Keycloak 无效的令牌发行者

Question

我有一个移动应用（react-native）、一个资源服务（spring boot）和 Keycloak Authenticatioin Service（Auth-Service）。

Client 直接使用 Auth-Service 进行身份验证并获取访问令牌。 当我向资源服务发出请求时，资源服务通过询问 Auth-Service 来检查访问令牌。但是客户端应用和iss字段获取的token是http://10.0.2.2:8060/auth/realms/sau，我的资源服务在http://localhost:8110。

Keycloak 说：error="invalid_token", error_description="Invalid token issuer. Expected 'http://localhost:8060/auth/realms/sau', but was 'http://10.0.2.2:8060/auth/realms/sau'"

我的问题是如何代表我的客户在资源服务中进行身份验证？

移动应用：

 export const prepareRequestBody = credentials => {
  const params = new URLSearchParams();
  params.append('username', credentials.username);
  params.append('password', credentials.password);
  params.append('client_id', "nasilim-mobile-app");
  params.append('grant_type', "password");
  return params;
};

export const login = credentials => {
  const params = prepareRequestBody(credentials);
  return axios.post(LOGIN, params);
};

资源服务：

application.yml

keycloak:
  realm: sau
  resource: photo-service
  bearer-only: false
  auth-server-url: http://localhost:8060/auth
  credentials:
     secret: 69a3e80c-8360-42df-bcec-b6575a6949dc

注意：我检查了this 问题并尝试设置 "X-Forwarded-For" : "http://localhost:8060/" 但它不起作用 Keycloak 返回： { "error": "invalid_request", "error_description": "HTTPS required" }

这是手机客户端获取的Sample Access Token。

Answer 1

“iss”声明因请求的功能而异。变量KEYCLOAK_FRONTEND_URL 可以改变这种行为。因此，请尝试在您的 docker-compose 文件中执行以下操作：

KEYCLOAK_FRONTEND_URL: http://10.0.2.2:8060/auth

Answer 2

如果您无法使用外部地址访问身份验证服务器怎么办？这行不通。检查https://issues.redhat.com/browse/KEYCLOAK-6984 一种解决方法是设置 reaml 公钥。但不建议这样做，因为如果密钥被轮换，适配器将不会检查新密钥。

Answer 3

您需要以外部方式配置从 Spring Boot 应用程序到 Auth 服务器的访问，而不是 localhost：

keycloak:
  realm: sau
  resource: photo-service
  bearer-only: false
  auth-server-url: http://10.0.2.2:8060/auth
  credentials:
     secret: 69a3e80c-8360-42df-bcec-b6575a6949dc

这样令牌发行者将匹配。这可能需要在 keycloak 中禁用外部请求的 SSL 要求或配置正确的 SSL 通信。如果这是用于生产，请按照正确的方式进行。

另请参阅：

• https://stackoverflow.com/a/42504805/1199132