通过Keycloak API理解OAuth2与OpenID Connect

最新推荐文章于 2024-07-25 12:10:41 发布
最新推荐文章于 2024-07-25 12:10:41 发布
阅读量1w 收藏 34
点赞数 7
分类专栏: Keycloak OAuth2 OpenID 文章标签: Keycloak OAuth2 OpenID OIDC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nklinsirui/article/details/112706006
版权
本文详细介绍了如何通过Keycloak API来理解OAuth2和OpenID Connect。内容涵盖OAuth2的核心概念,如Resource Owner、Resource Server、Client等,以及OAuth2的数据和流程。同时,文章通过Keycloak的安装、配置和API调用来演示授权码流程,并讨论了JWT、Access Token和Refresh Token。此外,还探讨了API安全性和Keycloak的主要特性。
摘要由CSDN通过智能技术生成

文章目录

通过Keycloak API理解OAuth2与OpenID Connect

前言

Keycloak是一个被广泛使用的SSO(单点登录)工具,支持OAuth2和OpenID Connect。

本文通过测试调用Keycloak API来帮助理解OAuth2与OpenID Connect。

OAuth2 介绍

OAuth2核心概念

OAuth2核心概念:

  • Resource Owner - 资源所有者,一般指用户。
  • Resource Server - 资源服务器。
  • Client - 代表Resource Owner去访问受保护的资源。
  • Authorization Server - 对Resource Owner进行身份认证,并颁发访问受保护资源的access token。
  • User Agent - 用户代理,一般指浏览器,负责用户登录和注销后的页面跳转。
  • Resource - 受保护的资源,比如API,页面。

示例1:

  1. 用户William打开浏览器访问业务系统A时,被重定向到Keycloak登录页面。
  2. 用户William在Kyecloak登录页面输入用户名和密码,登录成功后,页面跳转到业务系统A的首页。
  3. 用户William点击业务系统A的某个菜单查询业务数据,业务系统成功返回数据。

在示例1中:

  • Resource Owner - 用户Willliam
  • Resource Server - 业务系统A
  • Client - 业务系统A的Web页面
  • Authorization Server - Keycloak
  • User Agent - 浏览器
  • Resource - 业务数据

OAuth2 核心数据

OAuth2 核心数据

  • User Credential - 用户登录的凭据,比如用户名和密码。
  • Client ID - 唯一标识一个Client。
  • Client Secret - 用于Authroziation Server验证Client身份,不能泄漏。
  • Authorization Code - 授权码,通过 User Credential + Client ID换取Authorization Code。授权码不能泄漏,且一次性有效。
  • Access Token - 访问令牌,拥有令牌者可以访问受保护的资源。通过 Authorization Code + Client ID + Client Secret 换取。Access Token在有效期内有效。
  • Refresh Token - 刷新令牌,用来刷新(重新获取)Access Token和Refresh Token。Refresh Token在有效期内有效。
  • ID Token - The OpenID Connects ID Token is a signed JSON Web Token (JWT) which contains a set of information about the authentication session, which basically includes identifiers for the end user, identity provider who issued the token, client for which this token was created.

JWT

Access Token为JWT格式。

示例:

eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqRkdrVnhBbEVXcGN4ekJPZ25RUWxZb2VQYkZfOXM1aG5SeVlRdExHeTNVIn0.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.JAZhvi8QHY0MHyiwuhXZ9amxXXvutLhYN3jUclmPUrJizikYNpS61Qub8iVruSGOxI6pfvc5BcwTJUwZ0UsmBl_BalKEox1MkOujHKhtMQ78631H3eZyANCUbbe-u0y4Vp3fmWTk6ErgcIQSY2DkmsE97tzVVCrVC_uGdcpewUpUu1VDzA1TPd5KSvU-2d8T_KOeTUsLoG4964ryheJiYQOkXVxJCe1CN5eQlIIZlSIujq7O71tPDaNif9RunrpU0c2rAtqKoU0bS1iKXIOqRtxfFum7Ju1l7I2Sa4uiZH-T76yLRO5Mxk124FNu49y6H-Zu10u0memWAPvtJSi-ZQ

这是一串Base64URL的编码。

对其解码后,内容包括header, payload 和 signature:

