Keycloak Client没有使用Access Type Public

时间:2018-02-28 13:36:25

标签: spring rest keycloak

我正在使用Keycloak 3.4.3并保护基于Spring的Rest服务。

以下是Keycloak客户端配置:

Client Protocol: openid-connect<br>
Access Type: public<br>
Standard Flow Enabled: ON<br>
Implicit Flow<br>
Direct Access Grants Enabled: ON<br>
Authorization Enabled: OFF<br>

将访问类型提供为公共密钥是否很重要。如果是,我怎么能提供秘密,因为我在Keycloak客户端配置中找不到任何选项。请帮忙。

  

2018-02-28 15:19:10.216 WARN 7813 --- [nio-8080-exec-2]   a.a.ClientIdAndSecretCredentialsProvider:客户'democlientid'   没有秘密可用2018-02-28 15:19:10.375 ERROR 7813 ---   [nio-8080-exec-2] o.k.adapters.OAuthRequestAuthenticator:未能   将代码转换为令牌

     

java.net.ConnectException:拒绝连接(拒绝连接)           at java.base / java.net.PlainSocketImpl.socketConnect(Native Method)〜[na:na]           at java.base / java.net.AbstractPlainSocketImpl.doConnect(AbstractPlainSocketImpl.java:400)   〜[NA:NA]           at java.base / java.net.AbstractPlainSocketImpl.connectToAddress(AbstractPlainSocketImpl.java:243)   〜[NA:NA]           在java.base / java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:225)   〜[NA:NA]           在java.base / java.net.SocksSocketImpl.connect(SocksSocketImpl.java:402)   〜[NA:NA]           在java.base / java.net.Socket.connect(Socket.java:591)〜[na:na]           在org.apache.http.conn.scheme.PlainSocketFactory.connectSocket(PlainSocketFactory.java:121)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           在org.apache.http.impl.conn.AbstractPoolEntry.open(AbstractPoolEntry.java:144)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           在org.apache.http.impl.conn.AbstractPooledConnAdapter.open(AbstractPooledConnAdapter.java:134)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:610)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:445)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           在org.apache.http.impl.client.AbstractHttpClient.doExecute(AbstractHttpClient.java:835)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           在org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           在org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           在org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:56)   〜[!HttpClient的-4.5.5.jar / 4.5.5]           at org.keycloak.adapters.ServerRequest.invokeAccessCodeToToken(ServerRequest.java:111)   〜[!keycloak适配器核-3.4.3.Final.jar /:3.4.3.Final]           at org.keycloak.adapters.OAuthRequestAuthenticator.resolveCode(OAuthRequestAuthenticator.java:336)   〜[!keycloak适配器核-3.4.3.Final.jar /:3.4.3.Final]           at org.keycloak.adapters.OAuthRequestAuthenticator.authenticate(OAuthRequestAuthenticator.java:281)   〜[!keycloak适配器核-3.4.3.Final.jar /:3.4.3.Final]           在org.keycloak.adapters.RequestAuthenticator.authenticate(RequestAuthenticator.java:139)   〜[!keycloak适配器核-3.4.3.Final.jar /:3.4.3.Final]           at org.keycloak.adapters.tomcat.AbstractKeycloakAuthenticatorValve.authenticateInternal(AbstractKeycloakAuthenticatorValve.java:203)   〜[!弹簧引导容器束-3.4.3.Final.jar /:3.4.3.Final]           在org.keycloak.adapters.tomcat.KeycloakAuthenticatorValve.authenticate(KeycloakAuthenticatorValve.java:50)   [弹簧引导容器束-3.4.3.Final.jar /:3.4.3.Final]           在org.keycloak.adapters.tomcat.KeycloakAuthenticatorValve.doAuthenticate(KeycloakAuthenticatorValve.java:57)   [弹簧引导容器束-3.4.3.Final.jar /:3.4.3.Final]           在org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:586)   [Tomcat的嵌入核心-8.5.27.jar /:27年5月8日]           at org.keycloak.adapters.tomcat.AbstractKeycloakAuthenticatorValve.invoke(AbstractKeycloakAuthenticatorValve.java:181)   〜[!弹簧引导容器束-3.4.3.Final.jar /:3.4.3.Final]           在org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:140)   [Tomcat的嵌入芯-8.5.27.jar /:27年5月8日]

3 个答案:

答案 0 :(得分:0)

您遇到配置错误;服务器地址不对。

答案 1 :(得分:0)

如果您要检查admin-cli域下的客户端master,您将很容易理解默认情况下为此客户端提及access-type=public的原因。 仅供参考,请查看官方文件中的以下详细信息

访问类型

这定义了OIDC客户端的类型。

  1. 机密访问类型适用于需要执行浏览器登录并在将访问代码转换为访问令牌时需要客户端密钥的服务器端客户端(请参阅OAuth 2.0规范中的访问令牌请求以获取更多信息)细节)。此类型应用于服务器端应用程序。 公共

  2. 公共访问类型适用于需要执行浏览器登录的客户端客户端。使用客户端应用程序无法保密。相反,通过为客户端配置正确的重定向URI来限制访问非常重要。

  3. 仅承载访问类型意味着应用程序仅允许承载令牌请求。如果启用此选项,则此应用程序无法参与浏览器登录。

  4. 因此,您的客户端具有公共访问类型,因此它意味着您要为客户端站点应用程序进行登录,因此对于公共访问类型的keyclock不会提供密钥。

    除了你的问题,另外一个优点是,用户也可以从命令提示符使用keyclock。你可以像这样登录

    /opt/keycloak/bin/kcadm.sh config credentials --server https://<IP ADDRESS>:8666/auth --realm master --user admin --password admin --client admin-cli
    

    您可以执行管理员任务,如

    1. 创建新领域。
    2. 在新领域创建客户
    3. 创建用户/组等。

答案 2 :(得分:0)

如果其他人发现这个问题 - 答案似乎是公共访问类型仅适用于使用 Keycloak 用户界面的浏览器登录。例如,您不能将 Spring UI 与 Keycloak 插件一起使用 - 它们必须使用机密访问类型(在这种情况下,您会在管理 UI 的“客户端”部分获得一个“凭据”选项卡,提供机密信息)。

查看 https://www.keycloak.org/docs/4.8/server_admin/#oidc-clients 并向下滚动到“访问类型”