如何使用 Keycloak 的 service account (服务账号) 功能

已于 2023-05-28 19:08:51 修改
阅读量1.6k 收藏 2
点赞数
分类专栏: 架构 文章标签: oauth2
于 2021-11-29 15:42:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/surfirst/article/details/121601753
版权

Keycloak 在解决服务之间的通信的时候可以使用 service account 功能,也就是服务账号。每一个 Keycloak Realm 下的 client 都可以包含一个 service account 账号。这个 service account 账号的概念来自于 OAuth 2.0 的 Client Credential Grant 规范。

Service Account 和用户账号的区别

Service Account 和用户账号的不同之处在于 Service Account 使用 client secret登录,登录后只会生成 access token 不会生成 refresh token。 因为每个 keycloak 的 client 只能有一个Service Account,所以 Service Account 有专门的角色分配UI来配置它的权限。

项目 Service Account 用户账号
数量 一个 client 一个 一个realm下每一个用户有一个账号
登录 用户名: client 名称,密码:Client Secret 用户的用户名,用户的密码
生成的Token Access Token Access Token 和 Refresh Token
角色分配 使用 Service Account 专有的分配方式 使用用户角色分配

Service Account 的用法

最低0.47元/天 解锁文章
surfirst
关注
专栏目录
keycloak中文使用文档_doc/keycloak-learn/Spring Cloud Keycloak搭建手把手操作指南.md · 周立/spring-cloud-yes - 码云 Gitee...
weixin_34718952的博客
12-24 1260
Keycloak安装&初始化下载 笔者下载的是“Standalone server distribution” 。安装&启动安装Keycloak非常简单,步骤如下: 解压下载下来的安装包将目录切换到 KEYCLOAK_PATH/bin,其中KEYCLOAK_PATH是您Keycloak的根目录执行 ./standalone.sh,即可启动Ke...
基于KeyCloak的用户认证与授权(password模式和secret模式)
MRLEE1212的博客
09-24 3998
基于KeyCloak的用户认证与授权(password模式和secret模式) 基于password的用户认证与授权模式 登录到KeyCloak管理端,进入到对应的client(这里用的是demo-cli),在setting下将红线部分设置为public,如下图所示: 在PostMan中使用username和password请求token,PostMan请求配置如下图所示: 至此,已经使...
ServiceAccount 详解
最新发布
Lzcsfg的博客
08-18 753
在 Kubernetes 中,是一种用于在 Pod 中提供身份验证和授权的机制。ServiceAccount 允许应用程序在集群内以特定身份运行,并且可以访问 Kubernetes API。
如何使用 service account 获取 keycloak 的用户信息
surfirst的博客
05-28 1233
Keycloak 是一个开源的权限管理和认证系统。使用 Keycloak 可以让开发者专注于解决业务的核心问题。获取用户信息是权限管理和认证系统需要的基本功能Service AccountOAuth 2.0推荐的系统服务使用的账户,开发者可以通过 KeycloakService Account 来让自己的微服务Keycloak 获取和管理用户信息。
Keycloak授权服务指南
weixin_34407348的博客
04-12 1万+
为什么80%的码农都做不了架构师?>>> ...
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
一款强大的开源认证和访问控制利器:KeyCloak 太牛了!
Java知音
01-18 1204
安装&初始化下载http://www.keycloak.org/downloads.html笔者下载的是“Standalone server distribution” 。安装&启动安装Keycloak非常简单,步骤如下:解压下载下来的安装包将目录切换到KEYCLOAK_PATH/bin ,其中KEYCLOAK_PATH是您Keycloak的根目录执行./standalone.sh...
keycloak快速使用教程
u012706554的专栏
09-14 790
Keycloak利用policy的概念,以及如何通过提供聚合policy的概念来定义它们,您可以在其中构建“policy 中的 policy”,并仍然控制评估的行为。也就是说,您可创建单独的policy,然后与不同的permission重用它们,并通过组合各个policy构建更复杂的policy。但是,您也可拥有一个名为Alice’s Banking Account的资源,这个resource代表一个客户拥有的单一resource,它也可拥有自己的一组authorization policy。
选择合适的用户系统 - 各认证协议介绍及cas、keyclock、authz、authing等的对比
reprover的博客
09-17 2634
本文首发于俺的博客:https://rxrw.me/tech/user-system-compare/ 从我刚开始学习互联网方面的编程开始,无论是写什么项目(除了微信公众号的消息收发),用户都是一个耗时间、耗精力而又无法保证开发最终稳定、无法复用的功能。对于每个业务需求,有一半的时间都是去做用户系统。从最开始的原生 PHP 手写笨拙的注册流程和表单,到 ThinkPHP(呕),再到后来的 Laravel 开箱即用的认证模块——虽然说是开箱即用,但国外的邮箱策略和国内的手机号、微信授权功能对比,开发成本还是很