  • Header:
{
   
 "typ": "JWT",
 "alg": "RS256",
 "kid": "jFGkVxAlEWpcxzBOgnQQlYoePbF_9s5hnRyYQtLGy3U"
}
  • Payload:
{
   
 "exp": 1610720940, # 令牌过期时间戳
 "iat": 1610720640, # 令牌颁发时间戳
 "jti": "3d73b262-d574-49a2-8e0a-ad4fc4d01105", # 令牌唯一标识符
 "iss": "http://localhost:8080/auth/realms/org-demo", # 令牌颁发者
 "aud": "account", # 令牌的受众,接收者
 "sub": "48dbb0bd-0b86-41c4-a5e0-9f6f6a000d22", # 令牌的主体
 "typ": "Bearer", # 令牌的类型
 "azp": "app-1",
 "session_state": "de76f6f0-4c29-4903-8a41-51bee29e2cbf",
 "acr": "1",
 "realm_access": {
   
  "roles": [
   "User",
   "offline_access",
   "uma_authorization"
  ]
 },
 "resource_access": {
   
  "account": {
   
   "roles": [
    "manage-account",
    "manage-account-links",
    "view-profile"
   ]
  }
 },
 "scope": "profile email",
 "email_verified": false,
 "preferred_username": "william"
}
  • Signture
secret

JWT 解码网站(只做debug用,不要泄漏token!):

https://www.jsonwebtoken.io/

可以看到JWT本身已经包含验证Token所需的全部元数据,因此Resource Server无需调用Authorization Server的接口就可以验证Access Token的有效性。

当然,Resource Server也可以再调用Authorization Server的Introspect Token (令牌内省)接口来验证Access Token的有效性,作为防止令牌被伪造的增强性安全措施。

OAuth2 flow

OAuth2 框架定义以下几种flow (授权流程):

  • Authorization Code Flow - 授权码授权流程;最常见的授权流程。
  • Implicit Flow - 隐式授权流程
  • Resource Owner Credential Flow - 资源所有者凭据授权流程;不安全,强烈不建议使用。
  • Client Credential Flow - 客户端凭据授权流程
Authorization Code Flow

Authorization Code Flow (授权码授权流程)如下图所示:

在这里插入图片描述

说明:

  • 因为Access Token采用JWT格式,已经包含了验证Access Token的元数据,因此Resource Server无需调用Authorization Server的接口就可以验证Access Token的有效性。
  • 当然,Resource Server也可以再调用Authorization Server的Token Introspection (令牌内省)接口来验证Access Token的有效性,作为防止令牌被伪造的增强性安全措施。

安全性要求:

  • 保证数据链路安全:Client - Authorizaiton Server 、Client - Resource Server 和 Authorization Server - Resource Server 之间强烈建议为HTTPS协议,防止数据被窃听后泄密。
  • 加密数据:对敏感数据进行加密,万一泄漏,也无法被解密。
  • 防止重放攻击:对Authorization Server和Resource Server提供的API需要通过nonce的方法防止重放攻击(replay attack)。
  • 防止数据被篡改:对对Authorization Server和Resource Server提供的API需要通过签名和验签的方法防止数据被篡改。
  • 双向验证:服务端要验证客户端的合法性,客户端也要验证服务端的合法性。
  • 代码安全:不能将Client Secret存储在前端代码中,防止Client Secret泄漏。

参见:

