单点登录 - keycloak实现

已于 2024-07-19 17:30:19 修改
阅读量51 收藏
点赞数 1
文章标签: 数据库 java 开发语言
于 2024-07-19 11:28:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songtaiwu/article/details/140544289
版权

一、安装keycloak应用

采用docker的方式运行一个keycloak应用,方便进行学习。

在我的ubuntu虚拟机中,写一个docker-compose.yml文件,内容如下,安装一个keycloak、一个postgres数据库。

version: "3"
services:
  auth:
    image: jboss/keycloak
    ports:
    - "8080:8080"
    environment:
    - "KEYCLOAK_USER=admin"
    - "KEYCLOAK_PASSWORD=admin"
    - "DB_VENDOR=postgres"
    - "DB_ADDR=postgres"
    - "DB_DATABASE=postgres"
    - "DB_USER=postgres"
    - "DB_PASSWORD=admin"
    - "PROXY_ADDRESS_FORWARDING=true"
  postgres:
    image: postgres:9.6
    ports:
    - "5432:5432"
    environment:
    - "POSTGRES_PASSWORD=admin"

执行如下命令,启动容器

docker-compose -f docker-compose.yml up -d

启动成功后,我们通过vscode编辑器的docker-compose插件,能看到虚拟机中运行了容器

我们用8080端口访问,http://192.168.71.133:8080/, 并使用账户admin、admin登录即可。

二、简单使用示例

创建Realm

创建一个新的realm: demo,后续所有的客户端、用户、角色等都在此realm中创建。

创建客户端

创建后端应用客户端:golang-demo,  Access Type 选择 bearer-only。 保存之后,会出现 Credentials的 Tab,记录下这里的secret,后面要用到。

关于客户端的访问类型(Access Type)

keycloak的访问类型共有3种:

  • confidential:适用于服务端应用,且需要浏览器登录以及需要通过密钥获取access token的场景。典型的使用场景就是服务端渲染的web系统。
  • public: 适用于客户端应用,且需要浏览器登录的场景。典型的使用场景就是前端web系统,包括采用vue、react实现的前端项目等。
  • bearer-only:适用于服务端应用,不需要浏览器登录,只允许使用bearer token请求的场景。典型的使用场景就是restful api。

创建角色

创建2个角色:ROLE_ADMIN、ROLE_CUSTOMER

创建用户

创建2个用户:admin、customer

绑定用户和角色

给admin用户分配角色 ROLE_ADMIN

给customer用户分配角色ROLE_CUSTOMER

三、配置说明

Consent Required

配置client的时候,有这个选项,可以on、off。

在Keycloak中,“Consent Required”通常与用户授权和同意流程相关,这是一个重要的安全特性,用于确保用户明确知道并同意应用程序或服务将访问其哪些数据或执行哪些操作。这种机制在符合GDPR(通用数据保护条例)等隐私法规的环境中尤为重要。

Keycloak作为一个开源的身份和访问管理(IAM)解决方案,支持多种认证和授权协议,包括OAuth 2.0和OpenID Connect。在这些协议中,“Consent Required”流程通常与OAuth 2.0的授权过程或OpenID Connect的身份验证和授权过程相结合。

“Consent Required”流程概述
  1. 触发流程
    • 当用户尝试通过Keycloak进行身份验证,并授权一个客户端(如应用程序或服务)访问其受保护资源时,流程被触发。
  2. 显示同意屏幕
    • Keycloak会向用户显示一个同意屏幕,列出客户端请求访问的资源、权限和可能的其他信息。
    • 同意屏幕通常会告知用户哪些数据将被访问,以及这些数据将如何被使用。
  3. 用户同意
    • 用户需要阅读同意屏幕上的信息,并明确表示是否同意授权。
    • 如果用户同意,Keycloak将继续执行授权过程;如果用户拒绝,则授权过程将终止。
  4. 记录同意
    • 用户的同意会被Keycloak记录,以便将来进行审计和合规性检查。
  5. 发放令牌
    • 如果用户同意,Keycloak将向客户端发放访问令牌(如OAuth 2.0访问令牌或OpenID Connect ID令牌),允许客户端访问用户的受保护资源。

在Keycloak中配置“Consent Required”

Keycloak提供了灵活的配置选项,允许管理员根据需要启用或禁用“Consent Required”流程。以下是一些基本的配置步骤(请注意,具体步骤可能因Keycloak版本和部署方式而异):

