用户名密码登录

  • POST /auth/realms/demo/protocol/openid-connect/token
  • 请求体 x-www-form-urlencoded
grant_type:password

username:test

password:123456

client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01

client_id:democlient
  • 响应
{

    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJFXzZpaDM1eVRMSk1pZUkwdnFnOU1tVFFySjZSY1VTeGlYZU5kY01hb1lrIn0.eyJleHAiOjE2MTk2NjEyODgsImlhdCI6MTYxOTY1ODI4OCwianRpIjoiMjE4NTliMjEtNzE1Mi00NDIzLWI5ZWMtNTQ4NDE0OTMxOTRiIiwiaXNzIjoiaHR0cDovLzE5Mi4xNjguNC4yNjo4MDgwL2F1dGgvcmVhbG1zL2ZhYmFvIiwiYXVkIjpbInJlYWxtLW1hbmFnZW1lbnQiLCJhY2NvdW50Il0sInN1YiI6IjAwNjcyOThkLTk3N2YtNGVkMy1hOTBjLTAxNWM1YzRjYTAwYyIsInR5cCI6IkJlYXJlciIsImF6cCI6ImRlbW9jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiNzY1OTY5ZWMtOTRkYS00ZWRiLTlkY2ItZTE1ZWEzZTBhZDNiIiwiYWNyIjoiMSIsInJlYWxtX2FjY2VzcyI6eyJyb2xlcyI6WyLns7vnu5_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.w2z5a2OY069aQoB4uov9nHtCJL3dwqVH6rHRkyPP9CdU3iP2gFJa10-XqgOUr747PGiTKlaHHn-MO7nW7WYneJKZ0sw-SlaJjOc0zqVBZo26hBUO-JpXrnu26nmoAznpUyWM3P3enXMeW6mkTYwTuAAoaDlgJZcuFxknEjX7vGz0fClHZv60_G77yRInCy8hl9z1aNXGq9BME6ZSXXtGcgU9sLhQT6EqumegdLq7CaxKKLJgmD1hjmQhuhaBep3MkgJiLFmjM7zzLbpPEJ7b8mTeoydCOdqg0xFIZSV9pYQ6bEXC9JSRzGBC4VCeDVSMhVkOCozvgy-8-fPSgbIurQ",

    "expires_in": 3000,

    "refresh_expires_in": 1800,

    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJkNzg3MGJjNi0yMDY3LTQ3MjAtYWNmNC04MjRhZTIzMWFiZDAifQ.eyJleHAiOjE2MTk2NjAwODgsImlhdCI6MTYxOTY1ODI4OCwianRpIjoiYmJjNDY3NjAtMWE2NS00ODA4LWIyMmQtYzAyMDQ4NzA5YTQyIiwiaXNzIjoiaHR0cDovLzE5Mi4xNjguNC4yNjo4MDgwL2F1dGgvcmVhbG1zL2ZhYmFvIiwiYXVkIjoiaHR0cDovLzE5Mi4xNjguNC4yNjo4MDgwL2F1dGgvcmVhbG1zL2ZhYmFvIiwic3ViIjoiMDA2NzI5OGQtOTc3Zi00ZWQzLWE5MGMtMDE1YzVjNGNhMDBjIiwidHlwIjoiUmVmcmVzaCIsImF6cCI6ImRlbW9jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiNzY1OTY5ZWMtOTRkYS00ZWRiLTlkY2ItZTE1ZWEzZTBhZDNiIiwic2NvcGUiOiJyb2xlcyBlbWFpbCBwcm9maWxlIn0.gXRGH6WgzykH9c4WTCS00G3w8gLZtk_0Bb3ziLNFUl0",

    "token_type": "bearer",

    "not-before-policy": 1619512543,

    "session_state": "765969ec-94da-4edb-9dcb-e15ea3e0ad3b",

    "scope": "roles email profile"

}

授权码登录

请求code

对于没有认证的接口,将会返回401,即没有登录,这时keycloak会将我们的请求重定向到keycloak的登录而,这时有几个参数将被发到keycloak服务端,用来获取code信息。