最低0.47元/天 解锁文章
nklinsirui
关注
专栏目录
kong-konga-keycloak:在docker中安装kong,keycloak和konga并测试API身份验证的简短教程
05-17
Kong / Konga / Keycloak:通过OIDC保护API 学分 ,作者:Joshua A Erney 要求 耐心 :hot_beverage: 安装版本 Kong 2.0.4-高山 Kong加0.14.7 钥匙斗篷10.0.2 本教程的目标 本教程的目标是能够通过kong和keycloak的配置来保护API资源。 更详细地,让我们考虑以下请求流程: 用户应用程序将请求发送到API网关(kong)。 但是,该请求未通过身份验证(或包含无效的身份验证)。 网关API响应客户端指示缺少身份验证。 因此,该应用程序需要登录。因此,它将特定的登录请求发送到Single Sign On(Keycloak),包括用户的凭据和分配给应用程序本身的特定客户端ID。 如果凭据有效,则SSO(密钥斗篷)向应用程序颁发一个令牌(和相关的刷新令牌),用于验证对网关API(Kong)的请求。 然后,应用程序重复请
Keycloak自定义实现第三方登录
austindev的博客
07-26 6319
Keycloak自定义实现第三方登录 第三方Oauth登录 由于对接的第三方IDP不一定都是标准的openid connect实现,所以都需要根据第三方的Oauth文档进行定制; Keycloak对于新增Social IDP的实现,都是标准,以及灵活的; 我们完全可以参照 Keycloak 本身已实现的Github LinkedIn等,快速实现我们的需求; 我们这里以酷家乐的Oauth2 接口进行说明 酷家乐 Oauth2接口分析 请求code的参数及返回都是标准的,这里无需进行修改 换取token接
Keycloak实现开源SSO oauth2登陆权限系统(1)—— 安装keycloak并配置 oauth clienntid 和 nginx-ingress配置oauth-proxy2授权登陆跳转
weixin_43041894的博客
07-21 1038
它允许创建独立的应用程序和用户组。master 是keycloak 中默认的 realm,master 是专用于管理 keycloak的,不建议用于自己的应用程序。要应用于自己的应用程序时,一般建立一个指定名称的 realm。3、在右侧 Add realm 界面的 Name 处填写自己相应建立的 realm 的名称,例如: myrealm。2、点击左侧的 Clients,在右侧的弹出界面点击 Create 按钮,得到 Add Client 界面。1、在出现界面点击 Credentials,出现如下界面。
keycloak简单了解
最新发布
琳琳的博客
07-25 470
5. **集成应用程序**:将Keycloak客户端库添加到您的Web应用程序中,并根据需要使用Keycloak提供的API进行身份验证和授权。2. **创建Realm**:在Keycloak的管理界面中,创建一个名为“MyWebAppRealm”的Realm,用于管理Web应用程序的用户、角色和权限。3. **简单易用的管理控制台**:Keycloak的管理控制台允许管理员创建和管理用户账户、角色和权限,确保只有被允许的客户端能够接收令牌并访问资源。您希望使用Keycloak来处理用户的身份验证和授权。
KeyCloakOAuth2、Spring Boot、client_credentials整合
klaokai的冥想空间
08-08 3926
doc https://www.keycloak.org/docs/latest/getting_started/index.html 创建一个域和一个用户 Keycloak广利控制台的第一个用途是创建领域并在该领域中创建用户。 您使用该用户登录到新领域,并访问所有用户都可以访问的内置账户控制台。 域和用户 当你登录管理员控制台,你将在一个域内工作,这是一个你可以管理对象的空间。 有两种域: Master realm:主域。这个域会在你第一次启动Keycloak就会为你创建好, 它包含了你第一次登录时创建的
Keycloak Oauth2.0流程 --- Angular前端 + Django后端 + Keycloak 实现SSO功能
wdquan19851029的专栏
01-07 5749
前言: 一个企业往往拥有多个应用系统,如果每个应用都有独立的用户认证和授权管理功能,这不仅需要运维人员维护多套用户管理系统,用户使用每个系统时都要登录一次,非常不方便。如果能够将所有应用系统的用户集中管理,用户就使用一套用户名登录所有系统,这将会大大改善用户体验。本文前端Angular, 后端Django,基于Keycloak搭建单点登录系统。 前端代码部署到nginx, 前后端代码分开部署 前端Angular集成Keycloak: 前端要怎样集成Keycloak呢? 本文提供两种方式 ...
使用Spring OAuth2 Login连接Keycloak
m0_49294242的博客
10-24 628
Keycloak是一个开源的IAM(Identity and Access Management),支持OIDC以及SAML协议。通常我们可以直接将它作为用户认证中心。而Spring提供的OAuth2 Login,则支持直接使用配置的方式接入符合OIDCOAuth2协议的认证服务。本文的重点是介绍如何使用Spring OAuth2 Login来连接配置好的Keycloak,以及它是如何做的。
