使用 Ktor 来反向代理 Keycloak

已于 2024-02-08 16:05:20 修改
阅读量1.1k 收藏 18
点赞数 26
文章标签: kotlin 服务器
于 2024-02-08 15:54:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42763682/article/details/136079847
版权
本文介绍了如何使用Ktor框架构建一个反向代理,保护Keycloak服务器。作者详细描述了配置过程,包括依赖项选择、HttpClient的使用以及处理重定向等问题的解决方案。
摘要由CSDN通过智能技术生成

The English version of this article is available on Medium.

Ktor 是一个用于轻松构建异步服务器端和客户端应用程序的框架,使用 Kotlin 编写。它支持许多引擎(服务端/客户端),包括 Ktor 团队开发的 CIO(基于协程的 I/O)引擎。

今天我们要在 Ktor 上实现一个可用的反向代理,用来保护它背后的 Keycloak 服务器。鼓捣了半天才发现有示例,不过没关系,用这个示例代理 Keycloak 还是不太行的。

了解 Ktor 的部分我就不过多赘述了,直接开始敲代码。

依赖项

依赖项其实很简单,一个服务端引擎和一个客户端引擎即可,我们在这里使用 CIO。

# Gradle version catalog

[versions]
ktor = "3.0.0-beta-1"

[libraries]
ktor-server-core = { module = "io.ktor:ktor-server-core", version.ref = "ktor" }
ktor-server-cio = { module = "io.ktor:ktor-server-cio", version.ref = "ktor" }
ktor-client-core = { module = "io.ktor:ktor-client-core", version.ref = "ktor" }
ktor-client-cio = { module = "io.ktor:ktor-client-cio", version.ref = "ktor" }

[plugins]
ktor = { id = "io.ktor.plugin", version.ref = "ktor" }

主应用程序(Application)和模块(module)

主应用程序可以选择 embeddedServerEngineMain,可根据项目情况进行配置。

我们打算不在主模块中添加过多内容,而是把它们拆分到单独的文件中。简单的主模块:

fun Application.module() {
    routing {
        proxyKeycloak()
    }
}

反向代理

这回进入正题了。反向代理,说白了就是一台服务器接收到请求,转发到目标服务器,接收到目标服务器的响应后,再转发回客户端。所以我们的应用中需要先配置一个客户端。

客户端

// proxy/Keycloak.kt

private val keycloakProxyClient = HttpClient()

非常简洁的一个客户端。请注意,如果你向项目中添加了多个客户端引擎,需要显式指定。例子如下:

HttpClient(CIO)

Keycloak

这时我们指定两个主机名:ktor(端口 8080)和 keycloak(端口 8081)。

我们假定 Keycloak 托管在路径 /auth 下,需要对 Keycloak 进行如下配置红帽的中文版文档)。

http-enabled=true # 对进入 Keycloak 的请求启用 HTTP
http-port=8081
proxy=edge
http-relative-path=/auth
hostname-strict=false

代理

配置完毕,就可以开始编写 proxyKeycloak() 了。

// proxy/Keycloak.kt

fun Route.proxyKeycloak() {
    route(Regex("/auth|/auth/.*")) {
        // TODO
    }
}

我们使用 route DSL 指定了一个路径,告诉 Ktor 匹配这个正则表达式的请求交给这个 lambda 处理。Ktor 提供了 getpost 扩展函数,但是我们需要代理所有请求,故不使用它们。

接下来是处理请求和发送新请求。

// proxy/Keycloak.kt

@OptIn(InternalAPI::class)
fun Route.proxyKeycloak() {
    route(Regex("/auth|/auth/.*")) {
        handle {
            keycloakProxyClient.request {
                url("http://$keycloakHost:$keycloakPort${call.request.uri}")
                method = call.request.httpMethod
                headers.appendAll(call.request.headers) // 哈?
                // 嗯?
                body = call.receive()
            }.let { response ->
                call.respond(object : OutgoingContent.WriteChannelContent() {
                    override val contentLength: Long? = response.contentLength()
                    override val contentType: ContentType? = response.contentType()
                    override val status: HttpStatusCode = response.status
                    override val headers: Headers = Headers.build {
                        appendAll(response.headers) // 啊?
                    }

                    override suspend fun writeTo(channel: ByteWriteChannel) {
                        response.content.copyAndClose(channel)
                    }
                })
            }
        }
    }
}

