全局禁用https密钥斗篷
部署在AWS上,我不想隧道到盒子并打开浏览器禁用它。
似乎存在一个配置:“需要ssl”:“无”,可以放置在keydape服务器中。json文件,但我不确定在哪个对象下。我在“王国”下试过,但一点运气都没有。
我不想在适配器级别禁用它,它需要全局禁用,那么“ssl required”:“none”在哪里,或者如何全局禁用ssh/https?
另外,我知道这在生产中是不推荐的。)
共有3个答案
Im我的情况下,我使用的KeyCloak服务器与Spring启动。我可以通过代码从主领域更改ssl必需,扩展KeyCloakApplication:
public class EmbeddedKeycloakApplication extends KeycloakApplication {
...
public EmbeddedKeycloakApplication() {
super();
changeMasterRealm();
...
}
private void changeMasterRealm() {
KeycloakSession session = getSessionFactory().create();
try {
session.getTransactionManager().begin();
RealmManager manager = new RealmManager(session);
manager.getRealm("master").setSslRequired(SslRequired.NONE);
session.getTransactionManager().commit();
} catch (Exception ex) {
session.getTransactionManager().rollback();
}
...
我运行了de keydove admin命令来应用sslRequired=NONE。
$ docker exec -it CONTAINER-ID bash
$ cd /opt/jboss/keycloak/bin/
-- Run authenticate
$ ./kcadm.sh config credentials --server http://localhost:8080/auth --realm master --user admin
-- Apply sslRequired to none
$ ./kcadm.sh update realms/master -s sslRequired=NONE
如果您不知道用户和/或ou密码,我建议您运行:
$ ./add-user-keycloak.sh --server http://localhost:8080/admin --realm master --user admin --password YOUR-PASSWORD
在"master"域中,通过登录选项卡。将要求SSL属性更改为无。
如果您不能在本地访问keyCloak,并且它配置了数据库(例如Postgres),则执行以下SQL语句。
update REALM set ssl_required = 'NONE' where id = 'master';
有必要重新启动KeyClope
-
我们有一个角度水疗中心,是由OIDC授权使用隐式流。我们使用Keycloak作为我们的授权服务器。访问令牌的寿命很短,并且通过隐藏的iframe定期刷新。 在了解到授权代码流PKCE是授权SPA的新推荐方式后,我们决定切换流。一切正常,但每次我们调用令牌endpoint时,KeyCloak确实会给我们一个刷新令牌(以及Access和ID-Token)。由于没有安全的方法来存储刷新令牌,我们想继续使
-
我试图使用Keycloak的openId-connectendpoint来获取关于用户角色的信息。我使用/auth/realms/moje/protocol/OpenID-connect/userinfoendpoint来获取关于已验证用户的信息。我可以获得姓名、用户名、电子邮件等信息。但是我不能强迫Keyclak给我关于用户角色的信息。 我已经阅读了openID文档,我没有找到任何关于必须获取角
-
谁知道如何使用获取id_令牌? 我一直在(Spring,JEE)和postman中与合作。 基本的工作正常,但我需要,因为有一些声明,它们不存在于中,但它们存在于中。 使用库,我可以获得Keycloak上下文,但id_token属性始终为null。 有什么主意吗?
-
我有一个需要联合到IDP的需求。我过去从未遇到过问题,在这种情况下,我遇到了问题,因为第三方/外部IDP启用并实施了PKCE。 有没有办法联合到启用了PKCE的IDP。基本上换句话说,我应该能够转发/发送code_challenge和code_challenge_method给外部 IDP。我可以在我的 IDP 上启用 PKCE,而不会出现任何问题,并在需要时将相同的标头转发给外部 IDP,但我看
-
我正在尝试编写一个定制的KeyClope验证器,该验证器可以从某个请求中检索用户凭据,并动态提交这些凭据进行身份验证,而最终用户不必手动将它们输入某个登录表单。 以这个问题为起点,我在KeyCloak中创建了自己的自定义身份验证SPI。我还根据需要配置了KeyCloak身份验证流。 自定义验证器 自定义验证器工厂 下面是我的自定义登录表单,它基于这里的KeyClope“secret questio
-
我的问题在这一点上更理论化。 我有一个用例,我必须将我的应用程序(App 1)与Keycloak集成,并将Keycloak与外部身份提供者集成。在这种情况下,奇克洛只是一个经纪人。该外部IDP上还注册了其他应用程序。 场景1:用户既没有登录App 1,也没有登录IDP 当用户尝试访问App 1时,它最终被重定向到外部IDP登录表单并发布身份验证,它将被重定向回应用程序。这是一个简单的流程。 场景2