OAuth2授权服务器Keycloak宣布不再适配Spring Boot和Spring Security
码农小胖哥
02-15 1578
2月14日,????Keycloak 团队宣布他们正在弃用大多数 Keycloak 适配器。其中包括Spring Security和Spring Boot的适配器,这意味着今后Keycloak团...
KeyCloak 管理 OpenID Connect 和 SAML 客户端
xy的博客
09-12 546
theme: cyanosis 参考 Server Administration Guide (keycloak.org) 管理 OpenID Connect 客户端 创建 OpenID 连接客户端 单击菜单中的客户端。 单击创建客户端。 将 “客户端类型”设置为“OpenID 连接”。 输入客户端 ID。 此 ID 是一个字母数字字符串,用于 OIDC 请求和 Keycloak...
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器兼容OAuth 2.0和OpenID ConnectOIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。目标此授权服务器应... 作为开源免费提供支持学习OAuth2 / OpenID Connect的努力(自学或作为...
passport-keycloak-oauth2-oidc:使用 OAuth2OIDC API 使用 Keycloak 进行身份验证的 Passport.js 策略
05-30
护照-keycloak-oauth2-oidc 使用 OAuth2/OIDC API 使用进行身份...配置策略Keycloak身份验证策略通过使用OpenID ConnectOIDC / OAuth 2.0)协议委派给您的Keycloak服务器来对请求进行身份验证。 使用此策略时,它的
spasso-example:示例项目演示了使用Keycloak和Spring Boot资源服务器进行基于浏览器的OpenID Connect身份验证
05-14
然后,它使用访问令牌向资源服务器的API发出授权请求,该请求使用OpenID Connect服务器提供的JWK集验证令牌。 二手技术 在此示例项目中,我们使用以下技术: 资源服务器的 + + 单页应用程序的 + 作为身份提供...
keycloak压缩包
06-22
2. 认证与授权:Keycloak提供基于OAuth 2.0、OpenID Connect等标准的认证服务。它还支持基于角色的访问控制(RBAC)和资源权限表达式(ABAC)。 3. 单点登录(SSO):Keycloak可以为多个应用提供统一的登录体验,...
aouth2-keycloak-resource-server
03-08
标题 "aouth2-keycloak-resource-server" 暗示了我们正在...通过深入研究这个项目,开发者不仅可以学会如何搭建和配置Keycloak资源服务器,还能进一步提升Java和Spring Boot的技能,同时增强对OAuth2和安全认证的理解
keycloak 微服务认证_微服务统一认证,OAuth2 的认证流程
weixin_39737764的博客
12-01 816
随着微服务的兴起,OAuth2也火了起来,由于其自身的优势,俨然已成为微服务API服务接口安全防护的首选。啥是 OAuth2OAuth2(Open Authorization,开放授权)是OAuth的升级版本。OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌给第三...
keycloakoauth2)单点登录如何使用postman测试
看一点点书,懂一点点道理,过好这一生
08-18 5403
keycloakoauth2)单点登录如何使用postman测试
keycloak24整合spring security oauth2
livemegoodboy的博客
05-27 885
keycloak24整合spring security oauth2
通过 Keycloak 结合 OAuth2.0协议进行 Amazon API Gateway 鉴权
亚马逊云科技专栏
09-04 1111
基于 OAuth2.0,Keycloak 还可以通过 JWT Token 完成对 API 的鉴权,本文基于此场景,结合 Keycloak 通过 Amazon Gateway 的 Authorizer 完成请求的鉴权。通过这种方式,应用客户端在请求 Amazon 资源时,需要通过 Keycloak 服务器进行校验,并换取有效的 JWT Token,以获得访问资源的权限。在本文中,我们以 HTTP API 为例,利用 HTTP API 已内置的授权功能进行 API 请求的鉴权。
【Web】单点登录(SingleSignOn,SSO) Keycloak OAuth 2.0 OpenID Connect JWT (JSON Web Token) SAML CAS
ihero的博客
11-29 1792
Keycloak 是一个身份和访问管理开源解决方案,它支持多种身份验证和授权协议,常用的包括 OpenID Connect (OIDC) 和 OAuth 2.0 协议。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值