Keycloak的SSO功能与cookie的关系

已于 2023-01-05 16:26:10 修改
阅读量3.8k 收藏 10
点赞数 6
分类专栏: Keycloak SSO 文章标签: cookie
于 2020-12-29 13:13:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdquan19851029/article/details/111887107
版权

很早以前就开始使用keycloak了,也知道keycloak的SSO功能是与其存储在cookie中的Session信息有关系,但是一直没有仔细研究过,今天跟同事讨论keycloak logout的过程中,一起研究了一下cookie中到底存了哪些Keycloak session信息,以及其起到的作用。

首先输入我们应用的地址,例如http://localhost:4200/,因为配置了keycloak,会自动跳转到keycloak登录页面,其Path为/auth/realms/master/

这个时候我们看cookie信息,发现cookie中添加了两个新项, KC_RESTARTAUTH_SESSION_ID, 并且其Path为 /auth/realms/master/,这里的Domain信息是keycloak的地址

然后我们登录,登录成功之后会跳转到我们的应用程序。

然后我们进入到Keycloak server查看信息,发现多了一项session信息,Keycloak server会管理这个session。

此时再看cookie信息,发现之前的两项没了,keycloakRefreshToken与keycloakToken是应用程序自己新加的,Domain信息是我们前端应用程序自己的地址(虽然跟前面的一致,但是这个要看应用程序与keycloak是否部署到同一个server上,不然其Domain也是不同的),但是其Path变成了应用程序自己的Path,不再一致,不再是/auth/realms/master/。

怎么回事呢? 难道之前的cookie信息KC_RESTARTAUTH_SESSION_ID被删掉了?其实不是的,应用程序中只能看到与自己相同Domain与Path的cookie信息,keycloak 登录界面的Domain与Path与应用程序的Domain与Path是不同的,所以跳转到应用程序后,不能够再看到keycloak登录界面产生的cookie信息。

想要看到全部的cookie,可以进入浏览器的cookie管理页面,这里管理所有的cookie信息。

加上一开始的AUTH_SESSION_ID(KC_RESTART已经被删除),我们发现又添加了KEYCLOAK_IDENTITYKEYCLOAK_SESSION两项现在一共是3项。

  • AUTH_SESSION_ID: 2cc5bcb9-32aa-473e-a792-02df17300426.cctf-cluster-control-01
  • KEYCLOAK_IDENTITY: eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJhZmVkNGNkMy1iNjhmLTRhOTQtYWMxZC1lMmVhMTRjNGZkYTYifQ.eyJqdGkiOiJlM2I3NjkwNy1kNWEyLTRkNDUtYmFmMy0wZTc3NzMxZjNhMjMiLCJleHAiOjE2MDkyNTEyNTIsIm5iZiI6MCwiaWF0IjoxNjA5MjE1MjUyLCJpc3MiOiJodHRwczovLzEwLjc2LjguMTMwOjg4NDMvYXV0aC9yZWFsbXMvbWFzdGVyIiwic3ViIjoiNjg1Y2NkMTgtMTBhMS00ZjhmLTg3ZGUtOWUxMmY1ODlkOTQ5IiwidHlwIjoiU2VyaWFsaXplZC1JRCIsImF1dGhfdGltZSI6MCwic2Vzc2lvbl9zdGF0ZSI6IjJjYzViY2I5LTMyYWEtNDczZS1hNzkyLTAyZGYxNzMwMDQyNiIsInN0YXRlX2NoZWNrZXIiOiJaT0hubmhSQ3VoODNxSW5yYkM1Ty10QUxoUjEycVExSjBobUhjWUhtYmlzIn0.c3Vk8z0RJTIEPOciWG3wPTTIW5RWGkMQlEPTzSflMMo
  • KEYCLOAK_SESSION: master/685ccd18-10a1-4f8f-87de-9e12f589d949/2cc5bcb9-32aa-473e-a792-02df17300426

然后关闭应用页面,在网站中输入keycloak登录地址(应用地址也是可以的),keycloak登录地址中的参数,要使用在keycloak中注册应用时的client_id和重定向地址redirect_uri:https://x.xxx.xxx.xxx:8843/auth/realms/master/protocol/openid-connect/auth?redirect_uri=https://xxx.xxx.xxx.xxx/cctf/&client_id=cctf-frontend-client&response_type=code&scope=openid

发现能够直接跳转到应用页面,不需要再跳转到keycloak登录页面并输入账号和密码,打开调试页面,发现上面的请求中带上了cookie中的信息AUTH_SESSION_ID,KEYCLOAK_IDENTITYKEYCLOAK_SESSION

那么到底是哪个key起到了SSO的作用呢?只把AUTH_SESSION_ID清空,然后重新登录,输入https://x.xxx.xxx.xxx:8843/auth/realms/master/protocol/openid-connect/auth?redirect_uri=https://xxx.xxx.xxx.xxx/cctf/&client_id=cctf-frontend-client&response_type=code&scope=openid,发现不需要登录,直接进入应用页面,SSO仍然起作用;重新登录,只删除KEYCLOAK_SESSION,又试了一次,SSO仍然起作用;重新登录,只把KEYCLOAK_IDENTITY删除,SSO终于失效了

总结:

所以,只要从cookie中删除KEYCLOAK_IDENTITY的值,那么SSO就会失效。

我曾经尝试在应用界面中,使用java script将KEYCLOAK_IDENTITY置空,但是发现不起作用,原因是,应用程序只能操作与自己Domain与Path都相同的cookie,不符合这个条件的cookie信息是无法处理的,置空操作只会新添加一个内容为空的KEYCLOAK_IDENTITY,其Path为本应用的/cctf,无法操作keycloak domain/path 中的KEYCLOAK_IDENTITY

那么是如何实现SSO的呢?

