Keycloak KeyClope创建一个路径为“的额外身份验证会话ID cookie”/auth";登录时
当登录控制台时,KeyClope服务器发送一个路径值为“/AUTH”的额外身份验证会话ID cookie 我正在F5负载平衡器后面的Windows 2016服务器上运行Key隐身3.4.3最终独立HA配置 当此cookie出现在浏览器中,并且用户在未关闭浏览器的情况下登录/退出控制台时,它最终将导致KeyClope提示用户“登录时间太长。登录过程从一开始就开始”。在用户第二次登录后,浏览器偶尔会遇到错误“重定向太多”错误,无法打开控制台 KeyClope是否应该创建两个身份验证会话ID cookie,一个路径为“/AUTH”,另一个路径为我的领域(“/AUTH/realms/xxxx”)Keycloak KeyClope创建一个路径为“的额外身份验证会话ID cookie”/auth";登录时,keycloak,Keycloak,当登录控制台时,KeyClope服务器发送一个路径值为“/AUTH”的额外身份验证会话ID cookie 我正在F5负载平衡器后面的Windows 2016服务器上运行Key隐身3.4.3最终独立HA配置 当此cookie出现在浏览器中,并且用户在未关闭浏览器的情况下登录/退出控制台时,它最终将导致KeyClope提示用户“登录时间太长。登录过程从一开始就开始”。在用户第二次登录后,浏览器偶尔会遇到错误“重定向太多”错误,无法打开控制台 KeyClope是否应该创建两个身份验证会话ID cook
这些症状是如何相关的?答案是否定的,我们不应该得到两个身份验证会话ID cookies 感谢Martin Kanis和RedHat团队确定了发生这种情况的原因。如果您使用的是F5或其他负载平衡器,而不是mod_群集平衡器,则应不在配置中包括以下设置:
<session-cookie name="AUTH_SESSION_ID" http-only="true" />
他们将更新keydrope文档并明确这一点。主要问题是:keydrope是否应该为单个会话创建两个AUTH_SESSION_ID cookie?注意:当使用“通用持久性”时,额外的cookie会混淆F5负载平衡器“,它正在尝试根据AUTH_会话ID cookie选择要引导用户的节点,但希望每个用户的AUTH cookie是唯一的。更新:如果我们只运行一个节点,我们不会获得额外的AUTH_会话ID cookie,并且不会出现任何后续症状。Hi@Smallwood19,我在这里看到了与Keyclope 4.5.0完全相同的问题(多个身份验证会话ID cookie、混乱的负载平衡器、无休止的重定向)。你能详细说明一下你额外的身份验证会话ID cookie是从哪里来的,以及你是如何摆脱它的吗?RedHat团队没有向我详细说明错误发生的原因和方式。我假设额外的cookie是由keydove或JBoss系统创建的。我通过编辑配置(例如standalone-ha.xml、domain.xml)并删除上面显示的xml行()并重新启动keydape,从而摆脱了cookie。如果您需要进一步的澄清,请告诉我。谢谢您提供的信息!事实证明,在我们的例子中,额外的AUTH_SESSION_ID cookie是由负载平衡器创建的。它被配置为将该cookie用于会话粘性,并在原始请求没有cookie时创建它。keydove然后以相同的名称添加了自己的cookie,每个人都感到困惑。您好,我使用的是keydove 5.0.0,standalone-ha.xml和domain.xml中都没有