我们正在将Keycloak设置从6.0.1升级到11.0.0,并且似乎从Keycloak 10开始,如果scope参数无效,令牌生成会抱怨“无效范围”错误。
最初,我们将Keycloak 3与RBAC(分配给用户和角色)和完整范围的客户端(仅Direct Access Grants Enabled = true)一起使用,这在我们在范围内传递所需角色并用于获取访问权限时可以正常工作请求角色的令牌(在作用域中),后来我们将其更新为Keycloak 6,该令牌在此设置下也可以正常工作,但是将其更新为Keycloak 11会破坏它,因为我们不使用细粒度的作用域,因此将现有角色传递给作用域排序of破坏了它,但是,如果我不提供任何作用域,它就可以正常工作。
我的设置如下所示
角色:
用户:
用户角色映射
客户
生成的令牌
{
"exp": 1598869296,
"iat": 1598867496,
"jti": "b5cd4395-1ba2-471b-9e3f-86fa7c699d72",
"iss": "http://localhost:8480/auth/realms/EDP",
"aud": "account",
"sub": "2efa51cd-1afb-4f18-83c4-12e4017739b5",
"typ": "Bearer",
"azp": "service",
"session_state": "a4925385-b787-4ae7-a076-a4b92b5df87c",
"acr": "1",
"realm_access": {
"roles": [
"Rol1",
"offline_access",
"uma_authorization",
"Rol2"
]
},
"resource_access": {
"account": {
"roles": [
"manage-account",
"manage-account-links",
"view-profile"
]
}
},
"scope": "default roles",
"unique_name": "User1",
"preferred_username": "User1",
"tid": "Foo"
}