keycloak“授权码模式”的运行流程(个人理解)

最新推荐文章于 2024-05-14 15:58:08 发布
最新推荐文章于 2024-05-14 15:58:08 发布
阅读量598 收藏 2
点赞数 1
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65939803/article/details/129118255
版权

1. 简介

为了使用keycloak实现对多个客户端(应用程序)的管理,实现一个账号处处登录。本文尝试梳理一下什么是“授权码模式”,及应该怎么理解。

keycloak的访问模式有两种:

一. 授权码模式

二. 隐藏模式

本文只讲我个人理解的授权码模式是怎样运行的

2. 网上的调查资料

后面统一用以下概念来说明:

EU(用户,End User):实际操作浏览器的用户

RP(客户端,Relying Party):用于提供服务的(开发的)应用程序

OP(服务器,OpenID Provider):通过keycloak管理的一组客户端(可以一个账号处处登录的管理账号的服务器)。

网上查看的资料大多是下面这种逻辑,对于初次接触keycloak和OIDC的我来说很难实际理解。(大家可以尝试理解一下)

① RP(客户端)向 OP(服务器)发送请求。

② OP(服务器)对 EU(用户)进行身份验证。

③ OP(服务器)发送 ID 令牌响应到 RP(客户端),通常是访问令牌。

④ RP(客户端)发送 ID访问令牌的请求。向 OP(服务器)索要用户实际数据。

⑤ OP(服务器)的用户实际数据 返回 RP(客户端)有关 EU(用户)的 信息。

 3. 通过实践调查后实际运行机制

(1). 调查前的准备

首先我在本地搭建了一个Keycloak运行环境,可以参照

(5条消息) Keycloak本地服务器搭建_凯尔萨厮的博客-CSDN博客_keycloak

或者(5条消息) 本地keycloak15.1.0下载安装配置启动_凯尔萨厮的博客-CSDN博客_keycloak 安装

然后准备两个可运行的WEB应用程序

怎样域keycloak做代码关联参照(5条消息) keycloak项目代码_凯尔萨厮的博客-CSDN博客

后面说明为(客户端1,客户端2)

(2). 说明开始

1. 用户(输入url)  访问 客户端1

 2. 【客户端】 用预留信息 拼接成 新URL地址 将 用户 重定向到【服务器】(用户感受不到这个操作,这里涉及到跨域访问,需要自行在客户端代码进行配置)

URL例:服务器根URL/auth/realm/域名/client/客户端名(仅作参照)

3. 【服务器】通过URL得知(域名)和(客户端名)过来的请求后,验证【用户】为未登录状态,为【用户】展现 登录页面

 

4. 【用户】输入用户名密码对【客户端】授权

 

 5. 【服务器】预留cookie信息到浏览器,同时 将用户 重定向回【客户端】同时发送【授权码】给客户端

 

 6. 【客户端】通过【授权码】向【服务器】索要【访问令牌】

 7. 【客户端】通过【访问令牌】向【服务器】索要【实际用户数据】

 8. 【客户端】为用户展现 带着【用户数据】的页面

 9. 用户【客户端1】登录状态 访问 【客户端2】同上记步骤1一样(这之后是一键登录的实现流程)

 10. 【客户端2】 用预留信息 拼接成 新URL地址 将 用户 重定向到【服务器】同上记步骤2一样

 11. 【服务器】通过URL得知(域名)和(客户端名),进行用户登录认证同上记步骤3一样

先获取服务器在浏览器里的Cookie信息(只有服务器能获取,客户端不能跨域访问Cookie)

 【服务器】认证Cookie信息,确认【用户】是登录状态,跳过上记步骤4,直接进行步骤5.