  1. 登录Keycloak管理控制台
    • 使用管理员凭据登录Keycloak管理控制台。
  2. 导航到客户端设置
    • 在管理控制台中,找到并导航到需要配置“Consent Required”流程的客户端。
  3. 修改客户端设置
    • 在客户端设置中,找到与授权相关的配置选项。
    • 启用或禁用“Consent Required”选项(具体选项名称可能因Keycloak版本而异)。
  4. 保存设置
    • 保存对客户端设置的更改,并确保Keycloak已重新加载配置。

注意事项

  • “Consent Required”流程可能会增加用户交互的复杂性,因此在设计应用程序时需要考虑用户体验。
  • 在启用“Consent Required”流程之前,请确保已经充分测试了应用程序的授权和身份验证流程,以确保它们能够正确运行。
  • 遵守相关的隐私法规和法律要求,确保用户的同意是自愿的、明确的,并且符合法规要求。

Keycloak的官方文档和社区论坛是获取有关“Consent Required”流程和其他相关配置的最新和详细信息的最佳来源。如果您在使用Keycloak时遇到任何问题,建议查阅官方文档或寻求社区的帮助。

单点登录协议有哪些?CAS、OAuth、OIDC、SAML有何异同?-腾讯云开发者社区-腾讯云 (tencent.com)

