内容大纲
- keycloak关于会话有效期的配置
- refresh_token作用
- 使用方法
- refresh_token规范
- keycloak开启refresh_token的限制
- refresh_token时的错误汇总
- keycloak中refresh_token的底层逻辑
一 keycloak关于会话有效期的配置
1. 配置 Access Token Lifespan
- 作用: 控制access_token的有效期。
- 配置值: 5分钟
- 操纵:
- 进入Keycloak管理控制台。
- 选择你的Realm。
- 进入Realm Settings > Tokens。
- 将Access Token Lifespan设置为5分钟。
2. 配置 Refresh Token Lifespan
- 作用: 控制refresh_token的有效期。refresh_token用于在access_token过期后获取新的access_token。
- 配置值: 7天
- 操纵:
- 进入Realm Settings > Tokens。
- 将Refresh Token Lifespan设置为7天(604800秒)。
3. 配置 SSO Session Idle
- 作用: 控制用户会话的空闲时间。如果用户在7天内没有任何操纵,会话将过期,用户必要重新登录。
- 配置值: 7天
- 操纵:
- 进入Realm Settings > Tokens。
- 将SSO Session Idle设置为7天(604800秒)。
4. 配置 SSO Session Max
- 作用: 控制用户会话的最大连续时间。设置为一个非常大的值(如1年),以确保用户在7天内操纵过就可以保持登录状态。
- 配置值: 1年(31536000秒)
- 操纵:
- 进入Realm Settings > Tokens。
- 将SSO Session Max设置为31536000秒(1年)。
5. 配置 Client Session Idle 和 Client Session Max
- 作用: 控制客户端会话的空闲时间和最大连续时间。发起与SSO会话配置保持一致。
- 配置值:
- Client Session Idle: 7天(604800秒)
- Client Session Max: 1年(31536000秒)
- 操纵:
- 进入Realm Settings > Tokens。
- 将Client Session Idle设置为604800秒。
- 将Client Session Max设置为31536000秒。
6. 配置 Offline Session Idle 和 Offline Session Max
- 作用: 控制离线会话的空闲时间和最大连续时间。如果你不必要离线会话功能,可以忽略此配置。
- 配置值:
- Offline Session Idle: 7天(604800秒)
- Offline Session Max: 1年(31536000秒)
- 操纵:
- 进入Realm Settings > Tokens。
- 将Offline Session Idle设置为604800秒。
- 将Offline Session Max设置为31536000秒。
7. 配置 Remember Me 功能(可选)
- 作用: 如果希望用户在关闭浏览器后仍能保持登录状态,可以启用“记着我”功能。
- 配置值:
- SSO Session Idle Remember Me: 7天(604800秒)
- SSO Session Max Remember Me: 1年(31536000秒)
- 操纵:
- 进入Realm Settings > Tokens。
- 将SSO Session Idle Remember Me设置为604800秒。
- 将SSO Session Max Remember Me设置为31536000秒。
二 refresh_token作用
refresh_token是用来刷新access_token的,当access_token过期后,可以通过refresh_token来获取新的access_token,而不必要重新登录。
三 使用方法
- curl --location --request POST 'https://{keycloak}/auth/realms/{realm}/protocol/openid-connect/token' \
- --header 'Content-Type: application/x-www-form-urlencoded' \
- --data-urlencode 'grant_type=refresh_token' \
- --data-urlencode 'refresh_token={refresh_token}' \
- --data-urlencode 'client_id={client_id}' \
- --data-urlencode 'client_secret={client_secret}'
- 每个refresh_token只能使用一次,不可重复使用,KC这边也会进行回收它
- 通过refresh_token获取新的token时,返回值里会带有新的refresh_token,我们应该使用新的refresh_token来覆盖上一次的refresh_token
- refresh_token有效期取决于keycloaktokenssso session idle的值,即会话空闲时间,如果refresh_token在这个时间内没有使用,那么它会失效
- refresh_token失效后,当前会话session_state也即失效,此时,必要重新登录
注意:sso session max表示会话最大有效期,在这个时间范围内,用户不必要重新登录,sso session idle表示空间时间,在这个时间内用户不进行操纵,也示为退出,用户必要重新登录,这两个值必须大于0;单位为分,小时,天,不支持永世有效期。
五 keycloak开启refresh_token的限制
六 refresh_token时的错误汇总
- 当refresh_token凌驾限制时,会返回invalid_grant错误,此时,必要重新登录
- 再次使用refresh_token,同样返回状态码400,但返回消息领会有变革
- 如果当前session已经失效,即会话达到了session max的时间,将返回下面错误
- 如果当前客户端与token客户端不一致,将返回下面错误
- 如果当前当前端开启了同意许可,将返回下面错误
七 keycloak中refresh_token的底层逻辑
- validateToken方法
- 通过session_state获取userSession对象,如果userSession对象为空,说明refresh_token已经失效,返回400 Session not active
- isSessionValid方法主要验证会话是否有效,主要判断以下几个部分
- 用户会话是否存在,user-session是否存在
- 获取session空闲时间和最大时间,它们的逻辑与是否开启记着我有关
- 会有两层时间的比力,来确定session是否有效
- 第一层,session空闲时间是否大于(当前时间-最后刷新token时间-容错窗口期(120秒))
- 第二层,session最大时间是否大于(当前时间-session开始时间)
- 上面两层同时满足,说明session是有效的
- 从userSession中获取当前用户对象
- 判断用户是否有效
- 如果用户被删除,返回400 Unknown user
- 如果用户状态为禁用,返回400 User disabled
- 如果用户必要一个须要的行为,返回400 User has required action
- 判断当前refresh_token的建立时间是否早于会话开始时间,正常环境下肯定是晚于会话时间,如果早于,返回400 Refresh toked issued before the user session started
- 判断当前userSession是否在当前client_id对应的clientSession里,如果没有,返回400 Session doesn't have required client
- 判断当前refresh_token里的azp是否与请求参数client_id相同,不同返回400 Unmatching clients
- 验证refresh_token是否被窜改
- 检查客户端是否有consent的授权许可同意,如果开启了,会返回400 Client no longer has requested consent from user
- 成功建立新的token对象,整个刷新token流程结束
- {
- "access_token": "",
- "expires_in": 120,
- "refresh_expires_in": 300,
- "refresh_token": "",
- "token_type": "Bearer",
- "id_token": "",
- "not-before-policy": 1740449130,
- "session_state": "424b8022-600d-421e-a45d-e0315d1a524d",
- "scope": "openid roles email profile"
- }
|
