Springboot集成Keycloak，不能同时登出问题。

最新推荐文章于 2024-03-13 12:19:46 发布

困知勉行1985

最新推荐文章于 2024-03-13 12:19:46 发布

阅读量2.2k

点赞数 3

分类专栏： Keycloak SSO 文章标签： spring boot

本文链接：https://blog.csdn.net/wdquan19851029/article/details/112536763

版权

Keycloak SSO 专栏收录该内容

8 篇文章 5 订阅

订阅专栏

使用springboot集成keycloak的时候，按照keycloak官方文档https://www.keycloak.org/docs/latest/securing_apps/index.html#_spring_boot_adapter，我们需要在自己的springboot 应用中添加使用Spring Boot Adapter JAR，然后通过springboot的application.properties提供keycloak相关的配置。

<dependency>
    <groupId>org.keycloak</groupId>
    <artifactId>keycloak-spring-boot-starter</artifactId>
</dependency>
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.keycloak.bom</groupId>
            <artifactId>keycloak-adapter-bom</artifactId>
            <version>11.0.2</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

如果使用SSO的方式打开了多个springboot应用，当其中一个应用登出后，那么其它应用是否应该同时被登出呢？大部分需求应该是要求同时登出的。

经过Nginx反向代理后，不能同时登出，这个时候怎么办呢？通过设置"Admin URL"，可以解决这个问题，使用其中任何一个springboot应用的地址，后面加上k_logout。

那么这是什么原理呢？

JBoss keycloak在client设置中提供了一个管理url(即上面的Admin URL)，用户可以通过这个属性进行设置，在登出推送事件或其他事件上做出反应，例如发生应用登出事件时，会触发Admin URL中配置的请求，Keycloak会对这个请求进行处理，参考代码：https://github.com/keycloak/keycloak/blob/master/adapters/oidc/adapter-core/src/main/java/org/keycloak/adapters/PreAuthActionsHandler.java

        public boolean handleRequest() {
            String requestUri = facade.getRequest().getURI();
            log.debugv("adminRequest {0}", requestUri);
            if (preflightCors()) {
                return true;
            }
            if (requestUri.endsWith(AdapterConstants.K_LOGOUT)) {
                if (!resolveDeployment()) return true;
                handleLogout();
                return true;
            } else if (requestUri.endsWith(AdapterConstants.K_PUSH_NOT_BEFORE)) {
                if (!resolveDeployment()) return true;
                handlePushNotBefore();
                return true;
            } else if (requestUri.endsWith(AdapterConstants.K_TEST_AVAILABLE)) {
                if (!resolveDeployment()) return true;
                handleTestAvailable();
                return true;
            } else if (requestUri.endsWith(AdapterConstants.K_JWKS)) {
                if (!resolveDeployment()) return true;
                handleJwksRequest();
                return true;
            }
            return false;
        }

可以看到如果请求的URI 如果以AdapterConstants.K_LOGOUT(即k_logout)结束，那么将会调用方法handleLogout()；如果以其它字段结束，将会进行其它的操作。

    protected void handleLogout()  {
        if (log.isTraceEnabled()) {
            log.trace("K_LOGOUT sent");
        }
        try {
            JWSInput token = verifyAdminRequest();
            if (token == null) {
                return;
            }
            LogoutAction action = JsonSerialization.readValue(token.getContent(), LogoutAction.class);
            if (!validateAction(action)) return;
            if (action.getAdapterSessionIds() != null) {
                userSessionManagement.logoutHttpSessions(action.getAdapterSessionIds());
            } else {
                log.debugf("logout of all sessions for application '%s'", action.getResource());
                if (action.getNotBefore() > deployment.getNotBefore()) {
                    deployment.updateNotBefore(action.getNotBefore());
                }
                userSessionManagement.logoutAll();
            }
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

其中的userSessionManagement.logoutAll() 会将所有springboot应用登出。