密钥罩访问令牌过期太快
是指在云计算领域中,访问令牌的有效期过短,导致用户需要频繁地重新获取和更新访问令牌。访问令牌是一种用于验证用户身份和授权访问资源的凭证,通常使用密钥罩(Keycloak)等身份认证和访问管理系统来生成和管理。
由于密钥罩访问令牌过期太快可能会给用户带来不便和额外的工作量,因此需要合理设置访问令牌的过期时间。过短的过期时间会频繁触发令牌刷新操作,增加了网络请求和服务器负载,同时也增加了用户的等待时间和操作复杂性。过长的过期时间则会增加安全风险,因为长时间有效的令牌可能被恶意用户截获并滥用。
为了解决密钥罩访问令牌过期太快的问题,可以采取以下措施:
- 合理设置访问令牌的过期时间:根据实际需求和安全考虑,权衡令牌的有效期,通常建议设置为较长但不过长的时间,例如1小时或数小时。
- 使用刷新令牌(Refresh Token)机制:刷新令牌是一种特殊的令牌,用于获取新的访问令牌。当访问令牌过期时,可以使用刷新令牌来获取新的有效令牌,而无需重新进行身份验证。这样可以减少用户频繁重新登录的需求,提高用户体验。
- 实现自动刷新机制:在客户端或服务端实现自动刷新机制,即在令牌即将过期时自动请求新的令牌,以保持用户的持续访问和操作。
- 使用合适的令牌存储和管理方案:选择适合的令牌存储和管理方案,确保令牌的安全性和可靠性。可以考虑使用分布式缓存、数据库等方式进行令牌的存储和管理。
- 结合其他安全机制:密钥罩访问令牌过期太快问题通常是安全性和用户体验之间的权衡。除了合理设置令牌过期时间外,还可以结合其他安全机制,如多因素身份验证、访问控制策略等,以提高系统的整体安全性。
腾讯云提供了一系列云安全产品和服务,如腾讯云密钥管理系统(KMS)、腾讯云访问管理(CAM)等,可以帮助用户更好地管理和保护访问令牌和密钥等敏感信息。具体产品介绍和相关链接如下:
- 腾讯云密钥管理系统(KMS):提供密钥的生成、存储、管理和使用等功能,帮助用户保护访问令牌和敏感数据的安全。了解更多:https://cloud.tencent.com/product/kms
- 腾讯云访问管理(CAM):提供身份认证和访问控制服务,帮助用户管理和控制访问令牌的权限和范围。了解更多:https://cloud.tencent.com/product/cam
请注意,以上仅为示例产品和链接,具体选择和使用需根据实际需求和情况进行评估和决策。
相关·内容
在同一领域中,我有两个服务注册为两个keycloak客户端。在keycloak客户端设置中,两个客户端的访问类型都设置为public。
当我们尝试通过Keycloak登录时,这两个服务都工作得很好。
登录到第一个(service-1)之后,用户执行了一些操作,为此我需要对(service-2)进行REST调用。现在,如果我尝试执行从一个服务到另一个服务的REST调用,它会重定向到HTML并返回一些HTML响应,而不是实际的响应。
我如何在这两个服务之间进行呼叫。
浏览 6提问于2018-08-14得票数 0
1回答
我们使用KeyCloak身份代理将身份验证联合到外部IDP。身份提供程序的类型为OpenID连接v1.0。此外,我们在PKCE中使用OIDC授权代码流。
根据以下文档,我们能够成功地从外部IDP检索令牌:
但是,当用户代理使用"refresh_token“授权刷新KeyCloak令牌时,来自外部IDP的令牌不会刷新。KeyCloak提供的有关此主题的文档非常少。
有人知道如何从外部IDP刷新令牌吗?
更新:我已经向KeyCloak社区提出了一个问题
浏览 17提问于2021-02-10得票数 3
我将Keycloak与Spring Data REST结合使用,如果用户发送具有过期令牌的http请求,则会抛出以下异常
org.keycloak.common.VerificationException: Token is not active
at org.keycloak.TokenVerifier.verify(TokenVerifier.java:164) ~[keycloak-core-3.1.0.Final.jar:3.1.0.Final]
at org.keycloak.RSATokenVerifier.verify(RSATokenVerifier.java:
浏览 11提问于2018-07-23得票数 3
回答已采纳
1回答
我正在处理一个项目,其中我有一个使用React的前端构建,它连接到一个使用API平台的API构建,并使用一个实现oauth2和OpenID协议(Keycloak)的外部用户提供者。
我认为我可以将API platform配置为oauth2客户端(通过oauth配置部分,但我不确定它是oauth客户端还是服务器),但我还需要从OpenID服务器获取用户信息,以存储有关创建实体的用户(所有者)的信息。
有没有办法做到这一点?或者最好不要使用API平台,而是实现自己的API连接到OpenID服务器?
