Fatal编程技术网
  • keycloak/
  • Keycloak 钥匙斗篷守门人不';不要阻止任何请求

Keycloak 钥匙斗篷守门人不';不要阻止任何请求

keycloak

Keycloak 钥匙斗篷守门人不';不要阻止任何请求,keycloak,keycloak-gatekeeper,louketo-proxy,Keycloak,Keycloak Gatekeeper,Louketo Proxy,我正在尝试在个人api:api.mydomain.com中使用keydove+keydove网关守卫进行授权。到目前为止,我已经做了: 在keydeave中创建了一个realmMY-realm,keydeave的URL为 在同一领域中创建了一个机密客户端,在上启用了授权和有效重定向URI:* 创建了一个用户 我的服务器内部指向127.0.0.1:5000 127.0.0.1:5001是“真正的API” 使用此config.yaml配置了KeyClope网关守护程序: 任何想法都将受到高度赞赏。守

我正在尝试在个人api:
api.mydomain.com
中使用keydove+keydove网关守卫进行授权。到目前为止,我已经做了:

  • 在keydeave中创建了一个realm
    MY-realm
    ,keydeave的URL为
  • 在同一领域中创建了一个
    机密客户端
    ,在上启用了
    授权
    有效重定向URI
    :*
  • 创建了一个用户
  • 我的服务器内部指向127.0.0.1:5000
  • 127.0.0.1:5001是“真正的API”
  • 使用此config.yaml配置了KeyClope网关守护程序:
    • 任何想法都将受到高度赞赏。

    守门人不使用
    keydove->Clients->->->Authorization->Resources

    它有自己的资源配置,例如:

    resources:
- uri: /admin/*
  methods:
  - GET
  roles:
  - openvpn:vpn-user
  - openvpn:commons-prod-vpn
    Doc:

    如果您知道另一个免费的OpenidConnect/身份和访问管理/授权服务器(或具有相同用途的系统组合)你可以推荐这也太酷了。这里要求在Gatekeeper中强制执行keydepate授权:天哪,我已经浪费了好几天的时间认为我配置错了什么。。。所以你知道如果我的api不是用java编写的,并且我的语言没有
    客户机适配器
    ,我该如何使用keydape授权服务吗?。。。我完蛋了?难道没有办法让它尊重KeyClope本身的角色限制,而不必在清单中再次指定它吗?@Christian你可以使用louketo代理,这是一个在前端/后端前面的代理,你可以在这个答案上应用配置。由于JWT包含seld,louketo代理本身可以授权其背后的应用程序,而无需连接到Keyclope服务器。@bck
    louketo代理
    =
    Gatekeeper
    (即以前的名称)。louketo代理需要连接到KeyClope服务器-它正在使用OIDC发现URL,以获取有关IDP的更多详细信息(例如身份验证URL、领域密钥等)

    {"level":"debug","ts":1554936731.4022436,"caller":"keycloak-gatekeeper/middleware.go:337","msg":"access permitted to resource","access":"permitted","email":"testmail@mail.com","expires":201.59779997,"resource":"/*"}

    

    resources:
- uri: /admin/*
  methods:
  - GET
  roles:
  - openvpn:vpn-user
  - openvpn:commons-prod-vpn