keycloak基本概念

编程

术语

realm

领域的名称, 这是必需的。

resource

应用程序的client-id,每个应用程序都有一个用于标识该应用程序的client-id。 这是必需的。

realm-public-key

领域的公钥,PEM格式。 您可以从管理控制台中获取。 这是可选的,建议您不要进行设置。 如果未设置,则适配器将从Keycloak下载此文件,并且始终会在需要时重新下载它(例如Keycloak旋转其密钥)。 但是,如果设置了realm-public-key,那么适配器将永远不会从Keycloak下载新密钥,因此,当Keycloak旋转其密钥时,适配器会损坏。

auth-server-url

Keycloak服务器的基本URL。 所有其他Keycloak页面和REST服务端点都从此派生。 通常采用https:// host:port / auth的形式。 这是必需的。

ssl-required

确保与Keycloak服务器之间的所有通信均通过HTTPS。 在生产中,这应该设置为全部。 这是可选的。 默认值为外部,这意味着外部请求默认情况下需要HTTPS。 有效值为“全部”,“外部”和“无”。

confidential-port

Keycloak服务器用于通过SSL / TLS进行安全连接的机密端口。 这是可选的。 默认值为8443。

use-resource-role-mappings

如果设置为true,则适配器将在令牌内部查找用户的应用程序级角色映射。 如果为false,它将查看用户角色映射的领域级别。 这是可选的。 默认值为false。

public-client

如果设置为true,则适配器不会将客户端的凭据发送到Keycloak。 这是可选的。 默认值为false。

bearer-only

对于服务,应将其设置为true。 如果启用,适配器将不会尝试对用户进行身份验证,而仅验证承载令牌。 这是可选的。 默认值为false。

autodetect-bearer-only

如果您的应用程序同时提供Web应用程序和Web服务(例如SOAP或REST),则应将其设置为true。 它允许您将Web应用程序的未经身份验证的用户重定向到Keycloak登录页面,但是将HTTP 401状态代码发送到未经身份验证的SOAP或REST客户端,因为他们不了解重定向至登录页面的方式。 Keycloak根据典型的标头(例如X-Requested-With,SOAPAction或Accept)自动检测SOAP或REST客户端。 默认值为false。

enable-basic-auth

这告诉适配器也支持基本身份验证。 如果启用此选项,则还必须提供密码。 这是可选的。 默认值为false。

expose-token

如果为true,则经过身份验证的浏览器客户端(通过JavaScript HTTP调用)可以通过URL root / k_query_bearer_token获取签名的访问令牌。 这是可选的。 默认值为false。

credentials

指定应用程序的凭据。 这是一种对象表示法,其中密钥是凭证类型,而值是凭证类型的值。 当前支持密码和jwt。 只有具有“机密”访问类型的客户端才需要执行此操作。

connection-pool-size

此配置选项定义应与Keycloak服务器建立多少连接。 这是可选的。 预设值为20。

以上是 keycloak基本概念 的全部内容, 来源链接: utcz.com/z/517029.html

回到顶部