提前感谢!
浏览 0提问于2019-07-31得票数 4
我正在使用keycloak来验证我的spring boot API应用程序。 密钥罩配置如下: keycloak:
realm: totallr
resource: totall_api
ssl-required: external
bearer-only: true
auth-server-url: <my-server-with-port-commented-out>/auth 这样就可以很好地工作。但是,当我通过JVM args更改一些配置时,它会失败,并显示以下堆栈跟踪。配置I的更改是从本地主机到原始域和服务器端口号的CORS源。 ER
浏览 62提问于2021-03-28得票数 1
3回答
我有一个关于Keycloak和获取访问令牌的问题。
我有两个不同的应用程序设置为两个不同的客户端在keycloak。两者都使用相同的LDAP (Active directory)服务器进行身份验证,该服务器在keycloak中设置为用户联盟。
用户使用密钥罩登录页面登录到applicationA。现在,用户想要在其网页上单击一个按钮即可打开applicationB。
单击该按钮后,applicationA应该能够从keycloak中检索访问令牌,并使用它启动applicationB。
但不应该要求它再次登录到keycloak。
一旦它收到令牌,它就应该能够使用令牌启动applicationB。
浏览 1提问于2018-03-09得票数 1
1回答
我正在制作一个机器人,我必须向一个GraphQL应用程序接口发出请求,而它是由Keycloak保护的。我在文档of this site中对其进行了初始化 var Keycloak = require('keycloak-connect');
const session = require('express-session');
var memoryStore = new session.MemoryStore();
const keycloak = new Keycloak({
store: memoryStore
},
{
url: "
浏览 7提问于2020-12-11得票数 0
回答已采纳
我目前正在开发一个基于flutter/dart的网页(不是一个应用程序)。现在,我希望只有当用户在我的基于云的Keycloak服务器(cloud-iam.com)上进行了身份验证时,才能打开web页面。 有一些openid-connect客户端软件包可用于flutter,但大多数仅适用于google firebase/aws。有些人只为应用程序工作,另一些人已经过时了。 现在,我只想使用keycloak服务器提供的登录前端。但是我完全没能把可用的openidc包带到成功...:-( 谁有合适的软件包和参考flutter/dart应用程序如何使用oidc身份提供者(即keycloak)对用户进
浏览 19提问于2021-09-06得票数 1
我将通过此请求获取应用程序api密钥:
GET https://graph.facebook.com/oauth/access_token?client_id=YOUR_APP_ID
&client_secret=YOUR_APP_SECRET&grant_type=client_credentials
我想在用户页面上创建备注,但失败了。我将一个带有主题和消息的post请求发送到:
https://graph.facebook.com/[PAGE_ID]/notes/access_token=[APP_TOKEN]
但我得到的是:
{
"error":
浏览 4提问于2012-11-30得票数 0
回答已采纳
我正在尝试使用keycloak-connect将密钥罩身份验证添加到我的ApolloServer中。我已经设置了我的领域并从localhost:8080/auth登录。然而,我在上下文函数中从我的请求中获取kauth时遇到了一个问题: 目前我有以下设置: const kcConfig = {
clientId: process.env.KEYCLOAK_CLIENT_ID,
serverUrl: `localhost:808/auth`,
realm: process.env.KEYCLOAK_REALM,
realmPu
浏览 44提问于2021-07-06得票数 0
我有一个spring boot (后端)和angular (前端)应用程序,我想用keycloak保护它(用于身份验证)。
我有一个非常基本的部署,其中spring创建的可执行jar还提供客户端代码(来自angular)。
我看过几个教程,其中正面和背面是分开的,正面使用代码流+ pkce将其身份验证委托给keycloak,而背面是无状态的,并检查是否存在由keycloak实例认证的jwt令牌。
但是,由于我有一个后端服务器,所以我希望避免使用公共客户端,而是依赖于服务器端的反向通道令牌交换。因此,前端不应该对keycloak实例有任何了解。
这是可能的吗?/这是最佳实践吗?有没有一个前置库可
浏览 3提问于2021-03-29得票数 2
我正在开发一个永远只使用一个Spotify帐户的应用程序,我不太理解刷新令牌(使用oauth2)。理想情况下,我只想使用Spotify API控制台接收访问令牌和刷新令牌,这样我就可以永远使用它,并且在应用程序运行时不必再担心授权问题。如果我有一个刷新令牌,我可以永远使用该刷新令牌吗?或者,每当我想访问API时,是否需要不断地使用该刷新令牌获得一个新的令牌?
