外部 keycloak 服务器和 Spring 反向代理后面的引导应用程序 - 成功登录后重定向到根上下文
External keycloak server and Spring boot app behind reverse proxy - redirect to root context after success login
我的 spring 引导服务在反向代理后面工作,并由外部 keycloak 服务器保护。
在 Keycloak 服务器成功登录后,它将我重定向到我的服务,然后我重定向到上下文路径的根目录而不是初始 url。
所以请求链看起来像:
初始url:http://~HOSTNAME~/~SERVICE-NAME~/rest/info/654321
并重定向:
http://~HOSTNAME~/~SERVICE-NAME~/rest/sso/login
https://ext-keycloak.server/auth/realms/test/protocol/openid-connect/auth?response_type=code&client_id=dev&redirect_uri=http%3A%2F%2F~HOSTNAME~%2F~SERVICE-NAME~%2Frest%2Fsso%2Flogin&state=60ebad0d-8c68-43cd-9461&login=true&scope=openid
http://~HOSTNAME~/~SERVICE-NAME~/rest/sso/login?state=60ebad0d-8c68-43cd-9461&session_state=074aaa0d-4f72-440e&code=a8c92c50-70f8-438c-4fe311f0b3b6.074aaa0d-440e-8726.8166b689-bbdd-493a-8b8f
http://~HOSTNAME~/~SERVICE-NAME~/rest/ - 我这里没有处理程序并且出现错误。
第一个问题是应用程序为 keycloak 生成了错误的重定向 uri。所有服务都在 kubernetes 集群中,并且具有 urls,例如:http://~HOSTNAME~/~SERVICE-NAME~/rest(其中“/rest”是上下文路径)。
~SERVICE-NAME~部分用于在集群中定位服务,应用程序获取没有此前缀的请求。但是代理添加 header X-Original-Request 与原始 url 我决定使用它(不幸的是我无法更改代理和密钥斗篷服务器的配置) .我使过滤器使用 header 值通过 Spring 的 org.springframework.web.filter.ForwardedHeaderFilter 通过 copy-pasting 生成正确的重定向 uri。现在它生成正确的 redirect_uri 但我在最后得到错误的重定向,如上所述。
在这种情况下如何重定向到初始页面?
Spring 安全配置:
@EnableWebSecurity
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
private final PermissionConfig permissionConfig;
@Autowired
public SecurityConfig(PermissionConfig permissionConfig) {
this.permissionConfig = permissionConfig;
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new NullAuthoritiesMapper());
auth.authenticationProvider(keycloakAuthenticationProvider);
}
@Bean
public KeycloakSpringBootConfigResolver KeycloakConfigResolver() {
return new KeycloakSpringBootConfigResolver();
}
@Bean
@Override
protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
var urlRegistry = http.authorizeRequests()
.antMatchers("/actuator/**")
.permitAll()
.antMatchers("/info/**")
.hasAnyAuthority(permissionConfig.getRoles().toArray(new String[0]));
}
@Bean
public FilterRegistrationBean<OriginalUriHeaderFilter> originalUriHeaderFilter() {
OriginalUriHeaderFilter filter = new OriginalUriHeaderFilter();
FilterRegistrationBean<OriginalUriHeaderFilter> registration = new FilterRegistrationBean<>(filter);
registration.setDispatcherTypes(DispatcherType.REQUEST, DispatcherType.ASYNC, DispatcherType.ERROR);
registration.setOrder(Ordered.HIGHEST_PRECEDENCE);
return registration;
}
}
spring keycloak 配置 (yaml)
keycloak:
auth-server-url: 'https://ext-keycloak.server/auth/'
realm: test
ssl-required: NONE
resource: dev
credentials:
secret: 'hex-value'
confidential-port: 0
disable-trust-manager: true
呃,问题出在服务前缀上,而不是 Keycloak。
当我尝试获取页面 Spring 并使用路径 =/rest 设置 JSESSIONID cookie 时,将请求存储到会话并将我重定向到 Keycloak。登录后 Spring 找不到会话并将我重定向到根上下文,因为浏览器没有为路径 /~SERVICE-NAME~/rest 提供 JSESSIONID cookie !!
