keycloak无效参数:反向代理后面的redirect_uri

时间:2018-11-30 20:29:40

标签: nginx keycloak

您如何正确地将NGINX配置为Keycloak前面的代理?

以文档的形式提问和回答,因为我现在不得不重复做一次,过了一会儿就忘记了细节。

这专门处理Keycloak位于反向代理(例如反向代理)后面的情况。 Nginx和NGINX正在终止SSL并推向Keycloak。尽管它产生相同的错误消息,但与keycloak Invalid parameter: redirect_uri的问题不同。

2 个答案:

答案 0 :(得分:4)

关键在于文档位于 https://www.keycloak.org/docs/latest/server_installation/index.html#identifying-client-ip-addresses

必须设置proxy-address-forwarding以及各种X-...标头。

如果您使用的是https://hub.docker.com/r/jboss/keycloak/中的Docker映像,请设置环境。 arg -e PROXY_ADDRESS_FORWARDING=true

server {
  server_name api.domain.com;

  location /auth {
    proxy_set_header        Host $host;
    proxy_set_header        X-Real-IP $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto $scheme;

    proxy_pass          http://localhost:8080;
    proxy_read_timeout  90;

 }

  location / {
    proxy_set_header        Host $host;
    proxy_set_header        X-Real-IP $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto $scheme;

    proxy_pass          http://localhost:8081;
    proxy_read_timeout  90;
  }



    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/api.domain.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/api.domain.com/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}
server {
    if ($host = api.domain.com) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


  server_name api.domain.com;
    listen 80;
    return 404; # managed by Certbot
}

如果您正在使用另一个代理,则其中的重要部分是要设置的标头:

proxy_set_header        Host $host;
proxy_set_header        X-Real-IP $remote_addr;
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header        X-Forwarded-Proto $scheme;

Apache,ISTIO和其他人有自己的设置方式。

答案 1 :(得分:1)

以上答案涉及对代理完成的配置。

在什么方面考虑了keycloak容器,如果尝试登录管理控制台时遇到了redirect_uri错误,则必须为Keycloak(从10.0.2版开始)设置两个环境变量才能在反向代理。

如果管理控制台的网址为https://your.fqdn/auth,则必须设置:

KEYCLOAK_FRONTEND_URL = https://your.fqdn/auth

连同上述内容:

PROXY_ADDRESS_FORWARDING = true

下面是一个最小的 docker-compose.yml ,它将在反向代理后面启动密钥斗篷10,该代理将请求转发到https://your.fqdn到Docker主机的端口8000。只需设置变量{{ 1}}和KEYCLOAK_ADMIN_PWD在启动时根据您的意愿在环境(或.env文件)中。

PG_KC_PASS
相关问题
最新问题