到这里好像就大功告成了,但很显然是不可以的,因为我们还没有配置 Forwarded 标头(也可以用 X- 非标标头,不过既然标准的摆在这,就用了吧)。

标头

嗯? 处插入:

headers[HttpHeaders.Forwarded] = "for=${call.request.local.remoteHost};host=${call.request.headers[HttpHeaders.Host] ?: ""};proto=${call.request.local.scheme}"

这样我们就可以告诉 Keycloak,发出请求的真实地址是什么。

不过,现在我们还是不能让代理服务器变得可用,因为 Ktor 管理了一些标头,并且不允许手动指定,否则会引发异常,造成 500 错误。让我们排除这些标头。

val Headers.safeExplicitness get() = filter { key, _ -> 
    !key.equals(
        HttpHeaders.TransferEncoding, ignoreCase = true
    ) && !key.equals(
        HttpHeaders.ContentType, ignoreCase = true
    ) && !key.equals(
        HttpHeaders.ContentLength, ignoreCase = true
    )
}

啊? 处修改为:

appendAll(response.headers.safeExplicitness)

哈? 怎么办呢?如果对它也应用 safeExplicitness,会导致发送给 Keycloak 的信息不正确:

{"error":"invalid_request","error_description":"Missing form parameter: grant_type"}

打开浏览器的开发者工具会发现,grant_type 其实已经被指定了,于是乎,哈? 处只能修改为:

headers.appendAll(call.request.headers)
headers.remove(HttpHeaders.TransferEncoding)
headers[HttpHeaders.Host] = "$keycloakHost:$keycloakPort" // 还需要加上真实的 Host 标头

这回访问 Keycloak 不会报异常了。

不要重定向

这也是一个坑点,HttpClient 默认跟随重定向,这会导致发送给 Keycloak 的重定向 URI 出现循环(还记得我们前面提过的主机名吗,不记得的话,先回去看一下再浏览下面的日志):

WARN  [org.keycloak.events] (executor-thread-123) type="LOGIN_ERROR", ***, error="invalid_redirect_uri", redirect_uri="http://ktor/***/auth?***&redirect_uri=http%3A%2F%2Fktor%2F***%2F&state=***&response_mode=fragment&response_type=code&scope=openid&nonce=***&prompt=none&code_challenge=***&code_challenge_method=***"

发现了吗,它会把我们重定向到一个新的认证请求上。当然,应用默认策略不允许这样的重定向 URI,于是这样的请求会被屏蔽,导致无法登录。

解决方法也很简单:

private val keycloakProxyClient = HttpClient {
    followRedirects = false
}

这样,我们的反向代理的 Keycloak 就完全可用了。

保护一下

还要避免公开一些不该公开的东西,把路径的表达式替换为 /auth/((js|realms|resources)/.*|robots.txt|favicon.ico) 即可。