songtaiwu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
单点登录keycloak部署
weixin_45805888的博客
04-12 3000
keycloak
SpringBoot整合Keycloak实现单点登录
liu320yj的博客
03-20 6976
Keycloak是一个开源的身份和权限访问管理工具,轻松为应用程序和安全服务添加身份验证,无需处理储存用户或者验证用户,其提供用户联合、强健的身份验证、用户管理和细粒度授权等功能。 搭建Keycloak服务器 本文使用docker compose安装keycloak,因为keycloak依赖数据库,在安装keycloak之前需要先安装数据库,本文使用mysql,具体的compose配置如下: version: '3.7' services: mysql: container_name: my
KeyCloak实现单点登录说明
ld851的博客
12-21 3151
1.新建领域 启动keyCloak,登录管理控制台页面,新建领域(若所需领域已存在则无需进行领域新建)。如下图所示: 填写名称(示例为dataservices)点击保存完成创建,如下图所示: 2.新建客户端 选择客户端菜单,新建客户端,填写客户端id ,填写完成后页面如下图所示: 启动账户授权选项,填写相关URL(将单点登录的url配置到DataServices管理端地址),样例如下: 有效的重定向URI:http://localhost:8081/manager/* 根URL:.
接入keycloak实现单点登录
你好!刘斩仙
11-21 661
1.如果跨域在keycloak管理中心Clients-Client details-Settings-Web origins添加浏览器访问地址就行。
杂记 | 使用keycloak实现SSO单点登录(新手向,概念、原理、逻辑、详细步骤、难点解释)
野生猿林仔的博客
07-04 7468
使用keycloak实现SSO单点登录(概念、原理、逻辑、详细步骤、难点解释)
Keycloak单点登录
我的博客
03-22 276
访问 http://localhost:8080并点击Administration Console进行登录。启动Keycloak standalone 模式,端口号为8180。如果需要配置连接postgresql,请参考。Keycloak安装有多种方式。Docker快速安装。
通过 Keycloak 实现 Grafana 单点登录
youzhouliu的博客
05-23 2771
Keycloak作为一个开源软件产品,旨在为现代的应用程序和服务,提供包含身份管理和访问管理(英语:Access Management)功能的单点登录工具。 通过 keycloak 实现 grafana 的单点登录是一个非常不错的选择,实现也比较方便。 ​
浅谈微服务架构中实现单点登录
颜淡慕潇
06-21 1486
在微服务架构中实现单点登录需要全面考虑安全性、令牌管理、认证和授权机制以及微服务间的通信方式。采用 OAuth 2.0 和 OpenID Connect 等标准协议,可以有效地实现单点登录,并确保系统的可扩展性和安全性。通过结合 API Gateway 和 Service Mesh 等技术,可以进一步简化开发和运维工作,实现一个高效、安全的微服务架构。
KEYCLOAK 23.0.4 单点登录配置
xyp632的博客
01-23 1416
记录时间:2024.1.23。
Spring Boot/Angular整合Keycloak实现单点登录功能
08-25
Spring Boot和Angular应用程序之间的单点登录(SSO)功能可以通过集成Keycloak实现Keycloak是一个开源的身份和访问管理解决方案,支持多种身份验证协议,如OpenID Connect、OAuth 2.0和SAML 2.0。它提供了用户注册...
spring-keycloak
05-01
Keycloak是一个开源的身份和访问管理(IAM)系统,它提供单点登录(SSO)、身份验证、用户管理和权限控制等功能。Spring Boot是基于Spring框架的快速开发工具,简化了创建独立的、生产级别的基于Spring的应用程序。 ...
aouth2-keycloak-resource-server
03-08
标题 "aouth2-keycloak-resource-server" 暗示了我们正在讨论的是一个基于OAuth2协议的Keycloak资源服务器实现,通常用于保护后端服务的安全。Keycloak是一款开源的身份管理和访问控制工具,它支持OAuth2、OpenID ...
edge-keycloak-sample
03-05
Keycloak是由Red Hat开发的,基于Java单点登录(Single Sign-On, SSO)和身份管理平台。它提供了一整套强大的身份验证和授权功能,包括用户注册、登录、会话管理、OAuth 2.0和OpenID Connect支持,以及对各种应用和...
单点登录实现_单点登录_
10-01
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入凭证。在现代企业级应用环境中,用户经常需要在不同的应用之间切换,SSO能显著提高用户...
MySQL(事务、索引)&&MyBatis
最新发布
hycccccch的博客
07-19 451
事务指的是一组操作的集合,是一个不可分割的工作单位。事务会将所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作要么同时成功,要么同时失败默认MySQL的事务是自动提交,即当执行一条DML语句时,MySQL会立即隐式的提交事务开启事务后运行事务不会对数据改变,commit后才会改变数据如果有命令发生错误,需要进行rollback进行回滚、
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 199
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
Spring框架之DI依赖注入
G81948577的博客
07-18 572
我们在下面构建spring的过程中体会依赖注入;从上面的图中我们知道,在ssm框架中服务层(server)无法直接操作数据库,持久层(dao)是直接操作数据库进行数据处理的,但是我们如果在服务层有一个持久层的对象,然后我们在服务层通过对象去调用持久层的方法就可以操作数据库了。@OverrideSystem.out.println("持久层,你好");UserServiceImpl类中的代码如下@Override。
深入 Dify 源码,洞察 Dify RAG 核心机制
易迟的专栏
07-17 1110
之前深入源码对 Dify 的完整流程进行了解读,基本上梳理了 Dify 的实现流程与主要组件。但是在实际部署之后,发现 Dify 现有的 RAG 检索效果没有那么理想。因此个人结合前端页面,配置信息与实现流程,深入查看了私有化部署的 Dify 的技术细节。将核心内容整理在这边,方便大家根据实际的业务场景调整 Dify 知识库的配置,或者根据需要进行二次开发调优。
vue keycloak单点登录如何操作
03-30
要使用Keycloak单点登录,需要完成以下步骤: 1. 安装Keycloak 2. 创建一个Keycloak Realm 3. 添加一个Client 4. 在Vue应用中安装Keycloak插件 5. 配置Vue应用以使用Keycloak插件 6. 在Vue应用中实现认证和授权 具体的操作步骤如下: 1. 安装Keycloak 可以参考Keycloak官方文档来安装Keycloak,官方文档地址为:https://www.keycloak.org/documentation.html 2. 创建一个Keycloak Realm 可以创建一个Realm,用于存储应用程序的用户,角色和客户端信息。可以参考Keycloak官方文档来创建Realm,官方文档地址为:https://www.keycloak.org/documentation.html 3. 添加一个Client 在Keycloak中添加一个Client,该Client将用于Vue应用的单点登录。可以参考Keycloak官方文档来添加Client,官方文档地址为:https://www.keycloak.org/documentation.html 4. 在Vue应用中安装Keycloak插件 运行以下命令来安装Vue Keycloak插件: ``` npm install vue-keycloak-js --save ``` 5. 配置Vue应用以使用Keycloak插件 在Vue应用中配置Keycloak插件,包括realm,client ID和Keycloak URL等信息。可以参考Vue Keycloak插件的官方文档来配置,官方文档地址为:https://www.npmjs.com/package/vue-keycloak-js 6. 在Vue应用中实现认证和授权 在Vue应用中使用Keycloak插件来实现认证和授权。可以使用Keycloak提供的API来调用认证和授权相关的功能。可以参考Vue Keycloak插件的官方文档来实现认证和授权,官方文档地址为:https://www.npmjs.com/package/vue-keycloak-js 以上就是使用Keycloak单点登录的基本步骤,如果需要更详细的操作步骤,可以参考Keycloak和Vue Keycloak插件的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值