主要包括以下几个参数 :

Response_type:表示响应类型,这里我们是code

Client_id:表示为你这个客户端颁发的唯一标识

Redirect_uri:表示从keycloak服务端注册的合法的回调地址,支持通配符

Scope:表示认证范围,表示用户的openid方式

  • GET /auth/realms/demo/protocol/openid-connect/auth
  • QUERY
client_id:democlient

scope:openid

response_type:code

client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01

redirect_uri:http://localhost:9090/callback
  • 跳转到kc的登录页,完成用户名和密码的登录

  • 登录成功之后,跳回callback删除,在url参数上带上了code

请求token

  • POST /auth/realms/fabao/protocol/openid-connect/token
  • 请求体 x-www-form-urlencoded
grant_type:authorization_code

code:68058719-add6-4b40-ab96-8e71af03827a.7a31b1a9-c3e8-46d4-b8cc-345012fcf4a2.25e52f60-5991-43dd-9108-873f60af385d

client_id:democlient

client_secret:ec0fd1c6-68b0-4c39-a9fa-c3be25c8ef01

scope:openid

redirect_uri:http://localhost:9090/callback
  • 响应
{

    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJFXzZpaDM1eVRMSk1pZUkwdnFnOU1tVFFySjZSY1VTeGlYZU5kY01hb1lrIn0.eyJleHAiOjE2MTk2NjMzMzQsImlhdCI6MTYxOTY2MDMzNCwiYXV0aF90aW1lIjoxNjE5NjYwMzIyLCJqdGkiOiI0ZTMxYzI0My0yOTAzLTQyZDQtYWE2Ny1hYmE0MzUzMTE5ZWQiLCJpc3MiOiJodHRwOi8vMTkyLjE2OC40LjI2OjgwODAvYXV0aC9yZWFsbXMvZmFiYW8iLCJhdWQiOlsicmVhbG0tbWFuYWdlbWVudCIsImFjY291bnQiXSwic3ViIjoiMDA2NzI5OGQtOTc3Zi00ZWQzLWE5MGMtMDE1YzVjNGNhMDBjIiwidHlwIjoiQmVhcmVyIiwiYXpwIjoiZGVtb2NsaWVudCIsInNlc3Npb25fc3RhdGUiOiIxNDgxMmY1MC1iOWY3LTRjZWUtYmU1Ni1iZjliZWY1Yzk2MWEiLCJhY3IiOiIxIiwicmVhbG1fYWNjZXNzIjp7InJvbGVzIjpbIuezu-e7n-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.Xx9ndq1dtgHgqZNLsOYXYqB31_QmPvb30PqwZBJ5jq-mVB2-FxYQhH-u4g0L4wJIPRABBJ_bppcEgtwdIAo45isODmmhz-VYOB47vbLw44seGXnRvsZDAhImLm-p_fccfUcGdFfceZs3a3Tzz-mv7p-tQ64dMIS9DWCWTfJuOpoSOEDRvEvnGzOxWY9EqIk5fL2Y-ys7J2QAcOPCvZJNnE_mYPXV8vu5c0wGB9Pt7JYISX8IbizCHhXZHCd20h5maM44VDPCV9MSxsP8KQa_emdILT8HT_3uy1E1KmdXqde_S82IZsE-CPMZC6QjuTYf15Fh-umo0ncYqjTwX8piTQ",