HMLTFan
关注
  • 26
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何让 keycloak 正确地运行在反向代理(Reverse Proxy)下
surfirst的博客
07-06 1197
keycloak 是一款著名地开源用户认证、授权管理软件。在微服务的架构下,我们一般会把类似的服务放在反向代理后面,但是如果直接通过设置反向代理服务器keycloak 总是会使用自己的端口或者地址。我们可以使用 PROXY_ADDRESS_FORWARDING 环境变量来解决这个问题。下面是共参考的 docker-compose 文件: version: '3' services: keycloak: image: quay.io/keycloak/keycloak:latest
Keycloak 高可用部署实战
CodingDemo
01-16 2567
Keycloak是一个开源的Identity 和 Access Management工具,本文主要讲解keycloak高可用部署实战。
Kotlin 多平台 KtorClient 代码生成器
a2965502228的博客
05-11 459
Kotlin 多平台 KtorClient 代码生成器
通过nginx访问keycloak时的Invalid token issuer问题
wdquan19851029的专栏
01-01 3049
开发web应用的时候,使用nginx的动静分离,前端代码部署到nginx,利用反向代理(或者负载均衡)访问后端,利用反向代理访问keycloak。 登录时,nginx会将登录请求转发到keycloak,登录成功之后,前端会 ...
Keycloak server & Keycloak proxy
vimin_1314的博客
12-12 1796
1. OAuth 2.0 基于“授权码”的授权模式 第一种授权方式:授权码 转载自:​​​​​​OAuth 2.0 的四种方式 - 阮一峰的网络日志 (ruanyifeng.com) 授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 2. Keyc.
使用nginx反向代理指向Keycloak,无法显示登录页面的问题
杂家怪谈
05-20 1076
登录页面完全空白,控制报错显示 http://xxx.com/js/keycloak.js?version, 也就是http不能混合使用http 解决方法 Step1 修改/standalone/configuration/standalone.xml,加上proxy-address-forwarding=“true” <http-listener name="default" socket-binding="http" **proxy-address-forwarding="true"** enab
ktor-permissions:使用身份验证功能为Ktor提供简单的路由权限
03-10
使用身份验证功能为Ktor提供简单的路由权限。 用法 首先定义您的权限,可以是任何东西:字符串,枚举,密封类。 enum class Permission { GLOBAL , VIEW_DATA , EDIT_DATA , } 接下来配置,和...
ktor-graphql:使用Ktor轻松通过HTTP服务GraphQL
05-08
Ktor Graphql 与Ktor一起通过HTTP轻松提供GraphQL。安装: 该项目托管在Maven Central(从2.0.3版开始)上。 查看包装添加依赖项:玛文<dependency> <groupId>...
spring boot与ktor整合的实现方法
09-07
在实际运行时,可以通过配置项`spring.ktor.port`来指定服务启动时使用的端口号,而`spring.ktor.host`可以用于设置监听的主机地址。这些配置可以在Spring Boot的application.properties或application.yml文件中进行...
KtorXVue:Ktor x Vue项目模板
03-13
Ktor x Vue模板 发展 您将需要两个终端实例 克隆后,运行yarn install在src-vue目录中。 在项目的根目录中,执行./gradlew -t run (如果已安装gradle -t run ,则执行./gradlew -t run ) 在src-vue目录中,执行...
使用Ktor后端为设计系统动态提供主题的小演示-Android开发
05-26
这个小演示展示了如何利用Ktor作为后端服务,来为设计系统动态地提供主题数据。Ktor是JetBrains开发的一个轻量级、高性能的服务器端和客户端应用程序框架,适用于多种平台,包括Java和Kotlin。 首先,我们要理解...
keycloak-nginx:使用NGINX作为Keycloak反向代理的示例
04-29
使用Nginx作为Keycloak反向代理 只需运行 docker-compose up 此命令将启动Nginx,Keycloak和适当的数据库。 Nginx配置可以在nginx.conf找到。 访问将打开Keycloak的管理UI。 凭据是“管理员”和“密码”。
keycloak-proxy-demo
05-17
密钥斗篷代理演示 目的 该演示应用程序旨在帮助您了解如何使用Keycloak代理及其工作方式。 前提:Keycloak代理仅检查有关/admin端点的身份验证和授权。 Keycloak代理允许客户端到/user端点的请求 如果客户端没有管理员角色,则Keycloak代理会拒绝从客户端到/admin端点的请求 如果客户端具有管理员角色,Keycloak代理允许从客户端到/admin端点的请求 什么是Keycloak代理? Keycloak有一个HTTP(S)代理,您可以将其放在无法安装Keycloak适配器的Web应用程序和服务的前面。 您可以设置URL过滤器,以便通过浏览器登录和/或承载令牌认证来保护某些URL。 您还可以在应用程序中为URL模式定义角色约束。 请参阅以获取更多信息。 先决条件 准备Keycloak环境 Keycloak代理主要设计用于OpenID Connec