开源堡垒机jumpserver的搭建与使用
时光
09-24 6592
目录 一. 准备 Python3 和 Python 虚拟环境 二. 安装 Jumpserver 三. 安装 SSH Server 和 WebSocket Server: Coco 四. 安装 Web Terminal 前端: Luna 五. 安装 Windows 支持组件(如果不需要管理 windows 资产, 可以直接跳过这一步) 六. 配置 Nginx 整合各组件 七.J...
苹果开发者账号登录的问题
三线程序员的博客
09-26 1329
问题描述 在清理掉google浏览器的缓存后,直接登录https://appstoreconnect.apple.com/login 出现问题 因为是添加了自己的手机进入信任列表,每次登录的时候都是通过验证码登录的 但是这次点击通过获取验证码登录后,就是不给你输入,换了浏览器都一样 再度怀疑是苹果问题,但是这种低级错误不至于,肯定是自己的问题 尝试了4次,无果,放弃这个思路 解决 先登录 https://appleid.apple.com/account/manage 上面的网址还是使用你的手机验证码
【kubernetes系列】Kubernetes之ServiceAccount
margu_168的博客
07-12 1949
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用
keycloak 认证服务
刘毅的博客
11-16 2万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
ServiceAccount深度解析
qq_61039408的博客
08-07 1177
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccount在K8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
keycloak学习过程中遇到的一些坑
漫路求索的博客
06-30 6587
首先网上的一些文章写的不够详细清楚!导致我好多地方浪费了很多时间! 就拿最简单的一个 keycloak 数据库切换问题! 网上都只说了操作步骤,可是,这里面我按照步骤却出现了很多问题! 第一个问题: mysql 的连接 jar 包本问题! 目前自己测试了 5,6 ,8 三个大的版本!只有5没有出现任何问题! 第二个问题:就是连接后会报 09:16:00,596 ERROR ...
KeyCloakOAuth2、Spring Boot、client_credentials整合
klaokai的冥想空间
08-08 3953
doc https://www.keycloak.org/docs/latest/getting_started/index.html 创建一个域和一个用户 Keycloak广利控制台的第一个用途是创建领域并在该领域中创建用户。 您使用该用户登录到新领域,并访问所有用户都可以访问的内置账户控制台。 域和用户 当你登录管理员控制台,你将在一个域内工作,这是一个你可以管理对象的空间。 有两种域: Master realm:主域。这个域会在你第一次启动Keycloak就会为你创建好, 它包含了你第一次登录时创建的
Kubernetes-主要概念-Service Account
热门推荐
了解➔熟悉➔掌握➔精通
03-22 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同 User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计; User account是跨namespace的,而service accou
Keycloak入门指南
白石的专栏
02-17 3363
Keycloak入门指南
role 给ServiceAccount账号示例
06-01
好的,以下是一个 Role 给 ServiceAccount 账号的示例: ``` kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: my-namespace name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 这个 Role 定义了在 my-namespace 命名空间中能够读取(get)、监视(watch)和列出(list) Pod 资源的权限。接下来,可以使用 RoleBinding 将这个 Role 与某个用户、用户组或者服务帐户绑定在一起,从而为它们提供 Pod 读取的权限。 例如,以下是将 Role 绑定给一个名为 "my-service-account" 的服务帐户的 RoleBinding 的示例: ``` kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: pod-reader-sa-binding namespace: my-namespace subjects: - kind: ServiceAccount name: my-service-account namespace: my-namespace roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 这个 RoleBinding 将名为 "pod-reader" 的 Role 与一个名为 "my-service-account" 的服务帐户绑定在一起,从而为该服务帐户提供在 my-namespace 命名空间中读取 Pod 资源的权限。其中 subjects 字段定义了 "my-service-account" 这个服务帐户,而 roleRef 字段引用了名为 "pod-reader" 的 Role。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

surfirst

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值