美文网首页互联网科技程序员
Keycloak单点登录

Keycloak单点登录

作者: 彭金虎 | 来源:发表于2018-03-08 01:10 被阅读3398次

    目录

    • Github
    • Keycloak介绍
    • Keycloak配置
    • Spring Security集成Keycloak
    • 启动Keycloak客户端
    • SSO授权码模式访问过程
    • 总结

    在企业众多的应用系统中,如果每个应用都有独立的用户认证和权限管理,这不仅需要维护多套用户管理系统,用户使用每个系统也非常的不便。如果能够将所有应用系统的用户集中管理,用户使用一套用户名登录所有系统,将会大大改善用户体验。下面将基于Keycloak搭建单点登录系统。

    GitHub

    Keycloak介绍

    Keycloak是为现代应用和服务提供了开源IAM(Identity and Access Management)解决方案。下面简单的介绍几种功能:

    • SSO
      通过Keycloak处理用户认证,意味着你的应用不需要处理登录界面,认证用户,存储用户信息。一旦登录Keycloak, 用户不需要再次登录Keycloak管理下的其它应用。实现一次登录,多处登录不同应用,一处登出,所有应用登出。

    • Identity Brokering and Social Login
      Keycloak通过配置,可实现对不同身份认证服务的集成,通过这些身份认证服务登录应用。


    • User Federation
      在企业系统中有使用LDAP/AD管理用户,同样,Keycloak 提供了对LDAP/AD的集成方案,可以方便的同步用户。


    • Client Adapters
      Keycloak提供了不同平台多种语言的支持,支持标准的OpenID Connect, OAuth 2.0, and SAML等。

    • 后台管理
      Keycloak不仅提供了后台管理界面,同时还有CLI,和RESTFul API方式管理后台。


    • 集群方案

    Keycloak Setup

    • 创建Client: login-app, login-backup


    • 创建client Roles


    • 创建用户, 并分配角色



      如果需要获取所有用户信息,配置realm-management


    • 启动Keycloak standalone 模式,端口号为8180 
      ./standalone.sh -Djboss.socket.binding.port-offset=100
      如果需要配置连接postgresql,请参考Github

    Spring Security集成Keycloak

    • 配置application.properties 
      keycloak.realm=demo
keycloak.resource=login-app
keycloak.auth-server-url=http://localhost:8180/auth
keycloak.ssl-required=external
keycloak.public-client=true
keycloak.use-resource-role-mappings=true
keycloak.confidential-port=0
keycloak.principal-attribute=preferred_username
      其中keycloak.resource根据不同的client配置不同的变量,内容请参考Keycloak client installation,如下图

    启动Keycloak客户端

    • 启动client: login-app, login-backup,端口号分别为8081,8082,在keycloak client 配置页面 ‘Valid Redirect URIs’ 填写相应的端口号 
      java -Dserver.port=8081 -jar login-app.jar
java -Dserver.port=8082 -jar login-backup.jar

    SSO授权码模式访问过程

    • 访问login-app,图中http://rp.example.com,当浏览器登录Keycloak(OP)后,会在浏览器保存KEYCLOAK_SESSION
    • 当访问login-backup时,图中http://rp-2.example.com,浏览器将KEYCLOAK_SESSION一起请求Keycloak(OP), Keycloak(OP)根据KEYCLOAK_SESSION判断用户已登录,直接授权,不需要用户再次输入用户名和密码。

    • 登录login-app页面跳转,包的抓取


    总结

    • keycloak有对应的单点登出,通过postman请求测试
    • 集成LDAP,测试可进行连接,用户属性Map,并可选择用户数据同步方式
    • 使用keycloak docker时偶尔不能获取client role, 没有解决
    • 使用keycloak docker时不能获取用户列表, 没有解决,即使配置了相应的获取权限
    • keycloak session没有持久化的postgresql数据库中,没有解决

    相关文章

      网友评论

        本文标题:Keycloak单点登录

        本文链接:https://www.haomeiwen.com/subject/pzfefftx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        互联网科技

        程序员

        关于我们|服务条款|联系我们|Keycloak单点登录|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!