keycloak_proxy
03-10
密钥斗篷代理 用Rust写成的钥匙斗篷的代理。 启用密钥库中缺少的常见API端点,例如注册端点。 设置测试环境 运行docker-compose up 打开浏览器,导航到http://localhost:8080 单击管理控制台并登录(用户名: admin ,密码: admin ) 创建一个名为test_realm的新领域 打开test_realm->clients并创建一个名为keycloak_proxy的新客户端 回到master->clients并打开admin-cli client 将Access Type设置为confidential ,并确保已Service Accounts Enabled 保存客户 导航到“ Credentials选项卡并复制客户端。 将其粘贴到.env文件中的KEYCLOAK_PROXY_ADMIN_CLI_SECRET变量中 运行source
探索Ktor: 充满活力的现代Web应用框架示例库
最新发布
gitblog_00051的博客
05-14 245
探索Ktor: 充满活力的现代Web应用框架示例库 项目地址:https://gitcode.com/ktorio/ktor-samples 项目介绍 Ktor Samples是一个官方的JetBrains项目,它提供了一系列现成的示例代码,用于展示Ktor框架的强大功能。这些示例覆盖了从基础到高级的应用场景,包括服务器端、客户端、部署以及测试等各个方面。无论你是初学者还是经验丰富的开发者,这个项...
android—ktor-client封装使用,请求网络
邵东的博客
08-09 1036
【代码】android—ktor-client封装使用,请求网络。
Ktor2.3.0官方入门学习笔记
m0_74826223的博客
04-28 429
return@get call.respondText(" ", status = ) //请求携带的参数。val formParameters = call.receiveParameters() //取得form提交的参数。staticResources("/static", "files") //导航资源路径,最新建议使用的。"/articles" 从根路径。
nginx配置反向代理keycloak
MRLEE1212的博客
03-27 2642
nginx配置反向代理keycloak服务器上部署keycloak,无法直接访问,需要使用nginx进行反向代理,配置内容信息如下: location /auth { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; ...
使用ktor进行为服务开发
04-04
Ktor是一个开源的Kotlin框架,它可以用于构建异步和非阻塞的Web应用程序、服务和API。它具有轻量级、易于使用和快速开发的特点,因此被越来越多的开发者使用。 下面是使用Ktor进行服务开发的步骤: 1. 创建Ktor项目 首先,需要创建一个Ktor项目。可以使用IntelliJ IDEA或其他Kotlin IDE创建一个新项目,或者使用Ktor提供的命令行工具创建一个项目。运行以下命令: ``` $ mkdir myapp && cd myapp $ gradle init --type=kotlin-application ``` 这将创建一个基本的Ktor项目,其中包括一个Gradle构建文件和一个Kotlin文件。 2. 添加Ktor依赖 在build.gradle文件中添加Ktor依赖: ``` dependencies { implementation "io.ktor:ktor-server-netty:$ktor_version" implementation "io.ktor:ktor-html-builder:$ktor_version" implementation "io.ktor:ktor-jackson:$ktor_version" implementation "io.ktor:ktor-client-okhttp:$ktor_version" testImplementation "io.ktor:ktor-server-tests:$ktor_version" } ``` 3. 创建路由 创建路由是使用Ktor创建服务的关键步骤之一。在Ktor中,路由是一个函数,用于处理HTTP请求。可以使用以下代码创建路由: ``` routing { get("/") { call.respondText("Hello, world!") } get("/users") { val users = listOf("Alice", "Bob", "Charlie") call.respond(users) } post("/users") { val user = call.receive<User>() // process user call.respond(HttpStatusCode.Created) } } ``` 在上面的示例中,路由函数处理三个不同的HTTP请求: - GET /:返回“Hello, world!”字符串。 - GET /users:返回一个名为“users”的列表。 - POST /users:接收一个名为“user”的请求体,并返回HTTP状态码201。 4. 运行服务 完成路由之后,可以运行服务并测试它。在命令行中运行以下命令: ``` $ ./gradlew run ``` 然后在浏览器中访问http://localhost:8080/,应该会看到“Hello, world!”的消息。 这就完成了使用Ktor进行服务开发的步骤。Ktor具有可扩展性,可以使用各种插件和中间件来增强功能,例如安全性、WebSockets和GraphQL支持等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值