浏览 0提问于2018-02-18得票数 0
回答已采纳
2回答
我在我的web应用程序中使用授权代码流。我想为web应用程序本身获取一个刷新令牌,但也希望获得一个离线令牌,我将其保存在数据库中,以便以后可以将其用于离线任务。
然而,我正在为此而苦苦挣扎。我不能使用授权类型的密码,因为我不想要求用户再次输入他/她的凭据,而且授权码只使用一次,所以我不能将其与当前流程集成。
有没有其他方法可以从不同的令牌生成离线令牌?我曾尝试在作用域offline_access中使用授权类型刷新令牌,但不起作用。
浏览 3提问于2017-08-07得票数 1
回答已采纳
我的javascript项目由两部分组成:前端(React.js)和后端(node.js)。我想知道如果我只将Keycloak集成到前端,后端是否也是安全的?或者我应该尝试将它集成到这两个系统中?
浏览 1提问于2020-07-17得票数 1
虽然我了解jwt用于身份验证的工作方式,但我正在尝试构建注册。
登记有一个需要核实的步骤。
用户输入电话号码
代码通过sms发送给用户。
用户输入代码并对设备进行验证。
因为它是一个用于移动应用的API,所以没有内置任何会话/cookie。
我想知道我是否能够实现像cookie这样的移动系统。让它与JWT一起工作。但我对此没有多少经验。
这是我目前的流程:
用户使用电话#发出帖子请求
我用JWT回复(时间:编号)
我还通过短信发送代码。
用户通过POST和JWT发送代码。
问题:
我不知道代码是否属于用户,因为我没有将代码保存在DB中。
我不
浏览 0提问于2018-07-15得票数 0
我有一个带有域和客户端的Keycloak服务器设置。我在客户端上有授权设置,我能够评估管理界面内的身份验证。
当我单击“显示授权数据”时,我可以在响应中看到一个带有permissions的authorization属性。
我有一个web客户端,它通过keycloak使用重定向进行oidc身份验证。我想限制哪些键盘时钟用户可以登录到客户端,所以我想授权登录,但我无法在JWT中看到authorization属性。
我是不是完全误解了它的工作原理,或者我可以做些什么来查看该属性?
浏览 9提问于2019-07-08得票数 0
我正在尝试将keycloak-gatekeeper设置为docker容器前面的反向代理,以便针对容器提供身份验证和授权。我使用FusionAuth作为OIDC兼容的身份提供者,并设法让keycloak-getekeeper使用它,使用授权流。当我尝试根据用户的角色或组成员身份限制哪些用户可以访问资源时,问题就出现了。 目前,所有请求都被拒绝。当我查看服务器上的日志时,我可以看到以下消息: 1.5548202388823931e+09 info keycloak-gatekeeper/middleware.go:90 client request {"latency&#
浏览 28提问于2019-04-09得票数 2
1回答
JWT的一个好的过期时间是什么,这样用户就永远不会被注销,除非他点击注销?请注意,node.js服务器可能永远处于启动和运行状态
浏览 0提问于2015-07-01得票数 0
2回答
? 当带有持有者令牌的请求命中微服务时,微服务是否会与keycloak对话以验证每个请求的令牌? 流量“步骤5”是否可以通过密钥罩适配器进行配置?
浏览 15提问于2020-01-16得票数 3
我正在使用Facebook的PHP SDK来检索各种信息。如果你不知道,facebook为其上托管的每个视频都保留了一个临时链接,该链接在几天后就会失效。因此,我使用一个vid用PHP查询FB以获得它的url。问题是,即使正在查看我的页面的当前用户没有连接到我的应用程序,我也必须执行该操作。即使当前浏览我网站的用户没有连接到我的应用程序,你有什么创造性的解决方案让我用vid (视频ID)查询FB吗?(我可以使用现有的用户令牌,但现在我必须控制哪些令牌是活动的,依此类推...)
谢谢!
