keycloak学习过程中遇到的一些坑

最新推荐文章于 2024-05-14 15:58:08 发布
最新推荐文章于 2024-05-14 15:58:08 发布
阅读量6.4k 收藏 3
点赞数 1
分类专栏: keycloak
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lansekaola/article/details/94358061
版权

首先网上的一些文章写的不够详细清楚!导致我好多地方浪费了很多时间!

就拿最简单的一个   keycloak 数据库切换问题!

网上都只说了操作步骤,可是,这里面我按照步骤却出现了很多问题!

第一个问题: mysql 的连接 jar 包本问题!

目前自己测试了  5,6 ,8 三个大的版本!只有5没有出现任何问题!

第二个问题:就是连接后会报

09:16:00,596 ERROR [stderr] (ServerService Thread Pool -- 56) Sun Jun 30 09:16:00 EDT 2019 WARN: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection must be established by default if explicit option isn't set. For compliance with existing applications not using SSL the verifyServerCertificate property is set to 'false'. You need either to explicitly disable SSL by setting useSSL=false, or set useSSL=true and provide truststore for server certificate verification.

这种问题!一般都是直接在  配置文件的url地址后面配置了useSSL=true 的话,直接启动的时候就会报错!仍然没有解决这个问题!

 

然后就是 各个文章说的一个通俗的拦截例子!主要分为两大类:

第一个类是依赖了springSecurity 进行的 权限分配,而  keycloak 仅仅起到一个  token 的创建和验证的工作(个人不建议刚学习的伙伴先涉及这个例子学习)

第二类是纯依赖 keycloak 进行权限授权和验证的!

但是,这里面一定一定要仔细配置好spring boot的配置文件!

我在这里踩坑最多!

配置规则  注意:
1.资源不带上下文  
2.是securityConstraints 不是 security-Constraints
是authRoles 不是 auth-Roles

一定一定要主要好配置的这几个  具体属性 ,因为 当你用keycloak点的时候,不注意,会扰乱你的!

下面是我经过好几次测试验证了的!

两个角色   三个资源的访问控制

#规则
keycloak.securityConstraints[0].authRoles[0]=VISITOR
keycloak.securityConstraints[0].authRoles[1]=MEMBER
keycloak.securityConstraints[0].securityCollections[0].name=VISITOR MEMBER resource
keycloak.securityConstraints[0].securityCollections[0].patterns[0]=/customers

keycloak.securityConstraints[1].authRoles[0]=VISITOR
keycloak.securityConstraints[1].securityCollections[0].name=VISITOR resource
keycloak.securityConstraints[1].securityCollections[0].patterns[0]=/test3

keycloak.securityConstraints[2].authRoles[0]=MEMBER
keycloak.securityConstraints[2].securityCollections[0].name=MEMBER resource
keycloak.securityConstraints[2].securityCollections[0].patterns[0]=/test4

还有就是!我自己写了一个专门的操作  keycloak 服务的服务用于获得  token 和 创建等工作!

