在 keyclok-Angular 中设置客户端机密

时间:2021-03-16 13:52:53

标签: javascript keycloak keycloak-services keycloak-connect

我无法在 keyClock 的配置对象中设置客户端机密

function initializeKeycloak(keycloak: KeycloakService) {
  return () =>
    keycloak.init({
      config: {
        url: 'http://localhost:8080/auth',
        realm: 'your-realm',
        clientId: 'your-client-id',
        client-secret: 'xxxxxxxxxxx'    <-- problem
      },
      initOptions: {
        onLoad: 'check-sso',
        silentCheckSsoRedirectUri:
          window.location.origin + '/assets/silent-check-sso.html',
      },
    });
}

我们可以在哪里设置 clicnt-secret? 请帮我解决 谢谢

1 个答案:

答案 0 :(得分:2)

当最终用户可能查看和修改代码时,客户端应用程序被视为公共应用程序。这包括单页应用程序 (SPA) 或任何移动或本机应用程序。在这两种情况下,应用程序都无法对恶意用户保密。 所以你的 Angular 代码是公开的,它不能保守任何秘密。不要在那里保存任何机密,而是使用公共 OIDC 客户端和为此指定的 Authorization Code Flow with PKCE

请阅读使用过的库的文档以了解更多详细信息。只是想法(不是完整的工作复制和粘贴代码!):

function initializeKeycloak(keycloak: KeycloakService) {
  return () =>
    keycloak.init({
      config: {
        url: 'http://localhost:8080/auth',
        realm: 'your-realm',
        clientId: 'your-client-id'
      },
      initOptions: {
        checkLoginIframe: false, 
        pkceMethod: 'S256'
        onLoad: 'login-required'
      },
    });
}
相关问题
最新问题