浏览 1提问于2013-05-22得票数 0
我们需要设置从Kusto到外部表的连续数据导出,用于ADLS中超过60天的数据。根据文档,我们看起来应该使用AAD令牌来生产,然而,文档并没有明确说明生成AAD令牌的过程。 我们还按照Microsoft Documentation获取了访问令牌,并注册了一个应用程序,生成了客户端密钥。 我需要一些关于生成令牌的过程的帮助/建议 将;token=AadToken附加到URI,其中AadToken是一个base-64编码的AAD访问令牌(确保该令牌用于资源https://storage.azure.com/)。 .create external table logs (ing_dt:date,r
浏览 20提问于2020-06-19得票数 0
在尝试使用Facebook的移动身份验证时,我意识到他们现在不设置任何会话密钥cookie,只处理访问令牌。据我所知,访问令牌是新的OAuth2系统的工作方式,这使得会话密钥有些过时。我唯一的选择是更新代码以使用访问令牌,还是有一种方法可以让我在只有访问令牌的情况下获得会话密钥?
浏览 0提问于2010-09-29得票数 1
回答已采纳
1回答
如何处理微服务的授权和身份验证?
、、、、
在我的公司,我们正在构建一个基于微服务的应用程序。我们正在努力决定如何处理授权和身份验证。我们正在考虑使用OpenId连接对用户进行身份验证,但当涉及到授权时,我们需要一些建议。
让我来解释一下解决方案的工作原理:一个用户可以在不同的部门中拥有不同的角色,并且部门的数量可以超过200个。在每个部门中,用户可以拥有多个角色。我们理解,处理角色的推荐方法是将它们放在从客户端发送到服务器(JWT)的令牌中。但是,我们担心这会使令牌负载过大。据我所知,浏览器最多可以保存5KB的头部数据。在我们的例子中,这意味着大约50个部门有两个角色(未压缩)。这样做的好处是,当用户进入微服务时,他/她将被授权和认证
浏览 0提问于2019-03-21得票数 4
我们正在研究集成keycloak来保护前端AngularJS应用程序,该应用程序由nodeJS应用程序提供服务,并向该服务器发出应用程序接口请求。
看过一些教程后,我们发现我们需要使用AngularJS应用程序的javascript适配器来处理用户身份验证流,然后使用仅限持有者策略保护我们的nodeJS应用程序,确保对节点应用程序的angularJS传出请求包含一个带有持有者令牌值的认证头部。
我有一个关于令牌被服务回客户端的方式的问题,因为我可以看到它被保存到cookie中,我假设这是javascript适配器读取的,以便我们能够将Auth头写入来自angular应用程序的后续请求中。
我的
浏览 0提问于2017-09-15得票数 0
我尝试通过Python请求与API交互所需的访问令牌。我使用“邮递员”程序来了解这个过程,请看这里:
邮递员可以选择通过在“授权”-选项卡下请求访问代码(OAuth 2.0)获得授权。在我输入所有需要的信息并点击“请求令牌”-Button后,我被重定向到一个我想要使用该API的网站。它看起来像这个窗口:
登录后,Postman将返回一个包含访问令牌的窗口。
我现在想在Python中执行这些操作,但就我所见,似乎还没有针对基于web的登录身份验证的解决方案。
使用像这样的代码,我可以向服务器发送请求,但我不能请求网站,在那里我可以输入我的登录数据。
那么,是否可以在Python中执行与Postm
浏览 17提问于2018-12-14得票数 1
我想知道如果用户没有登录到facebook,是否有可能在facebook时间表上发布我的操作,我的意思是通过cron作业,实际上我的用户有一个扩展令牌,但如果他们没有连接到facebook,它不能在他们的时间表上发布任何东西
浏览 1提问于2012-07-04得票数 1
回答已采纳
2回答
我连接到twitter应用程序,并获取oauth令牌值并存储在数据库中。我发现令牌值过期了,每次我用twitter登录时,我都会得到一个新的令牌值。
我正在搜索offline_access,这是由脸书提供的。
如果有人遇到过同样的问题,请帮帮我。
提前感谢
浏览 1提问于2011-01-25得票数 3
2回答
我正要配置"WSO2应用程序接口管理器“,但由于我在我的旧应用程序中一直使用Keycloak作为单点登录服务器,我想知道是否可以使用keycloak单点登录作为"WSO2应用程序接口管理器”的认证服务器?
提前感谢!
浏览 0提问于2016-10-18得票数 3
设置aud声明以避免以下错误的正确方法是什么?
unable to verify the id token {"error": "oidc: JWT claims invalid: invalid claims, 'aud' claim and 'client_id' do not match, aud=account, client_id=webapp"}
我通过硬编码声称与我的client_id相同的aud来解决这个错误消息。有没有更好的办法?