默认情况下 Spring 设置 cookie 路径=server.servlet.contextPath。我所做的只是将 cookie 路径添加到 application.yaml:
server:
port: 8080
servlet:
contextPath: /rest
session:
cookie:
path: /
Spring DebugFilter is quite useful thing
对于未来的搜索,另一种方法是使用 KeycloakCookieBasedRedirect.createCookieFromRedirectUrl 方法,其中包括用于 keycloak 重定向的 cookie。
我的 spring 引导服务在反向代理后面工作,并由外部 keycloak 服务器保护。
在 Keycloak 服务器成功登录后,它将我重定向到我的服务,然后我重定向到上下文路径的根目录而不是初始 url。
所以请求链看起来像:
初始url:http://~HOSTNAME~/~SERVICE-NAME~/rest/info/654321
并重定向:
http://~HOSTNAME~/~SERVICE-NAME~/rest/sso/login
https://ext-keycloak.server/auth/realms/test/protocol/openid-connect/auth?response_type=code&client_id=dev&redirect_uri=http%3A%2F%2F~HOSTNAME~%2F~SERVICE-NAME~%2Frest%2Fsso%2Flogin&state=60ebad0d-8c68-43cd-9461&login=true&scope=openid
http://~HOSTNAME~/~SERVICE-NAME~/rest/sso/login?state=60ebad0d-8c68-43cd-9461&session_state=074aaa0d-4f72-440e&code=a8c92c50-70f8-438c-4fe311f0b3b6.074aaa0d-440e-8726.8166b689-bbdd-493a-8b8f
http://~HOSTNAME~/~SERVICE-NAME~/rest/ - 我这里没有处理程序并且出现错误。
第一个问题是应用程序为 keycloak 生成了错误的重定向 uri。所有服务都在 kubernetes 集群中,并且具有 urls,例如:http://~HOSTNAME~/~SERVICE-NAME~/rest(其中“/rest”是上下文路径)。
~SERVICE-NAME~部分用于在集群中定位服务,应用程序获取没有此前缀的请求。但是代理添加 header X-Original-Request 与原始 url 我决定使用它(不幸的是我无法更改代理和密钥斗篷服务器的配置) .我使过滤器使用 header 值通过 Spring 的 org.springframework.web.filter.ForwardedHeaderFilter 通过 copy-pasting 生成正确的重定向 uri。现在它生成正确的 redirect_uri 但我在最后得到错误的重定向,如上所述。
在这种情况下如何重定向到初始页面?
Spring 安全配置:
@EnableWebSecurity
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
private final PermissionConfig permissionConfig;
@Autowired
public SecurityConfig(PermissionConfig permissionConfig) {
this.permissionConfig = permissionConfig;
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new NullAuthoritiesMapper());
auth.authenticationProvider(keycloakAuthenticationProvider);
}
@Bean
public KeycloakSpringBootConfigResolver KeycloakConfigResolver() {
return new KeycloakSpringBootConfigResolver();
}
@Bean
@Override
protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
var urlRegistry = http.authorizeRequests()
.antMatchers("/actuator/**")
.permitAll()
.antMatchers("/info/**")
.hasAnyAuthority(permissionConfig.getRoles().toArray(new String[0]));
}
@Bean
public FilterRegistrationBean<OriginalUriHeaderFilter> originalUriHeaderFilter() {
OriginalUriHeaderFilter filter = new OriginalUriHeaderFilter();
FilterRegistrationBean<OriginalUriHeaderFilter> registration = new FilterRegistrationBean<>(filter);
registration.setDispatcherTypes(DispatcherType.REQUEST, DispatcherType.ASYNC, DispatcherType.ERROR);
registration.setOrder(Ordered.HIGHEST_PRECEDENCE);
return registration;
}
}
spring keycloak 配置 (yaml)
keycloak:
auth-server-url: 'https://ext-keycloak.server/auth/'
realm: test
ssl-required: NONE
resource: dev
credentials:
secret: 'hex-value'
confidential-port: 0
disable-trust-manager: true
呃,问题出在服务前缀上,而不是 Keycloak。
当我尝试获取页面 Spring 并使用路径 =/rest 设置 JSESSIONID cookie 时,将请求存储到会话并将我重定向到 Keycloak。登录后 Spring 找不到会话并将我重定向到根上下文,因为浏览器没有为路径 /~SERVICE-NAME~/rest 提供 JSESSIONID cookie !!
默认情况下 Spring 设置 cookie 路径=server.servlet.contextPath。我所做的只是将 cookie 路径添加到 application.yaml:
server:
port: 8080
servlet:
contextPath: /rest
session:
cookie:
path: /
Spring DebugFilter is quite useful thing
对于未来的搜索,另一种方法是使用 KeycloakCookieBasedRedirect.createCookieFromRedirectUrl 方法,其中包括用于 keycloak 重定向的 cookie。