    "expires_in": 3000,

    "refresh_expires_in": 1800,

    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJkNzg3MGJjNi0yMDY3LTQ3MjAtYWNmNC04MjRhZTIzMWFiZDAifQ.eyJleHAiOjE2MTk2NjIxMzQsImlhdCI6MTYxOTY2MDMzNCwianRpIjoiYzFlZWU4ZDEtYmEwZC00OWJmLWJhOWMtZjk5Nzk4ZWNkNGZlIiwiaXNzIjoiaHR0cDovLzE5Mi4xNjguNC4yNjo4MDgwL2F1dGgvcmVhbG1zL2ZhYmFvIiwiYXVkIjoiaHR0cDovLzE5Mi4xNjguNC4yNjo4MDgwL2F1dGgvcmVhbG1zL2ZhYmFvIiwic3ViIjoiMDA2NzI5OGQtOTc3Zi00ZWQzLWE5MGMtMDE1YzVjNGNhMDBjIiwidHlwIjoiUmVmcmVzaCIsImF6cCI6ImRlbW9jbGllbnQiLCJzZXNzaW9uX3N0YXRlIjoiMTQ4MTJmNTAtYjlmNy00Y2VlLWJlNTYtYmY5YmVmNWM5NjFhIiwic2NvcGUiOiJvcGVuaWQgcm9sZXMgZW1haWwgcHJvZmlsZSJ9.y718VaUJ3Z8_ZSWquOubB5AcQtsRoYlaKrbqQPVLV_o",

    "token_type": "bearer",

    "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJFXzZpaDM1eVRMSk1pZUkwdnFnOU1tVFFySjZSY1VTeGlYZU5kY01hb1lrIn0.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.sIRpNtEbHKTcxCTAP5DaF-uK0jCO4atQvvFwPs3QrPxkcFq7oE3E1veyKuxfQo5oZfzEeKGAWsLshwZbng-idF6EKTIs_FeEcLJxiwsK1XiDzdRFfyr-rcCgM7assJx7Muah3xT-DgSdO9MzxW7Vfr_qauWbNeXyWzHCqO8sAUNxREVZZyVcFoqxD9JPIlrrCZQzAyEmvYtnNpF95uwUu0UgmHywLyg3drIqF8C5-kBxxWFUo4Z46YYmu4me3lmDzaohu26sSs2mHNfadTLxme3ir5kB23aeVpKplzr4ZVcO70HfZ6RU2Is8W__FRakB5XDhKLiRf_l4unaTtzbyKQ",

    "not-before-policy": 1619660302,

    "session_state": "14812f50-b9f7-4cee-be56-bf9bef5c961a",

    "scope": "openid roles email profile"

}

JWT token解析

PAYLOAD数据载体主要包括用户ID,用户名,用户角色,过期时间等信息

Sub:用户ID

preferred_username:账号名称

Name:用户姓名

Email:电子邮件

realm_access:领域角色

resource_access:客户端(资源服务)角色

Azp:授权客户端

Typ:token的类型

Aud:被授权的客户端列表

Exp:过期时间

Iss: 当前领域的开放API

Scope对jwt的影响

我们可以配置域的scope,或者对指定的client配置 scope,如图



图中,我们把客户端democlient的scope里的roles移除后,在返回的token里将不会出现和角色有关的信息,即realm_access和resource_access将被移除。

keycloak~账号密码认证和授权码认证的更多相关文章

  1. Foxmail 登录 qq 账号时无法登录 提示我们设置了独立密码或使用授权码登录的解决方法

    Foxmail 登录 qq 账号时无法登录  提示我们设置了独立密码或使用授权码登录的解决方法 1.首先我们设置我们邮箱的类型如下图所示 2.打开网页版的qq邮箱  在设置--->账户---&g ...

  2. Spring cloud微服务安全实战-5-5实现授权码认证流程(1)

    目前为止已经完成了完整的用户逻辑 目前的问题是,用户在登陆的时候,用户名提交的是给前端服务器的.每个前端服务器的开发人员都可能接触到前端的用户名密码. 每一个客户端应用都要去处理登陆的逻辑,一单我的登 ...

  3. 学习Spring Security OAuth认证(一)-授权码模式

    一.环境 spring boot+spring security+idea+maven+mybatis 主要是spring security 二.依赖 <dependency> <g ...

  4. Spring cloud微服务安全实战-5-6实现授权码认证流程(2)

    授权服务器,返回给我一个授权码,这里我只需要把授权传回去就可以了.来证明我是这个服务器. URI的地址传和第一次的地址一样的,认证服务器会比,第一次跳转的请求和第二次申请令牌的请求redirect_u ...