这是我的docker-compose.yml
version: '3&
浏览 15提问于2018-11-30得票数 42
回答已采纳
1回答
生成API秘密
、、
我已经创建了一个API,我只希望某些客户机能够访问该API。经过一番研究,我发现API密钥和API秘密是控制它的很好的方法。
我想用我控制的信息来产生我自己的秘密。例如,如果我创建了秘密1500315177265-8005550000-System,秘密本身就有我可以引用和验证的信息。据我所知,什么是秘密并不重要,只要它不被分享,这就是它成为秘密的原因。我可以附加一些长盐值,这样就很难猜测了。我能这样安全地使用秘密吗?
按照同样的思路,我在想,如果秘密本身有标识信息,那么需要什么样的API密钥。更有可能的是,我在这里遗漏了一些东西,或者更多的API会这样做。
浏览 1提问于2017-07-17得票数 0
首先,我已经找到了解决办法,但我无法确定这个问题。
这是托管在豆茎上的应用程序,并在部署后按预期工作。我可以登录,做我需要做的,并关闭应用程序。如果刷新浏览器,则必须再次登录(按预期进行)。
问题:我在中午12点左右部署了我的应用程序,下午2点左右我试着登录,并得到了一个“配置中缺少凭据”错误。
我再次部署在下午2:20左右,到目前为止(下午2:58分),它仍在按预期工作。但是,如果这再次抛出同样的错误,我可能做错了什么?
请参阅下面的代码片段,以供我在节点js中验证路由。这是一个豆茎反应is节点应用程序。
AWS.config.update({
region: process.env
浏览 0提问于2019-03-29得票数 0
2回答
到期AES密钥
、、
有没有办法制作一个“过期”的AES密钥?
下面是一个更好的场景:
假设鲍勃有一些他想和爱丽丝分享的数据。爱丽丝有一个公钥和私钥,比方说RSA 2048。如果鲍勃·多斯不太了解爱丽丝,她可能不会照顾自己的公钥和私钥(或者干脆是“电脑文盲”),而且只要有足够的时间,她的公钥和私钥就会受到损害。
Bob用一个神奇的AES 256密钥加密一些数据,该密钥在一周后到期。
Bob将数据上载到文件共享服务。假设无法从文件共享服务中删除该数据,即文件无限期地驻留在服务器上。
Bob向Alice发送了一封使用Alice公钥加密的电子邮件,在该邮件中Bob给了她一个神奇的AES密钥来解密他上传到文件共享服务中的数
浏览 0提问于2014-06-13得票数 3
回答已采纳
1回答
我想写一个Facebook应用程序,定期检查用户定义的RSS馈送,并将新项目导入到用户/页面的墙上(我知道,有类似的应用程序)。但我找不到一本有用的手册来验证后台进程。我的意思是,你知道,当用户不在线时,我必须发布流媒体。我知道,这是一个名为"offline_access“的权限,但我对此感到困惑;我是否必须存储用户在线时获取的访问令牌密钥?或者,是否有其他方法可以在用户离线时使用访问令牌?
浏览 0提问于2012-06-11得票数 0
回答已采纳
1回答
我正在使用API key通过获取播放列表的详细信息。
找不到任何有关API密钥有效期的信息。我希望确保在应用程序过期之前为其重新生成一个新的API密钥。
浏览 2提问于2015-05-19得票数 4
我正在尝试使用基于IAM令牌的身份验证。我能够生成“访问令牌”,并且可以使用“访问令牌”进行操作。现在我在生成“刷新令牌”时遇到了问题。我正在关注这个链接https://cloud.ibm.com/docs/services/watson?topic=watson-iam。 我使用下面的命令来生成刷新令牌。这里使用username作为'apikey‘并使用value作为我的key来获取Authorization头的值。{refreh-token}我正在使用的值,我在生成'access token‘时收到了这个值。 curl -k -X POST --header "A
浏览 26提问于2019-05-30得票数 1
回答已采纳
目前,我能够连接到云铸造使用CLI。但是我想知道是否可以通过推一个txt文件来连接云铸造。
命令行
$ cf login -a https://api.example.com -u username@example.com
API endpoint: https://api.example.com
Password>
Authenticating...