所以,在刚开始测试 获取  每个账号 token的时候,总是会报  如下错误

javax.ws.rs.BadRequestException: HTTP 400 Bad Request
	at org.jboss.resteasy.client.jaxrs.internal.ClientInvocation.handleErrorStatus(ClientInvocation.java:219)
	at org.jboss.resteasy.client.jaxrs.internal.ClientInvocation.extractResult(ClientInvocation.java:195)
	at org.jboss.resteasy.client.jaxrs.internal.proxy.extractors.BodyEntityExtractor.extractEntity(BodyEntityExtractor.java:62)
	at org.jboss.resteasy.client.jaxrs.internal.proxy.ClientInvoker.invokeSync(ClientInvoker.java:151)
	at org.jboss.resteasy.client.jaxrs.internal.proxy.ClientInvoker.invoke(ClientInvoker.java:112)
	at org.jboss.resteasy.client.jaxrs.internal.proxy.ClientProxy.invoke(ClientProxy.java:76)
	at com.sun.proxy.$Proxy114.grantToken(Unknown Source)
	at org.keycloak.admin.client.token.TokenManager.grantToken(TokenManager.java:89)
	at org.keycloak.admin.client.token.TokenManager.getAccessToken(TokenManager.java:69)
	at org.keycloak.admin.client.token.TokenManager.getAccessTokenString(TokenManager.java:64)
	at com.allen.kcserver.utils.KeycloakUtil.getToken(KeycloakUtil.java:397)
	at com.allen.kcserver.apply.token.service.TokenService.getToken(TokenService.java:24)
	at com.allen.kcserver.apply.token.controller.TokenController.getToken(TokenController.java:21)
	at com.allen.kcserver.apply.token.controller.TokenController$$FastClassBySpringCGLIB$$30d3f5ba.invoke(<generated>)
	at org.springframework.cglib.proxy.MethodProxy.invoke(MethodProxy.java:204)
	at org.springframework.aop.framework.CglibAopProxy$CglibMethodInvocation.invokeJoinpoint(CglibAopProxy.java:746)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:163)
	at org.springframework.aop.framework.adapter.MethodBeforeAdviceInterceptor.invoke(MethodBeforeAdviceInterceptor.java:56)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:185)
	at org.springframework.aop.framework.adapter.AfterReturningAdviceInterceptor.invoke(AfterReturningAdviceInterceptor.java:55)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:185)
	at org.springframework.aop.interceptor.ExposeInvocationInterceptor.invoke(ExposeInvocationInterceptor.java:92)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:185)
	at org.springframework.aop.framework.CglibAopProxy$DynamicAdvisedInterceptor.intercept(CglibAopProxy.java:688)
	at com.allen.kcserver.apply.token.controller.TokenController$$EnhancerBySpringCGLIB$$613e69f8.getToken(<generated>)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.base/java.lang.reflect.Method.invoke(Method.java:566)
	at org.springframework.web.method.support.InvocableHandlerMethod.doInvoke(InvocableHandlerMethod.java:209)
	at org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:136)
	at org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:102)
	at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandlerMethod(RequestMappingHandlerAdapter.java:891)
	at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:797)
	at org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:87)
	at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:991)
	at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:925)
	at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:974)
	at org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:877)
	at javax.servlet.http.HttpServlet.service(HttpServlet.java:661)
	at org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:851)
	at javax.servlet.http.HttpServlet.service(HttpServlet.java:742)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:231)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.RequestContextFilter.doFilterInternal(RequestContextFilter.java:99)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.HttpPutFormContentFilter.doFilterInternal(HttpPutFormContentFilter.java:109)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.HiddenHttpMethodFilter.doFilterInternal(HiddenHttpMethodFilter.java:93)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:200)
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:198)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:493)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:140)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:81)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:87)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:342)
	at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:800)
	at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
	at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:806)
	at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1498)
	at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
	at java.base/java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1128)
	at java.base/java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:628)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.base/java.lang.Thread.run(Thread.java:834)

其实这是因为  账号 没有登录 所致!你可以在你的  admin 管理下 去看一下你自己的账号session情况!

而这里就是一个大坑!基本所有的文章都没有说过,创建了账号后,自己的角色对应的那些账号如何登录!

这里一定要记住!:

http://192.168.52.180:8080/auth/realms/homTest/account/

这个连接里面的  homTest 就是  我自己的 realm 域!通过登录后,再去获取token!就是 具体某个账号的token了!

目前还有几个问题待解决!!!

第一:我的那些 用户密码都没有加密!如果我通过自己的一些方法,进行了加密后,我要怎么再次通过  登录界面去进行登录!

第二:keycloak 的数据库 切换,到底那个url应该如何配置,才不会  报错!

第三:keycloak 的复杂的 策略 还有待挖掘和学习!希望志同道合的一起学习!

