Was sind Keycloaks OAuth2 / OpenID Connect-Endpunkte?

Wir versuchen zu bewerten, Keycloak als eine SSO-Lösung, und es sieht gut aus in vielerlei Hinsicht, aber die Dokumentation ist schmerzlich fehlt in den Grundlagen.

Für einen bestimmten Keycloak installation auf http://localhost:8080/ für Reich test, was sind die OAuth2 Genehmigung Endpunkt, OAuth2-Token-Endpunkt und OpenID Connect UserInfo Endpunkt ?

Wir sind nicht daran interessiert, mit Keycloak eigene client-Bibliothek, die wir verwenden wollen standard OAuth2 /OpenID Connect-client-Bibliotheken, wie die client-Anwendungen mit der keycloak server geschrieben werden in einer Vielzahl von Sprachen (PHP, Ruby, Node, Java, C#, Eckig). Deshalb die Beispiele mit Keycloak client sind nicht von nutzen für uns.

Kommentar zu dem Problem
Was habt Ihr stattdessen ? Kommentarautor: Ced
Wir waren schließlich in der Lage zu überzeugen, im Obergeschoss, OAuth hat nichts zu tun mit login-und Sicherheits-Technik in der Anwendung selbst, und ist nur relevant für die Integration mit 3rd parties. Es war schwierig zu erklären ist die Tatsache, dass Google & FB-verwenden Sie es überall keine Bedeutung für uns. Kommentarautor: Amir Abiri
@AmirAbiri würde nicht sagen, es ist für 3rd-party-integration nur. Das ist seine hauptsächliche Verwendung heutzutage, aber, wird ein Protokoll, dass mehr und mehr internet-Unternehmen zu unterstützen, könnte Sinn machen, auch wenn man sich mit mehreren Anwendungen (oder microservices) in Ihrem eigenen enterprise-Umgebung, und Sie wollen eine SSO-Lösung. Eigentlich in meinem Fall, da keycloak für mehr als 10 Monate jetzt, ich denke, es könnte auch verdienen, für einfache Anwendungen, wie Sie kümmert sich um alle Benutzer-management-Zeug. Kommentarautor: Xtreme Biker

InformationsquelleAutor der Frage Amir Abiri | 2015-02-22

  1. 46

    Für Keycloak 1.2 die oben genannten Informationen können abgerufen werden über die url

    http://keycloakhost:keycloakport/auth/realms/{realm}/.bekannte/openid-Konfiguration

    Zum Beispiel, wenn der realm-demo,

    http://keycloakhost:keycloakport/auth/realms/demo/.well-known/openid-configuration

    Ein Beispiel für die Ausgabe von der obigen url

    {"issuer":"http://localhost:8080/auth/realms/demo","authorization_endpoint":"http://localhost:8080/auth/realms/demo/protocol/openid-connect/auth","token_endpoint":"http://localhost:8080/auth/realms/demo/protocol/openid-connect/token","userinfo_endpoint":"http://localhost:8080/auth/realms/demo/protocol/openid-connect/userinfo","end_session_endpoint":"http://localhost:8080/auth/realms/demo/protocol/openid-connect/logout","jwks_uri":"http://localhost:8080/auth/realms/demo/protocol/openid-connect/certs","grant_types_supported":["authorization_code","refresh_token","password"],"response_types_supported":["code"],"subject_types_supported":["public"],"id_token_signing_alg_values_supported":["RS256"],"response_modes_supported":["query"]}

    Informationen gefunden bei https://issues.jboss.org/browse/KEYCLOAK-571

    Hinweis: möglicherweise müssen Sie Ihre Clients auf die Gültige Redirect-URI-Liste

    InformationsquelleAutor der Antwort Can't Tell

  2. 11

    Mit version 1.9.3.Finale, Keycloak hat eine Reihe von OpenID Endpunkte verfügbar. Diese finden Sie unter /auth/realms/{realm}/.well-known/openid-configuration. Vorausgesetzt, Ihr Reich ist benannt demo, wird dieser Endpunkt wird produzieren eine JSON-Antwort, ähnlich wie diese.

    {
  "issuer": "http://localhost:8080/auth/realms/demo",
  "authorization_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/auth",
  "token_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/token",
  "token_introspection_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/token/introspect",
  "userinfo_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/userinfo",
  "end_session_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/logout",
  "jwks_uri": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/certs",
  "grant_types_supported": [
    "authorization_code",
    "implicit",
    "refresh_token",
    "password",
    "client_credentials"
  ],
  "response_types_supported": [
    "code",
    "none",
    "id_token",
    "token",
    "id_token token",
    "code id_token",
    "code token",
    "code id_token token"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "response_modes_supported": [
    "query",
    "fragment",
    "form_post"
  ],
  "registration_endpoint": "http://localhost:8080/auth/realms/demo/clients-registrations/openid-connect"
}

    Soweit ich gefunden habe, diese Endpunkte Umsetzung der Oauth 2.0 spec.

    InformationsquelleAutor der Antwort lanceball

  3. 10

    Nach viel Graben um, wir waren in der Lage zu kratzen an den info-mehr oder weniger (vor allem aus Keycloak eigenen JS-client-lib):

    • Authorization-Endpunkt: /auth/realms/{realm}/tokens/login
    • Token Endpoint: /auth/realms/{realm}/tokens/access/codes

    Als für OpenID Connect UserInfo, jetzt (1.1.0.Final) Keycloak nicht umsetzen dieser Endpunkt ist, so ist es nicht voll OpenID Connect kompatibel. Es gibt jedoch bereits eine patch , fügt hinzu, dass dieses schreiben sollte enthalten sein in 1.2.x.

    Aber - Ironischerweise Keycloak sendet wieder ein id_token zusammen mit dem access-token. Sowohl die id_token und die access_token sind unterzeichnet JWTs, und die Schlüssel des Tokens sind, OpenID Connect-Tasten, ich.e:

    "iss":  "{realm}"
"sub":  "5bf30443-0cf7-4d31-b204-efd11a432659"
"name": "Amir Abiri"
"email: "..."

    So, während Keycloak 1.1.x ist nicht voll OpenID Connect-kompatibel, es bedeutet "sprechen" in OpenID Connect Sprache.

    InformationsquelleAutor der Antwort Amir Abiri

  4. 5

    In der version 1.9.0 json mit allen Endpunkten ist unter der Adresse /auth/realms/{realm}

    • Authorization-Endpunkt: /auth/realms/{realm}/Konto
    • Token Endpoint: /auth/realms/{realm}/Protokoll/openid-connect

    InformationsquelleAutor der Antwort Krzysztof Pobozan

  5. 1

    FQDN/auth/realms/{realm_name}/.bekannte/openid-Konfiguration

    sehen Sie alles hier, plus, wenn der identity provider ist auch Keycloak dann füttern diese URL werden alle Einstellungen auch bei anderen identity-Provider, wenn Sie Unterstützung und Sie bereits behandelt, es

    InformationsquelleAutor der Antwort Haseb Ansari

Schreibe einen Kommentar