假设还有第2个、第3个应用,在keycloak的相同的realm中注册了各自的client,我们在访问第2个、第3个应用的时候,也会跳转到keycloak登录页面(带上各自的client_id, redirect_url),但是就像上面的现象一样,我们的keycloak登录页对应的domain/path中有那3个cookie值AUTH_SESSION_ID,KEYCLOAK_IDENTITYKEYCLOAK_SESSION, 这样就会自动跳转到我们应用的界面,无需填写keycloak登录的账号密码,并且能够返回授权码code,这就算登录成功了,登录成功之后,后续的操作就是我们再利用这个授权码code和client_secret访问keycloak去获取access token,这就是Oauth2.0的授权码模式。

困知勉行1985
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【DevOps工具篇】身份验证管理及SSO登录:Keycloak
欧阳天涵的专栏
04-04 326
在数字时代,并确保是至关重要的。在新项目中担任的第一个任务中,我被实现。当我深入研究这篇旨在强调重要性并阐明的文章时,我意识到它在确保安全和个性化用户体验方面扮演的。在这一领域起着至关重要的作用,作为防止和其他危害的,同时促进。
SSO单点登录系统的搭建——Keycloak
ZN_nick_NZ的博客
04-13 4501
SSO单点登录系统的搭建——Keycloak 什么是SSO?     举个例子,你登录到淘宝、天猫、支付宝时,使用的是同一套账号密码,当你在其中一个网站登出后,其他网站也会随之登出。这就是单点登录(SSO)。 开源的主流用户系统介绍     目前主流的开源用户系统中做的比较好的有apereo家的CAS和Red Hat家的KeyCloak。二者的区别不在此过多赘述,有兴趣的朋友可以参考此文章。     就我个人而言,Keycloak的文档比CAS写的好太多。CAS的文档我总是看的云里雾里。So, CAS就被我
杂记 | 使用keycloak实现SSO单点登录(新手向,概念、原理、逻辑、详细步骤、难点解释)
野生猿林仔的博客
07-04 7742
使用keycloak实现SSO单点登录(概念、原理、逻辑、详细步骤、难点解释)
什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?
m0_63144319的博客
05-14 1657
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享和官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
Keycloak SSO集成到jBPM和Drools Workbench中
最佳 Java 编程
06-02 337
介绍 单一登录(SSO)和相关令牌交换机制正在成为Web上不同环境中进行身份验证和授权的最常见方案,尤其是在迁移到云中时。 本文讨论了Keycloak与jBPM或Drools应用程序的集成,以便使用Keycloak上提供的所有功能Keycloak是用于浏览器应用程序和RESTful Web服务的集成SSO和IDM。 在Keycloak的主页上进一步了解它。 与Keycloak集成...
keycloak-sso:自定义帐户管理模板,keycloak身份验证和授权
01-29
该存储库允许多个应用程序 跑 需求 码头工人 jre1.8 纱 脚步 输入./keycloak文件夹,然后执行docker-compose up 输入./keycloak-react,然后执行yarn服务器 exec ./gradlew bootRun-平行 打开浏览器并访问 描述 keycloak-saml支持安全Web应用程序的SAML协议。 适配器使用弹簧启动安全性。 keycloak-springbootsecurity支持对安全应用程序的OpenIdConnect协议,该协议使用Spring Boot和Spring Security。 keycloak-react支持安全应用程序使用的OpenIdConnect协议,该协议使用keycloak javascript适配器并将令牌发送到服务。 keycloak-backend-springbootsecurity支持对安全应用程序的OpenIdConnect协议,该协议使用Spring Boot和Spring Security。
ssokeycloak-test
06-08
ssokeycloak-test
keycloak-go
03-04
`keycloak-go` 是一个与Keycloak集成的Go语言客户端库,它允许开发者在Go应用程序中轻松地实现Keycloak的身份验证和授权功能Keycloak是一款开源的身份管理和访问控制服务,支持单点登录(SSO)和其他安全特性。...
WEBSSO-单点登录
12-03
- **Cookie管理**:SSO系统通常使用Cookie来跟踪用户的登录状态,确保用户在访问多个SP时无需重新登录。 - **重定向和回调**:在用户尝试访问SP时,如果未登录,会被重定向到IDP进行登录。登录成功后,IDP会将用户...
sso单点登陆1
08-08
5. 目标应用接收到这个令牌或参数,通过与SSO服务器通信验证用户身份。 6. 验证成功后,目标应用将用户视为已登录,并允许其访问资源。 在Java Web环境中,如上述代码所示,可以使用Struts2框架来实现SSO功能。`...
SSO单点登录.zip
03-29
