如何深度总结keycloak认证与校验的原理和应用？

主要内容 密码认证 授权码认证 哪个client申请的code，使用哪个client获取token 客户端认证 在kc开通了服务端帐号之后，可通过client_id和client_secret来获取token，与用户无关，无刷新token机制 自动触发社区认证 当用户在社区网站上登录后，访问这个地址可自动登录网站 验证token是否在线 可使用任意client来验证所有token的在线性 refresh_token刷新token 哪个client生成的token，就用哪个client去刷新 登出/注销 官方post方式和浏览器302方式 密码认证 POST /auth/realms/your-realm/protocol/openid-connect/token 请求体 x-www-form-urlencoded grant_type:password username:test password:123456 client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01 client_id:democlient 响应 { "access_token": "*.*.*", "expires_in": 3000, "refresh_expires_in": 1800, "refresh_token": "*.*.*", "token_type": "bearer", "not-before-policy": 1619512543, "session_state": "765969ec-94da-4edb-9dcb-e15ea3e0ad3b", "scope": "roles email profile" } 授权码认证 注意的几点 code时的redirect_uri和authorization_code的需要是一致的，不一致的错误 { "error": "invalid_grant", "error_description": "redirect_uri error" } code时的client_id和client_secret和authorization_code的需要是一致的，不一致的错误，这块我已经修改了源码，去掉了这个限制 { "error": "invalid_grant", "error_description": "Auth error" } code的组成 它由3部分组成，中间使用.分割，第一部分是UUID，第二部分是用户会话ID【session_state】，第三部分是客户端ID，例如： 5c33f9a2-cbf4-4804-a8ee-e2d076eda2d6.40be5301-f41b-4f0d-97e7-d2074db2801c.ff591897-7654-460e-9c19-8e8f92117768 请求code GET /auth/realms/your-realm/protocol/openid-connect/auth QUERY client_id:democlient scope:openid response_type:code client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01 redirect_uri:http://localhost:9090/callback 跳转到kc的登录页，完成用户名和密码的登录 登录成功之后，跳回callback删除，在url参数上带上了code 请求token POST /auth/realms/your-realm/protocol/openid-connect/token 请求体 x-www-form-urlencoded grant_type:authorization_code code:68058719-add6-4b40-ab96-8e71af03827a.7a31b1a9-c3e8-46d4-b8cc-345012fcf4a2.25e52f60-5991-43dd-9108-873f60af385d client_id:democlient client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01 scope:openid redirect_uri:http://localhost:9090/callback 响应 { "access_token": "*.*.*", "expires_in": 3000, "refresh_expires_in": 1800, "refresh_token": "*.*.*", "token_type": "bearer", "id_token": "*.*.*", "not-before-policy": 1619660302, "session_state": "14812f50-b9f7-4cee-be56-bf9bef5c961a", "scope": "openid roles email profile" } 客户端认证 客户端认证，与用户无关，主要保证向keycloak发起的请求，来自合法的client即可(由keycloak颁发的client) POST /auth/realms/your-realm/protocol/openid-connect/token 请求 x-www-form-urlencoded 参数 grant_type:client_credentials client_secret:912ecc47-60b1-4dd4-8f62-c7745c293cab client_id:kce 注意，需要在keycloak客户端配置开启服务账号 如果没有开启服务账号，将出现下面异常 { "error": "unauthorized_client", "error_description": "Client not enabled to retrieve service account" } 自动触发社区认证 carsi中出现的东西，院校希望直接通过固定的uri实现社区登录，故开发这个功能 地址：GET https://kc.democlient.com/auth/realms/your-realm/protocol/openid-connect/auth?scope=openid&response_type=code&client_id=carsi-auto&redirect_uri=https://www.baidu.com 首先，需要在配置Authentication Flows中的brower中的社区登录的有限级最高，我们可以复制一个brower认证流，在新流上修改,用户密码认证步骤关闭，也可以删除 这个里的重定向认证使用的认证流是carsi 其次，需要新添加客户端，专门用来发送社区自动认证请求的，如carsi-auto，或者配置客户端的自定义认证方式 最后，测试一下，你可以看到，通过这个地址，可以唤起社区登录，最后回调到我们OIDC认证上来 验证token是否在线 是否触发了keycloak的logout接口，如果触发了，那token将被删除，在线状态active为false，如果不希望提供client_secret参数，也可以通过/auth/realms/your-realm/protocol/openid-connect/userinfo接口来判断token是否有效，httpcode为401表示token失效. 使用场景：a客户端在kc申请的token，可以在b客户端调用kc的接口去校验它的合法性 POST /auth/realms/your-realm/protocol/openid-connect/token/introspect 请求体 x-www-form-urlencoded token:*.*.* client_id:democlient client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01 响应，状态码都是200，如果json体中active为false，表示已经离线 { "active": false } refresh_token刷新token 注意，刷新token与客户端有关，自己客户端生产的access_token，只能由自己客户端去refresh_token刷新 POST /auth/realms/your-realm/protocol/openid-connect/token grant_type:refresh_token refresh_token:*.*.* client_id:democlient client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01 响应 新的token对象 { "access_token": "*.*.*", "expires_in": 3000, "refresh_expires_in": 1800, "refresh_token": "*.*.*", "token_type": "bearer", "not-before-policy": 1621497420, "session_state": "405d25b0-5128-45ae-9934-953eecb79894", "scope": "roles profile" } 登出/注销 KC的登出是属于会话的登出，通过这个会话产生的所有token（一个会话可能对应多个不同client的token）都将会退出 一般地，如果是前后不分享项目，应该还会清除自己网站的session会话，然后再去调用KC的接口 POST /auth/realms/your-realm/protocol/openid-connect/logout 请求体 x-www-form-urlencoded refresh_token:*.*.* client_id:democlient client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01 响应 HttpCode为200或者204表示操作成功 浏览器端可通过这个接口来实现302浏览器跳转方式的登出 GET /auth/realms/your-realm/sms/remove-sessions?redirect_uri={redirect_uri} 登出后，KC会跳转到redirectUri的页面