漫路求索
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
keycloak~大数据量时出现~索引的
m0_68064743的博客
04-27 506
我不知道为什么kc没有为对应的查询字段加索引,导致我们在使用kc时,当用户表数据量达到几十万时,出现所有增删改接口缓慢的问题,这个问题的原因,我找了好长时间,我在大数据量时找这个缓慢原因过程 查看mysql的并发数的限制 查看top产生的cpu,内在的使用情况 查看客户端到kc端,kc端到数据库的网络传输限制 为k8s的资源进行调整,添加内存额度 为username字段添加索引 打开mysql日志功能,观察慢接口的日志 找到慢的语句 select userentity0_.ID as ID1_75_, us
python-fastapi-keycloak RBAC后端实现以及docker部署时候的一些
德语X码农-Hier fangen wir an
04-03 1128
RBAC KEYCLOAK-FASTAPI INSTALLFastapi后端集成keycloakSETTING注意的事 Fastapi后端集成keycloak 注意request可以在各个function里被传入 like: @post.... def a (request): request.headers[].... ... 定义一个类 class KeycloakAuthenticationMiddleware(BaseHTTPMiddleware): async def __ca
spring-boot 集成 keycloak 遇到的问题
bool的博客
01-02 730
spring-boot 集成 keycloak 遇到的问题
什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?
最新发布
m0_63144319的博客
05-14 1306
在下面的配置文件需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享和官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
keycloak登录密码设置导致的弱口令安全漏洞
闫玉林的博客
06-18 2478
Keycloak是一个开源的身份认证和授权管理系统,它提供了多种身份认证方式(例如:用户名/密码、OAuth、OpenID Connect、SAML 2.0等)和授权策略,为应用程序和服务提供了安全的用户结构和访问控制Keycloak被广泛应用于企业系统,尤其是在支持多种身份验证和单点登录的应用程序,也可以与常用的开发框架(例如:Spring、React等)集成Keycloak易于使用并提供了可扩展性和灵活性,可适用于各种应用场景,保障应用程序的信息安全和用户数据隐私。
vue整合keycloak(状态码415,缺少表单参数:grant_type)
Dax1_的博客
01-12 839
axios请求 handleLogin() { axios.post( `https://keycloak.jueao.net/auth/realms/apisixtest/protocol/openid-connect/token`, queryString.stringify({ grant_type: 'password', client_id: 'apisix-fe', password:
Keycloak获取Token示例及遇到
热门推荐
半斤米粉闯天下的博客
08-31 3万+
一张图,同事提供的,比较清晰的解释了Keycloak的整体结构 Keycloak最顶层是基于realm的,可以理解为领域,命名空间等。每个realm之间没有任何关系,属于相互独立的两个系统。Client对应具体的应用,比如每一个微服务就是一个Client。 对于Keycloak的所有操作都要经过认证,包括访问REST接口,没有携带有效token的话会报401未授权。获取Token主要有两种...
springboot-keycloak-demo:学习使用keycloak,并记录一些学习资料
02-05
springboot-密钥斗篷演示 第一步:部署keycloak的单机模式服务器 下载keycloak-2.5.1.Final.tar.gz包,和解压 ...在Standalone / configuration / standalone.xml文件加入 <datasource jndi-name="java:jboss/d
9.0.2 keycloak集成到springboot例子
03-31
在本项目,我们将探讨如何将Keycloak身份验证服务与Spring Boot应用程序进行集成,使用的Keycloak版本为9.0.2,而数据库是MySQL 8.0.19。Keycloak是一个开源的身份和访问管理解决方案,它提供了身份验证、单点登录...
keycloak压缩包
06-22
总的来说,Keycloak是现代应用程序安全基础设施的关键组成部分,它简化了身份管理和访问控制的复杂性,同时提供了强大的安全特性。通过深入理解和熟练运用Keycloak,你可以为你的用户提供更安全、便捷的在线体验。
adapter-js-with-keycloak:使用Keycloak学习适配器Javascript
03-26
在本文,我们将深入探讨如何使用Keycloak与Adapter Javascript进行集成,特别是在TypeScript环境Keycloak是一款强大的身份管理和访问控制工具,它提供了安全的身份验证和授权功能,适用于各种Web和移动应用...
keycloak-poc
05-06
