[[415759]]

在上一篇Keycloak系列文章中，我們把Keycloak同Spring Security成功適配，其中用了一個keycloak.json的配置。它包含了不少屬性，我覺得在深入學(xué)習(xí)Keycloak的過程中有必要和大家共同學(xué)習(xí)一下。

Keycloak適配器的常用屬性

在Spring Security集成Keycloak 適配器時需要引入一些額外的配置屬性。一般我們會把它配置到Spring Boot的配置文件中。

realm

Keycloak領(lǐng)域名稱，這是一個必須項(xiàng)。

resource

應(yīng)用的client_id，Keycloak服務(wù)器上注冊的每個客戶端都有一個獨(dú)一無二的標(biāo)識。這是一個必須項(xiàng)。

realm-public-key

PEM格式的realm公鑰，不建議客戶端配置。每次Keycloak Adapter會自動拉取它。

auth-server-url

Keycloak服務(wù)器的基本地址，格式通常是https://host:port/auth，這是一個必須項(xiàng)。

ssl-required

Keycloak 服務(wù)器的通信使用HTTPS的范圍，是可選的，有三個選項(xiàng)：

• external，默認(rèn)值，表示外部的請求都必須使用HTTPS。
• all，顧名思義，所有的都使用HTTPS。
• none, 禁用HTTPS。

confidential-port

Keycloak服務(wù)器的安全端口，默認(rèn) 8443。

use-resource-role-mappings

如果設(shè)置為true, Keycloak Adapter將檢查令牌攜帶的用戶角色是否跟資源一致;否則會去查詢realm中用戶的角色。默認(rèn)false。

public-client

設(shè)置為true則不需要為客戶端配置密碼，否則需要配置keycloak.credentials.secret。生成secret的方法是在Keycloak控制臺上修改對應(yīng)客戶端設(shè)置選項(xiàng)的訪問類型為confidential,然后在安裝中查看對應(yīng)配置項(xiàng)。當(dāng)訪問類型不是confidential時該值為false。

enable-cors

開啟跨域(cors)支持?？蛇x項(xiàng)，默認(rèn)false。如果設(shè)置為true就激活了cors-開頭的配置項(xiàng)，這些配置項(xiàng)都不啰嗦了，都是常見的跨域配置項(xiàng)。

bearer-only

對于服務(wù)，這應(yīng)該設(shè)置為true。如果啟用，適配器將不會嘗試對用戶進(jìn)行身份驗(yàn)證，而只會驗(yàn)證不記名令牌。如果用戶請求資源時沒有攜帶Bearer Token將會401。這是可選的。默認(rèn)值為false。

autodetect-bearer-only

如果你的應(yīng)用不僅僅是Web應(yīng)用而且還提供API服務(wù)(現(xiàn)在通常是Restful Service)，開啟了這一配置后Keycloak服務(wù)器會通過請求標(biāo)頭相對“智能”地引導(dǎo)未認(rèn)證的用戶到登錄頁面還是返回401狀態(tài)。比bearer-only更加智能一些。

enable-basic-auth

為適配器開啟Basic Authentication認(rèn)證，如果開啟就必須提供secret。默認(rèn)false。

expose-token

JavaScript CORS 請求通過根路徑下/k_query_bearer_token用來從服務(wù)器獲取令牌的，好像是nodejs相關(guān)的后端應(yīng)用使用的東西，我折騰了半天沒有調(diào)用成功。

credentials

當(dāng)客戶端的訪問類型(access type)為Confidential時，需要配置客戶端令牌，目前支持secret和jwt類型。參考public-client中的描述。

總結(jié)

上面列舉了大部分我們常用的屬性，后面的屬性和定制Keycloak服務(wù)器相關(guān)暫時不介紹了。Keycloak剩下的配置項(xiàng)可以到Keycloak Java適配器配置項(xiàng)[1]查看。下一篇我將對Keycloak Spring Security認(rèn)證授權(quán)的流程作出一個分析。

參考資料

[1]Keycloak Java適配器配置項(xiàng): https://www.keycloak.org/docs/latest/securing_apps/index.html#_java_adapter_config

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」，可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。