Keycloak 钥匙斗篷守门人不';不要阻止任何请求
我正在尝试在个人api:Keycloak 钥匙斗篷守门人不';不要阻止任何请求,keycloak,keycloak-gatekeeper,louketo-proxy,Keycloak,Keycloak Gatekeeper,Louketo Proxy,我正在尝试在个人api:api.mydomain.com中使用keydove+keydove网关守卫进行授权。到目前为止,我已经做了: 在keydeave中创建了一个realmMY-realm,keydeave的URL为 在同一领域中创建了一个机密客户端,在上启用了授权和有效重定向URI:* 创建了一个用户 我的服务器内部指向127.0.0.1:5000 127.0.0.1:5001是“真正的API” 使用此config.yaml配置了KeyClope网关守护程序: 任何想法都将受到高度赞赏。守
api.mydomain.com
中使用keydove+keydove网关守卫进行授权。到目前为止,我已经做了:
MY-realm
,keydeave的URL为机密客户端
,在上启用了授权
和有效重定向URI
:*任何想法都将受到高度赞赏。守门人不使用
keydove->Clients->->->Authorization->Resources
它有自己的资源配置,例如:
resources:
- uri: /admin/*
methods:
- GET
roles:
- openvpn:vpn-user
- openvpn:commons-prod-vpn
Doc:如果您知道另一个免费的OpenidConnect/身份和访问管理/授权服务器(或具有相同用途的系统组合)你可以推荐这也太酷了。这里要求在Gatekeeper中强制执行keydepate授权:天哪,我已经浪费了好几天的时间认为我配置错了什么。。。所以你知道如果我的api不是用java编写的,并且我的语言没有
客户机适配器,我该如何使用keydape授权服务吗?。。。我完蛋了?难道没有办法让它尊重KeyClope本身的角色限制,而不必在清单中再次指定它吗?@Christian你可以使用louketo代理,这是一个在前端/后端前面的代理,你可以在这个答案上应用配置。由于JWT包含seld,louketo代理本身可以授权其背后的应用程序,而无需连接到Keyclope服务器。@bcklouketo代理
=Gatekeeper
(即以前的名称)。louketo代理需要连接到KeyClope服务器-它正在使用OIDC发现URL,以获取有关IDP的更多详细信息(例如身份验证URL、领域密钥等)
{"level":"debug","ts":1554936731.4022436,"caller":"keycloak-gatekeeper/middleware.go:337","msg":"access permitted to resource","access":"permitted","email":"testmail@mail.com","expires":201.59779997,"resource":"/*"}
resources:
- uri: /admin/*
methods:
- GET
roles:
- openvpn:vpn-user
- openvpn:commons-prod-vpn