后面处理就同步骤6,7,9一样了。

(3). 通过以上逻辑就实现了,一次登录处处访问。

凯尔萨厮
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security OAuth2 授权模式的实现
08-18
授权模式流程回顾 在授权模式中,用户首先登录到授权服务器,并对第三方应用(客户端)进行授权授权服务器授权发送给客户端,客户端然后使用授权换取 access_token。该模式要求授权服务器与用户直接...
identityserver4 授权模式
06-21
授权模式中,流程大致如下: 1. **用户访问客户端应用**:用户尝试访问需要授权的资源,如Web应用。 2. **重定向到身份服务器**:客户端应用将用户重定向到IdentityServer4,携带客户端ID、重定向URI和请求的...
java通过J2C获取用户名密,Keycloak:REST API调用,用于通过管理员用户名和密获取用户的访问令牌...
weixin_30496999的博客
02-27 542
I have a requirement where I need to get an access token of a user.I am aware of the admin username and password and hence can get the access token of the admin.Is there any rest API that can provide ...
Keycloak session和token配置经验总结
落雨凡心的博客
12-19 1806
Keycloak session和token配置经验总结
什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?
最新发布
m0_63144319的博客
05-14 1299
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享和官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
keycloak 微服务认证_Java架构-使用Keycloak实现安全的SpringBoot微服务「巴分巴秒」...
weixin_39633089的博客
12-02 425
引言Keycloak是RedHat的开源身份和访问管理解决方案,本文介绍如何在我们的微服务安全模块中使用keycloak,特别是基于SpringBoot的微服务。Keycloak它提供了身份和访问管理的有用功能:单点登录(SSO),身份代理和社交登录用户联合客户端适配器管理控制台和帐户管理控制台。虽然安全性是任何应用程序的一个重要方面,但安全性的实现部分是复杂和困难的。通常,它在代中经常被忽略或...
Python 实战:如何给你的程序添加授权机制
亮出锋芒,剑指苍穹
11-16 1万+
本文实现了一个离线的简易的软件授权机制,如果想要分享自己的程序但又不希望自己的程序被随意传播的,都可以用得上,文末附有源和示例程序,欢迎大家交流学习
oauth2 授权模式 流程说明和接口整理
芸中的阳光
02-19 1742
该接口对应图中,A系统访问B系统,传递clientId,clientSecret,code,redirectUri等参数换取B系统的accessToken和refreshToken。假设有这样一个场景:现有A系统和B系统,A系统想要使用B系统的账号来做三方登录,那么A系统就必须要获取B系统的授权,以便拿到B系统的用户信息。该接口会重定向到授权页面,同样,oauth2的授权界面很难满足实际使用场景,可以通过配置替换为自定义的授权页面。该接口对应上图的第一步,即传递参数,获取B系统的登录界面。
keycloak加密
10-20
keycloak解决密为明文的问题,使用md5进行加密。减少密泄露的问题。配合对应的博客进行操作。
Auth2.0授权模式
12-29
在实际开发中,理解并正确实现OAuth 2.0 授权模式对于确保用户数据安全、遵循最佳实践至关重要。`OAuth2.0CodeCredential`可能是一个类或库,用于处理上述授权流程的细节。在使用时,开发者应仔细阅读文档,确保...
Spring cloud Oauth2使用授权模式实现登录验证授权
12-10
在Spring Cloud Oauth2中,授权模式(Authorization Code Grant)是一种常见的安全认证方式,用于保护Web应用程序。本文将深入探讨如何使用授权模式来实现登录验证授权。 首先,理解OAuth2的基本概念至关重要。...
Keycloak 梳理
热门推荐
帷幄庸者的博客
10-29 1万+
Keycloak [top] Keycloak为Web应用和Restful服务提供了一站式的单点登录解决方案。它的目标就是让应用的安全管理变得简单,让开发人员可以轻松地保护他们的应用程序和服务。并且Keycloak为登录、注册、用户管理提供了可视化管理界面,你可以借助于该界面来配置符合你需要的安全策略和进行用户管理。 主要功能 Keycloak实现了业内常见的认证授权协议和通用的安全技术,主要有: 浏览器应用程序的单点登录(SSO)。 OIDC认证授权。 OAuth 2.0。 SAML。 多租户支持。 身
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多种授权许可机制协议:授权许可机制、客户端凭据机制、资源拥有者凭据机制(密模式)和隐式许可机制。在源中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证登录或者微信扫登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证模式
学会 OAuth2.0 授权登录,10 张图就够了
竹林幽深
02-10 907
https://mp.weixin.qq.com/s/emMpEaLLU3SyO7_X2JAUHQ
【Sa-Token】Demo OAuth2 授权模式(静默授权)调用流程分析
MichelleChung的星球
05-17 3129
基于 Sa-Token Demo 的 OAuth2 授权模式调用流程分析。
06. 千呼万唤始出来:最重要的授权方式——授权模式
weixin_45946850的博客
05-07 319
在今天的小节中我向你介绍了最重要的授权模式——授权模式。这个过程虽然复杂,但是从OAuth四个角色各自的视角来看,却格外简单和清晰。例如从终端用户的视角看,他在整个流程中只做了两件事,登录授权服务器和做授权决策,终端用户不用关心背后复杂的流转过程。从客户端的视角看它做了三件事——发送授权请求、发送访问令牌请求、携带访问令牌访问资源请求。
Keycloak Oauth2.0流程 --- Angular前端 + Django后端 + Keycloak 实现SSO功能
wdquan19851029的专栏
01-07 5605
前言: 一个企业往往拥有多个应用系统,如果每个应用都有独立的用户认证和授权管理功能,这不仅需要运维人员维护多套用户管理系统,用户使用每个系统时都要登录一次,非常不方便。如果能够将所有应用系统的用户集中管理,用户就使用一套用户名登录所有系统,这将会大大改善用户体验。本文前端Angular, 后端Django,基于Keycloak搭建单点登录系统。 前端代部署到nginx, 前后端代分开部署 前端Angular集成Keycloak: 前端要怎样集成Keycloak呢? 本文提供两种方式 ...
Oauth2.0的四种模式
qq_37457564的博客
07-25 2101
1. 授权模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权模式固定为code。 scope:客户端权限
重磅推荐!开源身份认证神器:KeyCloak
程序猿DD
02-16 903
安装&初始化下载http://www.keycloak.org/downloads.html笔者下载的是“Standalone server distribution” 。安装&启动安装Keycloak非常简单,步骤如下:解压下载下来的安装包将目录切换到KEYCLOAK_PATH/bin,其中KEYCLOAK_PATH是您Keycloak的根目录执行./standalone.sh...
授权和token的关系
06-04
授权和token是OAuth2.0协议中的两个重要概念。 授权是指用户在授权成功后,授权服务器返回给客户端的一次性验证,客户端使用授权授权服务器申请访问令牌。 而token是指客户端通过授权或者其他方式获取的访问令牌,用于向资源服务器请求授权的令牌。它包含了访问资源服务器所需的身份验证和授权信息,可以用来访问授权服务器所分配的受保护资源。 简单来说,授权是用来获取token的一次性验证,而token则是用来访问受保护资源的令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值