- **Cookie与Session**:在SSO中,Cookie通常用于存储票据,而Session则用于服务器端保存用户状态。 - **单点登出(SLO)**:与SSO相对应,用户登出一次即可从所有关联系统中退出,保持安全性。 3. SSO实现架构:...
单点登录(SingleSignOn-SSO)完整案例
09-15
3. **令牌分发**:将令牌发送到需要SSO功能的所有应用系统,通常是通过Cookie或者隐藏的表单字段。 4. **验证令牌**:用户访问其他应用时,应用系统会检查用户请求中携带的令牌,通过与身份验证中心的交互确认令牌的...
Keycloak基于smal2.0实现sso登陆操作
leen的博客
12-08 643
基于smal2.0使用keycloak实现单点登陆sso
keycloak学习
weixin_33701564的博客
11-16 479
keycloak是一个针对Web应用和RESTfull Web API提供SSO(Single Sign On:单点登陆),它是一个开源软件,源码地址是:https://github.com/keycloak/keycloak/ 核心概念: users:用户是一个可以登陆系统的实体,它可以拥有联系它们自身的属性,例如邮箱、用户名、地址、电话号码或生日等,可以为user分配组别或者角色。 ...
keycloak cookie KEYCLOAK_SESSION
cigun5090的博客
12-31 1493
登录 keycloak 后, cookie中会记录一个名称为KEYCLOAK_SESSION 的 cookie, 该 cookie Domain 就是当前请求的完整域名,如:auth.inspurstaging.com 该 cookie Path 是到具体Realm的, 如:/auth...
Keycloak实现开源SSO oauth2登陆权限系统(1)—— 安装keycloak并配置 oauth clienntid 和 nginx-ingress配置oauth-proxy2授权登陆跳转
最新发布
weixin_43041894的博客
07-21 768
它允许创建独立的应用程序和用户组。master 是keycloak 中默认的 realm,master 是专用于管理 keycloak的,不建议用于自己的应用程序。要应用于自己的应用程序时,一般建立一个指定名称的 realm。3、在右侧 Add realm 界面的 Name 处填写自己相应建立的 realm 的名称,例如: myrealm。2、点击左侧的 Clients,在右侧的弹出界面点击 Create 按钮,得到 Add Client 界面。1、在出现界面点击 Credentials,出现如下界面。
【Web】单点登录(SingleSignOn,SSO) Keycloak OAuth 2.0 OpenID Connect JWT (JSON Web Token) SAML CAS
ihero的博客
11-29 1612
Keycloak 是一个身份和访问管理开源解决方案,它支持多种身份验证和授权协议,常用的包括 OpenID Connect (OIDC) 和 OAuth 2.0 协议。
Keycloak介绍、原理以及使用场景
damokelisijian866的博客
07-05 298
Keycloak是一个开源的身份和访问管理(IAM)解决方案,专为现代应用和服务设计。它提供了单点登录(SSO功能,支持多种标准协议,如OpenID Connect、OAuth 2.0和SAML 2.0,使得Keycloak能够与各种服务进行集成,以提供身份验证和授权功能Keycloak拥有简单易用的管理控制台,并提供对LDAP、Active Directory以及社交账号登录(如Google、Facebook、GitHub等)的支持,实现了非常简单的开箱即用体验。
keycloak~KEYCLOAK_REMEMBER_ME中文用户名问题新版已经解决
V539413949的博客
04-27 217
keycloak11.0.3 由于undertow不支持中文的cookie,所以如果使用记住密码功能时,存储的KEYCLOAK_REMEMBER_ME会出现错误,导致应用程序崩溃。 原码 问题截图 keycloak新版本(从14.0开始) 这个问题已经通过urlEncode编码进行了解决,当然对于kc管理平台的中文查询,也同样有这个编码的问题 愿与诸君共进步,大量的面试题及答案还有资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务
SSO和OAuth2.0关系
03-01
SSO(Single Sign-On)和OAuth 2.0都是在网络应用中进行身份验证和授权的协议,但是它们的目的和实现方式不同。 SSO是一种身份验证机制,它允许用户在一个系统中进行身份验证后,无需再在其他系统中进行身份验证就可以访问这些系统。这意味着用户只需要一组凭据(例如用户名和密码),就可以访问多个应用程序,而无需在每个应用程序中重新进行身份验证。SSO是通过在多个系统之间共享认证信息实现的。 OAuth 2.0是一种授权协议,它允许用户授权第三方应用程序访问他们在另一个应用程序中存储的资源。例如,一个用户可以使用他们在Facebook上的凭据授权第三方应用程序访问他们在Facebook上的信息。OAuth 2.0使用访问令牌(access tokens)来代表用户授权访问资源,这些访问令牌通常具有有限的生命周期,以确保安全性。 尽管SSO和OAuth 2.0有不同的目的和实现方式,但它们可以一起使用。例如,一个应用程序可以使用SSO进行用户身份验证,然后使用OAuth 2.0授权访问其他应用程序的资源。这种组合可以提高用户体验和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值