POC钥匙披风 向上移动钥匙斗篷 docker run --name keycloak -p 8081:8080 -d -e KEYCLOAK_USER=user -e KEYCLOAK_PASSWORD=change jboss/keycloak:6.0.1 分步配置 创建领域POC 列出的境界POC端点 GET localhost:8081/auth/realms/poc/.well-known/uma2-configuration 创建类型为client_credentials的clientId 客户菜单 创造 客户编号: poc-client 点击保存 在“客户端协议”,选择“ openid-connect” 在访问类型:选择机密 在“已启用授权”,选择“打开” 在有效重定向URI不填任何内容 点击保存 创建一个自定义角色 角色菜单 单击添加角色在“角色名称”
activiti-keycloak:Activiti用户和组与keycloak的集成
05-17
激活钥匙披风 此模块允许将Keycloak身份验证服务器用作Activiti用户和组的后端。 默认情况下,单个领域的所有Keycloak用户都映射到Activiti用户,所有Keycloak角色都映射到Activiti分配组。 但是,它不提供身份验证支持-直接验证用户名和密码不太适合基于OAuth2的身份验证。 为此,请使用Keycloak适配器以确保弹簧安全。 它还不支持用户/组管理(创建,删除,编辑)-这应该在Keycloak控制台完成。 要启用集成,请创建KeycloakConfigurator实例,设置必要的属性(Keycloak服务器url,领域名称,管理员用户的用户名/密码)并将其传递给ProcessEngineConfiguration bean。 请注意,该用户应具有从领域管理客户端分配的view-users角色。 去做: 组的缓存机制 选择哪些Keycloak
keycloak安装服务文件
04-04
本文将详细介绍Keycloak的安装过程和服务配置,以便于在您的系统上有效地运行和管理Keycloak服务。 1. Keycloak简介: Keycloak是由Red Hat开发的身份管理和单点登录(SSO)解决方案,它支持OAuth 2.0、OpenID ...
keycloak验证失败,不刷新页面弹小窗提示错误信息是否可行
nikoniko1235的博客
01-14 903
keycloak ajax
keycloak - 鉴权quarkus
YSTXDONG的专栏
04-02 463
1、keycloak配置public访问方式如何配置keycloak 2、keycloak拦截登录后,重定向多次报错,因cookie超长
苹果开发者账号登录的问题
三线程序员的博客
09-26 1264
问题描述 在清理掉google浏览器的缓存后,直接登录https://appstoreconnect.apple.com/login 出现问题 因为是添加了自己的手机进入信任列表,每次登录的时候都是通过验证码登录的 但是这次点击通过获取验证码登录后,就是不给你输入,换了浏览器都一样 再度怀疑是苹果问题,但是这种低级错误不至于,肯定是自己的问题 尝试了4次,无果,放弃这个思路 解决 先登录 https://appleid.apple.com/account/manage 上面的网址还是使用你的手机验证码
Spring Boot Web应用集成Keycloak进阶之细粒度权限控制
m0_63174811的博客
11-06 465
Time-based access control Keycloak授权处理流程 ================================================================================= 如果要使用Keycloak的细粒度权限控制,主要有3个流程需要了解: 资源管理(Resoucre Management) 权限和策略管理(Permission and Policy Management) 策略执行(Policy Enforcemen.
接入keycloak实现单点登录
你好!刘斩仙
11-21 645
1.如果跨域在keycloak管理心Clients-Client details-Settings-Web origins添加浏览器访问地址就行。
keycloak文文档
06-10
Keycloak是一款开源的身份认证和授权解决方案,可以用于保护Web应用程序和API。以下是Keycloak文文档的相关资料: 1. Keycloak官方文档文版:https://www.keycloak.org/docs/latest_zh/index.html。官方文档提供了全面的使用指南和参考资料,包括安装、配置、使用和管理等方面的内容。官方文档支持多种语言,包括文。 2. Keycloak文文档:https://www.keycloak.org.cn/docs/index.html。由于官方文档文部分更新较慢,社区开发者基于官方文档进行翻译和维护,提供了更加详细的文文档。该文档目前支持Keycloak 7.x版本。 3. Keycloak文视频教程:https://www.bilibili.com/video/BV1ZJ411W7U8?p=1。该视频教程是由社区开发者制作的一系列视频教程,涵盖了Keycloak的安装、配置、使用和管理等方面的内容。这些视频教程可以帮助初学者更好地了解和使用Keycloak。 总的来说,Keycloak文文档相对来说比较全面,用户可以根据自己的需求选择适合自己的文档和教程。同时,Keycloak社区也提供了丰富的支持和帮助,用户可以在社区获取更多的信息和帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

漫路求索

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值