keycloak~认证与校验使用说明

主要内容

• 密码认证
  
• 授权码认证 哪个client申请的code，使用哪个client获取token
  
• 客户端认证 在kc开通了服务端帐号之后，可通过client_id和client_secret来获取token，与用户无关，无刷新token机制
  
• 自动触发社区认证 当用户在社区网站上登录后，访问这个地址可自动登录法宝
  
• 验证token是否在线 可使用任意client来验证所有token的在线性
  
• refresh_token刷新token 哪个client生成的token，就用哪个client去刷新
  
• 登出/注销 官方post方式和欣赏器302方式
  

密码认证

• POST /auth/realms/your-realm/protocol/openid-connect/token
  
• 请求体 x-www-form-urlencoded
  

1. grant_type:password
2. username:test
3. password:123456
4. client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
5. client_id:democlient

复制代码

• 响应
  

1. {
2.     "access_token": "*.*.*",
3.     "expires_in": 3000,
4.     "refresh_expires_in": 1800,
5.     "refresh_token": "*.*.*",
6.     "token_type": "bearer",
7.     "not-before-policy": 1619512543,
8.     "session_state": "765969ec-94da-4edb-9dcb-e15ea3e0ad3b",
9.     "scope": "roles email profile"
10. }

复制代码

授权码认证

注意的几点

• code时的redirect_uri和authorization_code的需要是同等的，差别等的错误
  

1. {
2.     "error": "invalid_grant",
3.     "error_description": "redirect_uri error"
4. }

复制代码

• code时的client_id和client_secret和authorization_code的需要是同等的，差别等的错误，这块我已经修改了源码，去掉了这个限制
  {
  "error": "invalid_grant",
  "error_description": "Auth error"
  }
  
• code的构成
  它由3部分构成，中间使用.分割，第一部分是UUID，第二部分是用户会话ID【session_state】，第三部分是客户端ID，比方：
  

1. 5c33f9a2-cbf4-4804-a8ee-e2d076eda2d6.40be5301-f41b-4f0d-97e7-d2074db2801c.ff591897-7654-460e-9c19-8e8f92117768

复制代码

请求code

• GET /auth/realms/your-realm/protocol/openid-connect/auth
  
• QUERY
  

1. client_id:democlient
2. scope:openid
3. response_type:code
4. client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
5. redirect_uri:http://localhost:9090/callback

复制代码

• 跳转到kc的登录页，完成用户名和密码的登录
  

• 登录乐成之后，跳回callback删除，在url参数上带上了code
  

请求token

• POST /auth/realms/your-realm/protocol/openid-connect/token
  
• 请求体 x-www-form-urlencoded
  

1. grant_type:authorization_code
2. code:68058719-add6-4b40-ab96-8e71af03827a.7a31b1a9-c3e8-46d4-b8cc-345012fcf4a2.25e52f60-5991-43dd-9108-873f60af385d
3. client_id:democlient
4. client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01
5. scope:openid
6. redirect_uri:http://localhost:9090/callback

复制代码

• 响应
  

1. {
2.     "access_token": "*.*.*",
3.     "expires_in": 3000,
4.     "refresh_expires_in": 1800,
5.     "refresh_token": "*.*.*",
6.     "token_type": "bearer",
7.     "id_token": "*.*.*",
8.     "not-before-policy": 1619660302,
9.     "session_state": "14812f50-b9f7-4cee-be56-bf9bef5c961a",
10.     "scope": "openid roles email profile"
11. }

复制代码

客户端认证

客户端认证，与用户无关，主要保证向keycloak发起的请求，来自合法的client即可(由keycloak颁发的client)

• POST /auth/realms/your-realm/protocol/openid-connect/token
  
• 请求 x-www-form-urlencoded
  
• 参数
  

1. grant_type:client_credentials
2. client_secret:912ecc47-60b1-4dd4-8f62-c7745c293cab
3. client_id:kce

复制代码

• 注意，需要在keycloak客户端设置开启服务账号
  

• 如果没有开启服务账号，将出现下面异常
  

1. {
2.     "error": "unauthorized_client",
3.     "error_description": "Client not enabled to retrieve service account"
4. }

复制代码

自动触发社区认证

carsi中出现的东西，院校希望直接通过固定的uri实现社区登录，故开发这个功能

• 地址：GET https://kc.democlient.com/auth/realms/your-realm/protocol/openid-connect/auth?scope=openid&response_type=code&client_id=carsi-auto&redirect_uri=https://www.baidu.com
  
• 首先，需要在设置Authentication Flows中的brower中的社区登录的有限级最高，我们可以复制一个brower认证流，在新流上修改,用户密码认证步调关闭，也可以删除
  

• 这个里的重定向认证使用的认证流是carsi
  

• 其次，需要新添加客户端，专门用来发送社区自动认证请求的，如carsi-auto，或者设置客户端的自定义认证方式
  

• 最后，测试一下，你可以看到，通过这个地址，可以唤起社区登录，最后回调到我们OIDC认证上来
  

验证token是否在线

是否触发了keycloak的logout接口，如果触发了，那token将被删除，在线状态active为false，如果不希望提供client_secret参数，也可以通过/auth/realms/your-realm/protocol/openid-connect/userinfo接口来判断token是否有效，httpcode为401表示token失效.

• 使用场景：a客户端在kc申请的token，可以在b客户端调用kc的接口去校验它的合法性
  
• POST /auth/realms/your-realm/protocol/openid-connect/token/introspect
  
• 请求体 x-www-form-urlencoded
  

1. token:*.*.*
2. client_id:democlient
3. client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01

复制代码

• 响应，状态码都是200，如果json体中active为false，表示已经离线
  

1. {
2.     "active": false
3. }

复制代码

refresh_token刷新token

注意，刷新token与客户端有关，自己客户端生产的access_token，只能由自己客户端去refresh_token刷新

• POST /auth/realms/your-realm/protocol/openid-connect/token
  

1. grant_type:refresh_tokenrefresh_token:*.*.*
2. client_id:democlient
3. client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01

复制代码

• 响应
  新的token对象
  

1. {
2.     "access_token": "*.*.*",
3.     "expires_in": 3000,
4.     "refresh_expires_in": 1800,
5.     "refresh_token": "*.*.*",
6.     "token_type": "bearer",
7.     "not-before-policy": 1621497420,
8.     "session_state": "405d25b0-5128-45ae-9934-953eecb79894",
9.     "scope": "roles profile"
10. }

复制代码

登出/注销

KC的登出是属于会话的登出，通过这个会话产生的所有token（一个会话大概对应多个差别client的token）都将会退出

一样平常地，如果是前后不分享项目，应该还会打扫自己网站的session会话，然后再去调用KC的接口

• POST /auth/realms/your-realm/protocol/openid-connect/logout
  
• 请求体 x-www-form-urlencoded
  

1. refresh_token:*.*.*
2. client_id:democlient
3. client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01

复制代码

• 响应
  

1. HttpCode为200或者204表示操作成功

复制代码

• 欣赏器端可通过这个接口来实现302欣赏器跳转方式的登出
  

1. GET /auth/realms/your-realm/sms/remove-sessions?redirect_uri={redirect_uri}
2. 登出后，KC会跳转到redirectUri的页面

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。