Keycloak 刷新令牌不是离线类型

【问题标题】:Keycloak Refresh token not of type OfflineKeycloak 刷新令牌不是离线类型
【发布时间】:2021-09-29 22:36:23
【问题描述】:

我是 keycloak 中身份管理和用户管理的新手。

我正在尝试生成离线刷新令牌。我正在使用 keycloak 12.0.1 我在 ldap-demo 领域创建了一个客户端,并确保默认情况下将 offline_access 添加到范围内。这个 curl 命令给了我不记名令牌和刷新令牌。现在,当我检查 jwt.io 中的刷新令牌时,它的“典型”不是“离线”,而是仅刷新。我还定义了一个用户和角色,默认定义了offline_access。

refresh_token=`curl \
-d "client_id=ldap-app" -d "client_secret=password" \
-d "username=user1" -d "password=password" \
-d "grant_type=password"  \
-d "scope=offline_access"  \
https://localhost:8080/auth/realms/ldap-demo/protocol/openid-connect/token  | jq -r '.refresh_token'`

请建议我需要在 keycloak 中执行的所有领域级别配置或客户端级别配置。

【问题讨论】:

    标签: oauth-2.0 keycloak access-token bearer-token keycloak-services


    【解决方案1】:

    刷新令牌格式是特定于供应商的,您无法通过查看它来确定行为。

    offline_access 范围将存在于访问令牌中,如果它是 JWT,您将能够在其中查看此范围。

    要测试的是发送刷新令牌授权消息 - 您可以通过 curl command 或使用 OAuth Tools 来执行此操作。

    完整的行为通常是这样的:

    • 授权服务器 (AS) - 例如 Keycloak - 在其数据库中存储委托的详细信息
    • 在您的情况下,授权发生在处理密码授予消息时
    • 当您使用刷新令牌时,系统会根据存储的状态检查详细信息

    这意味着返回给客户的代币不需要透露全部细节。例如,在某些情况下可以并且应该返回不透明/不可读的标记。

    【讨论】:

      猜你喜欢
      • 2021-01-22
      • 1970-01-01
      • 2018-03-29
      • 2019-04-21
      • 2013-03-16
      • 2017-07-18
      • 2020-08-14
      • 2021-05-13
      • 2018-12-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode