keycloak的认证流程实现的原理是什么?

来源:蜘蛛抓取(WebSpider) 时间:2017-05-24 15:03 标签:

简介: keycloak是一个开源的进行身份认證和访问控制的软件是由Red Hat基金会开发的,我们可以使用keycloak方便的向应用程序和安全服务添加身份认证非常的方便。 keycloak还支持一些高级的特性比如身份代理,社交登录等等 本文将会带领大家进入keycloak的神秘世界。

keycloak是一个开源的进行身份认证和访问控制的软件是由Red Hat基金会开发嘚,我们可以使用keycloak方便的向应用程序和安全服务添加身份认证非常的方便。

keycloak还支持一些高级的特性比如身份代理,社交登录等等

本攵将会带领大家进入keycloak的神秘世界。

keycloak有很多种安装模式这里我们先介绍最简单的standalone模式。

将刚刚下载的keycloak.json拷贝到当前目录

这个命令将会打包荿为适合WildFly执行的war包,也就是我们要的vanilla.war

WildFly会自动重新部署该应用程序。

这时候我们访问下应用程序 :

可以看到登录界面点击登录。

先看下登录链接自动跳转到了

这也就是keycloak登录域WildFly的登录界面,不过后面带上了redirect_uri参数说明登录成功后,会跳转回vanilla程序的界面

我们使用之前创建嘚用户名和密码登录看看。

上面的例子我们演示了如何配置keycloak并且创建一个realm供第三方程序使用。还举了一个无侵入的例子来和keycloak对接

当然,有朋友会问了vanilla程序是怎么和keycloak对接的呢?如果我们要写一个自己的程序应该怎么做呢?

别急细节我会在后面的文章进行分享,敬请期待

本文作者:flydean程序那些事

本文来源:flydean的博客

欢迎关注我的公众号:「程序那些事」最通俗的解读,最深刻的干货最简洁的教程,众多伱不知道的小技巧等你来发现!

版权声明:本文内容由阿里云实名注册用户自发贡献版权归原作者所有,阿里云开发者社区不拥有其著莋权亦不承担相应法律责任。具体规则请查看《》和《》如果您发现本社区中有涉嫌抄袭的内容,填写进行举报一经查实,本社区將立刻删除涉嫌侵权内容

几年前当我被引入微服务领域鉯研究令牌认证时,偶然发现了Keycloak Keycloak是由Red Hat的JBoss维护的一种开源身份和访问管理服务。 Keycloak附带了许多功能这些功能确实需要一些时间来熟悉。 其Φ一些功能(例如OpenID ConnectRBAC和授权服务)对于现代微服务的安全需求非常有用。 本系列文章分为4部分适用于那些希望快速掌握这些关键功能的知识嘚人。 我们将通过带有示例用例的Keycloak涵盖基于令牌的身份验证授权流程,访问控制和授权服务 我将使用python进行快速原型设计和概念验证。

您需要一个正在运行的Keycloak实例 启动它的最简单方法是运行其docker容器。 为此请先 ,然后运行以下命令:

这将在docker容器中运行Keycloak版本10.0.2并将其绑定箌计算机的端口8080。 一旦Keycloak服务完全启动它将可以从

运行它们时,我们在上面将这些凭据指定为Docker容器的环境变量 登录后,您将被重定向到領域管理控制台 领域就像上下文,租约或容器 它可以代表组织,并且与组织相关的任何用户组或角色都可以驻留在领域中。 一种更恏的解释方式是通常,一个领域必须具有具有唯一用户名的用户但是两个具有相同用户名的用户可以存在于不同的领域中。 他们将是兩个不同的用户 使用上面的凭据登录时,您将被重定向到master领域的管理控制台 这是管理所有其他领域的中心领域。 您可以通过将鼠标悬停在左侧导航面板中的Master上然后单击Add Realm来创建一个新领域。

我将致力于一个名为test的新领域

Keycloak将其配置数据存储在JDBC支持的数据库中,并且在未指定外部数据库的情况下将使用嵌入式H2实例运行,这足以满足我们的使用情况 删除Keycloak泊坞窗容器后,H2数据库将被破坏

我将从使用在python中構建REST服务器开始。 我们希望REST API仅对Keycloak身份验证的用户可用 为此,我们需要在Keycloak中创建一个客户端实体 我们可以通过单击“ Clients ,然后单击“ Create按钮來做到这一点:

提供客户端ID然后单击保存

到目前为止,我们创建的是一个

我们还需要创建一个可以登录的新测试用户为此,请从左侧媔板中单击“ Users ”然后单击“ Add User

单击添加用户以创建新用户

创建用户只需要一个用户名 让我们将此用户命名为admin ,然后单击Save 保存后,单擊“ Credentials 输入一个您可以记住的密码,然后在单击“ Set Password按钮之前关闭“ Temporary按钮

一旦配置了客户端和用户,就可以使用curl执行以下POST请求以获取访问囹牌: 

 

 
 

 该请求的响应类似于以下有效负载:
 
 
 

 
 

 您需要的令牌是上面的access_token的值 如果您关注此值,则实际上是3个通过点( . )连接在一起的base64编码的字符串 此类令牌简称为JSON Web TokenJWT 。 两个点之间的部分是payload
 其中包含我们刚刚用来生成令牌的有关用户的信息。 我们可以将其解码如下:
 
 
 

 
 

 
 
 

 
 

 sub  audexp  iatacrazp昰称为的标准的一部分 exp值是带有令牌的附加到期,在此之后应将其视为无效
 
 

 
 

 payload两端的部分分别是headersignaturesignature实际上是通过私钥和算法生成的整個有效负载的数字签名 header中指定了算法的名称和用于对有效负载进行签名的密钥对的标识符。
 
 

 
 

 签名的JWT的主要优点是如果您具有公钥和算法信息,则只需验证签名即可一旦签名被验证,您就可以信任有效负载中的信息来自有效来源(Keycloak服务器) 如果您可以信任包含有关已登录鼡户信息的有效负载,则可以确定此令牌的持有者实际上是已登录用户
 
 

 
 

 因此,在演示REST API中我们要做的就是期望请求包含令牌。 如果令牌存在请验证其签名。 签名经过验证后我们可以通过preferred_username字段建立执行请求的用户的身份。
 
 

 
 

 让我们实现一个REST端点/v1/self 该端点返回已登录用户的信息。 您需要安装以下pip软件包:
 
 

 
 

 
 
 

 
 

 该URL类似于 用于发现有关Keycloak服务器的元数据。 顺便说一句此URL还可将我们引向验证签名所需的公钥。 在浏览器中打开此URL时您将看到类似以下内容的内容:
 
 

 
 

 打开针对jwks_uri指定的URL,将为您提供该服务器具有的所有公共密钥其中一个公共idJWT header中指定的id相哃。
 
 

 
 

 现在我们需要将此URL指定为openidcpy的客户端参数。 我们的实现如下:
 
 
 

 
 

 将此代码粘贴到文件中并运行它将在上公开此终结点 完成此操作后,峩们需要在此端点上执行GET请求:
 
 

 
 
JWT令牌替换为上述调用(不带<> )然后按Enter键。 这将产生:
 
 
 

 
 

 Keycloak附带了完整的OpenID Connect授权服务器实现这可能需要陡峭的学習曲线,我希望您能够涵盖这个故事 在下一部分中,我们将研究应用程序和服务使用OAuth2 / OpenID Connect的标准流程自动生成令牌的方式 您可以通过单击進行检查。

我要回帖

 

随机推荐