使用 Couchbase Sync Gateway OpenID Connect Nginx 的 Keycloak 无效重定向 uri
Keycloak invalid redirect uri with Couchbase Sync Gateway OpenID Connect Nginx
我在连接 Keycloak 服务器和 Couchbase Sync Gateway 之间的 OpenID Connect 时遇到问题。我的设置如下:我有一个 nginx,它为 Keycloak 和 Sync Gateway 提供 SSL 终止和反向代理。所以我的keycloak认证地址是这样的:
https://auth.domain.com
我的 Sync Gateway 存储桶位于:
https://sg.domain.com/sync_gateway
我已经在 keycloak 中设置了一个带有授权码的机密客户端,它的重定向 url 是:
https://sg.domain.com/sync_gateway/_oidc_callback
我在 Couchbase Lite for .NET 中使用内置的 OpenIDConnectAuthenticator。当我的应用将用户带到 Keycloak 登录页面时,我得到:
Invalid parameter: redirect_uri
正在传递到我的应用程序的登录 url 是:
https://auth.domain.com/auth/realms/realm/protocol/openid-connect/auth?access_type=offline&client_id=couchbase-sync-gateway&prompt=consent&redirect_uri=http%3A%2F%2Fsg.domain.com%2Fsync_gateway%2F_oidc_callback&response_type=code&scope=openid+email&state=
其中我可以看到 redirect_uri 是 http。应该是https。
我的同步网关配置是:
{
"log": ["*"],
"databases": {
"sync_gateway": {
"server": "http://cbserver:8091",
"bucket": "sync_gateway",
"users": { "GUEST": { "disabled": true, "admin_channels": ["*"] } },
"oidc": {
"providers": {
"keycloakauthcode": {
"issuer":"https://auth.domain.com/auth/realms/realm",
"client_id":"couchbase-sync-gateway",
"validation_key":"myclientid",
"register":true
}
}
}
}
}
}
我的 nginx 配置是:
events {
worker_connections 768;
multi_accept on;
}
http {
proxy_buffer_size 128k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
large_client_header_buffers 4 32k;
upstream auth_backend {
server server1:port1;
}
upstream cb_sync_gateway {
server server2:port2;
}
server { # AUTH
listen 443 ssl;
server_name auth.domain.com;
ssl on;
ssl_certificate /local/ssl/domain_com.crt;
ssl_certificate_key /local/ssl/domain_com.key;
add_header Content-Security-Policy upgrade-insecure-requests;
location / {
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://auth_backend;
}
}
server {
listen 443 ssl;
server_name sg.domain.com;
ssl on;
ssl_certificate /local/ssl/domain_com.crt;
ssl_certificate_key /local/ssl/domain_com.key;
add_header Content-Security-Policy upgrade-insecure-requests;
location / {
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://cb_sync_gateway;
}
}
}
Keycloak standalone-ha.xml 的代理设置如下:https://github.com/ak1394/keycloak-dockerfiles
我不确定这是否与 nginx 设置或 keycloak 设置有关。
有什么想法吗?
我能够解决这个问题;可能不是最好的方式,但它现在正在工作。我还需要在 nginx 配置中设置:
proxy_redirect http:// https://
并在 Keycloak 中输入以下有效的重定向 URL:
http://sg.domain.com/sync_gateway/_oidc_callback
如果有人在没有不安全的有效重定向的情况下找到这样做的方法,我会非常想知道,因为我知道不推荐这样做。
编辑:
我已经在 Couchbase Forums and it seems like it could be a bug in Couchbase Mobile (Coucbase Lite or Sync Gateway). They have filed a ticket 的 Couchbase Lite for .NET 中发帖。
我在连接 Keycloak 服务器和 Couchbase Sync Gateway 之间的 OpenID Connect 时遇到问题。我的设置如下:我有一个 nginx,它为 Keycloak 和 Sync Gateway 提供 SSL 终止和反向代理。所以我的keycloak认证地址是这样的:
https://auth.domain.com
我的 Sync Gateway 存储桶位于:
https://sg.domain.com/sync_gateway
我已经在 keycloak 中设置了一个带有授权码的机密客户端,它的重定向 url 是:
https://sg.domain.com/sync_gateway/_oidc_callback
我在 Couchbase Lite for .NET 中使用内置的 OpenIDConnectAuthenticator。当我的应用将用户带到 Keycloak 登录页面时,我得到:
Invalid parameter: redirect_uri
正在传递到我的应用程序的登录 url 是:
https://auth.domain.com/auth/realms/realm/protocol/openid-connect/auth?access_type=offline&client_id=couchbase-sync-gateway&prompt=consent&redirect_uri=http%3A%2F%2Fsg.domain.com%2Fsync_gateway%2F_oidc_callback&response_type=code&scope=openid+email&state=
其中我可以看到 redirect_uri 是 http。应该是https。
我的同步网关配置是:
{
"log": ["*"],
"databases": {
"sync_gateway": {
"server": "http://cbserver:8091",
"bucket": "sync_gateway",
"users": { "GUEST": { "disabled": true, "admin_channels": ["*"] } },
"oidc": {
"providers": {
"keycloakauthcode": {
"issuer":"https://auth.domain.com/auth/realms/realm",
"client_id":"couchbase-sync-gateway",
"validation_key":"myclientid",
"register":true
}
}
}
}
}
}
我的 nginx 配置是:
events {
worker_connections 768;
multi_accept on;
}
http {
proxy_buffer_size 128k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
large_client_header_buffers 4 32k;
upstream auth_backend {
server server1:port1;
}
upstream cb_sync_gateway {
server server2:port2;
}
server { # AUTH
listen 443 ssl;
server_name auth.domain.com;
ssl on;
ssl_certificate /local/ssl/domain_com.crt;
ssl_certificate_key /local/ssl/domain_com.key;
add_header Content-Security-Policy upgrade-insecure-requests;
location / {
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://auth_backend;
}
}
server {
listen 443 ssl;
server_name sg.domain.com;
ssl on;
ssl_certificate /local/ssl/domain_com.crt;
ssl_certificate_key /local/ssl/domain_com.key;
add_header Content-Security-Policy upgrade-insecure-requests;
location / {
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://cb_sync_gateway;
}
}
}
Keycloak standalone-ha.xml 的代理设置如下:https://github.com/ak1394/keycloak-dockerfiles
我不确定这是否与 nginx 设置或 keycloak 设置有关。
有什么想法吗?
我能够解决这个问题;可能不是最好的方式,但它现在正在工作。我还需要在 nginx 配置中设置:
proxy_redirect http:// https://
并在 Keycloak 中输入以下有效的重定向 URL:
http://sg.domain.com/sync_gateway/_oidc_callback
如果有人在没有不安全的有效重定向的情况下找到这样做的方法,我会非常想知道,因为我知道不推荐这样做。
编辑:
我已经在 Couchbase Forums and it seems like it could be a bug in Couchbase Mobile (Coucbase Lite or Sync Gateway). They have filed a ticket 的 Couchbase Lite for .NET 中发帖。