  5. Oauth2.0认证---授权码模式

    目录: 1.功能描述 2.客户端的授权模式 3.授权模式认证流程 4.代码实现 1.功能描述 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(au ...

  6. Spring Cloud2.0之Oauth2环境搭建(授权码模式和密码授权模式)

    oauth2 server 微服务授权中心,    github源码  https://github.com/spring-cloud/spring-cloud-security 对微服务接口做一些权 ...

  7. ASP.NET Core WebAPI中使用JWT Bearer认证和授权

    目录 为什么是 JWT Bearer 什么是 JWT JWT 的优缺点 在 WebAPI 中使用 JWT 认证 刷新 Token 使用授权 简单授权 基于固定角色的授权 基于策略的授权 自定义策略授权 ...

  8. IdentityServer4 (3) 授权码模式(Authorization Code)

    写在前面 1.源码(.Net Core 2.2) git地址:https://github.com/yizhaoxian/CoreIdentityServer4Demo.git 2.相关章节 2.1. ...

  9. OAuth2.0授权码模式实战

    OAuth2.0是目前比较流行的一种开源授权协议,可以用来授权第三方应用,允许在不将用户名和密码提供给第三方应用的情况下获取一定的用户资源,目前很多网站或APP基于微信或QQ的第三方登录方式都是基于O ...

随机推荐

  1. 强哥HTML学习笔记

    html 浏览器的选择:1.火狐2.ie3.chrome4.mac5.opera 安装两款插件:1.firebug2.web develope html页面元素:1.doctype2.htmlhead ...

  2. HAProxy与LVS综合----搭建LNMP源码编译结合HAProxy或LVS负载均衡

    实战一:实现LNMP与Keepalived.HAProxy做反向代理 框架图: 实现原理: 1.当A用户访问网站时,此时需要经过防火墙,防火墙将用户访问的IP地址处理后,如果允许访问,则就访问到HAr ...

  3. Linux服务之DNS服务篇

    一.DNS服务概述 DNS(Domain Name System)域名系统,在TCP/IP 网络中有非常重要的地位,能够提供域名与IP地址的解析服务. DNS 是一个分布式数据库,命名系统采用层次的逻 ...

  4. 控制器网关/dns设置

    如果控制器ping内网可以,但是ping不同外网,十有八九是因为网关的问题,可以使用route命令设置网关,如设置为192.168.31.1(不是192.168.31.0),route add def ...

  5. Linux shell脚本全面学习(一)

    1. Linux 脚本编写基础 1.1 语法基本介绍 1.1.1 开头 程序必须以下面的行开始(必须方在文件的第一行): #!/bin/sh 符号#!用来告诉系统它后面的参数是用来执行该文件的程序.在 ...

  6. idea 使用Springboot 编译报错

    报错信息如下 Argument for @NotNull parameter 'url' of org/jetbrains/jps/model/impl/JpsUrlListImpl.addUrl m ...

  7. SpringMVC=>web.xml基本配置

    <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmln ...

  8. 日常Bug排查-抛异常不回滚

    日常Bug排查-抛异常不回滚 前言 日常Bug排查系列都是一些简单Bug排查,笔者将在这里介绍一些排查Bug的简单技巧,同时顺便积累素材_. Bug现场 最近有人反映java应用操作数据库的时候,抛异 ...

  9. Nginx 配置实例-配置虚拟主机

    Nginx 配置实例-配置虚拟主机 配置基于域名的虚拟主机 1. 配置域名为 aaa.domain.com 的虚拟主机 1.1 nginx 中虚拟主机的配置 1.2 相关目录及文件的创建 1.3 验证 ...

  10. bat使用方法汇总

    前言 由于日常科研工作中使用C/C++比较多,在进行大规模运行时涉及到的批量处理操作较多,遂将目前遇到的情况记录如下,以便查看: 1.for循环 最基本的for循环操作为在一些数中遍历,如下例子.se ...