hebian1994的博客

这里，后端会从keycloak获取公钥并保存，然后用公钥来验证前端发来的token。新建两个client，一个用于前端，一个用于后端。新建一个realm,名字叫test1。在两个client下分别创建role。启动keycloak18。

降低JDK，我这直接从21降低到了8。参照官方文档building.md。网络问题，换个镜像或者XXX。

再次启动org.keycloak.testsuite.KeycloakServer。可能会报错，没什么问题，只要能下载大部分的依赖就行。修改maven的镜像仓库为官方指定的，否则会报错。直接DEBUG启动，找到决定使用什么DB的地方。自动创建了一个超管账户admin admin。修改keycloak-server.json。然后先install一遍下载各种依赖。可以发现默认使用了h2做了DB。java和maven的版本如下。DB里自动初始化了几十个表。github下载源码，然后用IDEA打开源码。

自己写SPRINGBOOT的话将两个逻辑拷贝过来，再去管理页面将两个URL替换成自己的即可。查看DEMO项目的代码，生成认证路径跳转过去，用户认证后由server端回调过来。不想从这点进去也可以直接匿名打开个窗口直接访问。也会跳转到登录页面，输入账号密码后登录成功。乱输密码的话登录不成功还会卡一会。2-打开教程，里面说的很详细了。1-下载安装包安装启动。

设置OKTA认证成功之后返回toekn的URL，这个地址如果springsecurity没有指定登录URL，就默认是这个。修改代码开个8080端口，然后在OKTA中配置以下重定向的URL，启动项目，无痕模式发现登录不了，因为8081已经登录了。获取为这个app提供认证的网址，就是springboot配置文件中需要写的issuer。重定向到这就会获取到对应app的认证页面，输入people的邮箱密码。然后设置能够访问这个app的用户，设置邮箱密码。编写springboot程序。然后依次发起三次请求。.....

密码模式扫描二维码那个界面不是认证服务器提供的，是由前端页面自己提供的一个输入账号密码的界面，用户输入账号密码之后，前端去拿着账号密码去访问认证服务器，认证服务器验证账号密码后返回token给前端，前端访问后端带上token，后端去认证服务器校验token。这种模式有可能账号密码是盗来的。公司内部的网站可以使用。微信QQ都不支持这种模式。授权码模式（最严格的，功能最完善，大多数认证都是使用这种模式）token发放到后端。客户端证书模式前端自己要自动去后端获取资源的时候用，很少使用。......