 1.2.x에 포함되어야한다고 추가 하는 패치 가 이미 있습니다.
하지만 아이러니하게도 Keycloak은 id_token
액세스 토큰과 함께 다시 전송 합니다. 모두 id_token
와 access_token
있다 서명 JWT를 , 및 토큰의 키, 즉 오픈 ID 연결의 키는 있습니다 :
"iss": "{realm}"
"sub": "5bf30443-0cf7-4d31-b204-efd11a432659"
"name": "Amir Abiri"
"email: "..."
따라서 Keycloak 1.1.x는 OpenID Connect와 완전히 호환되지는 않지만 OpenID Connect 언어로 “말”합니다.
답변
버전 1.9.0에서 모든 엔드 포인트가있는 json은 / auth / realms / {realm} 주소에 있습니다.
- 승인 끝점 : / auth / realms / {realm} / account
- 토큰 엔드 포인트 : / auth / realms / {realm} / protocol / openid-connect