OK
Select an org (or press enter to skip):
1. example-org
2. example-other-org
Org> 1
Targeted org example-org
S
浏览 4提问于2017-03-03得票数 0
回答已采纳
我最近正在开发Keycloak 6.0.1 for SSO,用于组织中的多个应用程序的身份验证。我对客户端和领域之间的区别感到困惑。
如果我要为SSO管理5个不同的应用程序,那么我是否必须创建5个不同的客户端或5个不同的领域?
如果我说我必须在一个领域下创建5个不同的客户端,那么我可以对同一领域中的不同客户端执行不同的身份验证流吗?
浏览 11提问于2019-06-12得票数 20
回答已采纳
我正在寻找解释以下细节的文档:
什么是默认的四方api oauth令牌到期?
如何检查任何给定令牌的过期?
我怎样才能延长为oauth令牌而活的时间?
谢谢
浏览 4提问于2015-07-01得票数 0
回答已采纳
1回答
SAS的理想过期时间应该是什么。SAS将用于将blobs从一个容器复制到另一个容器(也可以是不同的存储帐户)。copy命令是在生成SAS后立即调用的,那么过期时间是否只是开始复制blob所需的时间,还是应该在复制blob完成之前一直有效? sas_signature = source_blob_object.generate_container_shared_access_signature(source_container, ContainerPermissions.READ, expiry = datetime.utcnow() + timedelta(hours = 1))
blob_
浏览 20提问于2019-10-16得票数 0
我在Google搜索控制台API客户端(PHP)上遇到了一个奇怪的问题。昨天晚上,它(终于)工作,然后今天早上,完全相同的代码不再工作。我没有获取Search Analytics数据,而是收到了一个401错误,“无效凭据”。
编辑:我已经将setSubject注释掉了,因为它昨晚没有这个功能。我今天已经试过了,有评论的和没有评论的都没有效果。
编辑2:我以为我已经解决了这个问题。我更改了作用域,使其具有搜索控制台API的两种类型的作用域。它再次开始下载数据。然后,一两个小时后,它再次开始返回“无效凭据”错误。然后我交换了$scopes数组中作用域的位置,它又开始工作了。好像有什么地方不对劲。
浏览 0提问于2016-10-12得票数 0
因此,我试图从GCP容器注册表中获取图像列表。此HTTP调用运行良好:
## generate token and save it
export TOKEN=$(gcloud auth print-access-token) ## just to get a token
## make a call
curl -u "oauth2accesstoken:$TOKEN" https://gcr.io/v2/yourProject/yourImage/tags/list
但是,这个工作流是有问题的,因为TOKEN在gcloud生成它时会发生变化,而且由于某些原因,我不能将gclo
浏览 12提问于2022-10-13得票数 0
回答已采纳
1回答
我正在读的文章。我需要生成一个应用令牌来检查我从用户那里获得的访问令牌。这是对的描述,但现在不那么相关了。
每次需要检查用户的访问令牌时,我都可以编写通过access_token端点生成应用令牌的软件。然而,这需要一些时间,如果可能的话,我想避免。
我想知道这些应用程序令牌是否会过期.
如果不是,那么将应用令牌以明文形式存储在我的(服务器端)代码中是个好主意吗?这样,我就可以将HTTP请求减少到API。
浏览 4提问于2013-06-09得票数 1
回答已采纳
我正在创建一个原生android应用程序,并且我正在使用keycloak身份验证,因为我的web应用程序和API已经配置了keycloak。我将Facebook和Google设置为keycloak的身份提供商,但现在我不知道如何在Android应用程序中配置它。 对于一般的身份验证,我使用rest调用的改进来获取令牌,然后将令牌存储在Android帐户管理器中。 我希望我的android应用程序通过Facebook或Google通过Keycloak成功认证。有什么建议吗?
浏览 35提问于2019-06-17得票数 0
1回答
我正在尝试从一个实例中访问一些s3存储桶,该实例应用了允许完全访问这些s3存储桶的IAM。我能够使用aws cli执行所需的操作。但是,我的应用程序是用Ruby编写的,并使用了fog gem。使用雾,我无法进入那些桶。我唯一能得到的就是拒绝访问。此外,我抓取了所需的密钥:aws_access_key_id=`curl http://169.254.169.254/latest/meta-data/iam/security-credentials/${instance_profile} | grep AccessKeyId | cut -d':' -f2 | sed 's
浏览 3提问于2015-06-05得票数 3
回答已采纳
我有一个在本地运行的服务器,将keycloak作为docker容器运行。我在同一台服务器上运行了另一个应用程序,它使用keycloak进行登录(该应用程序重定向到keycloak URL进行登录)。现在,我已经配置了VPN服务,使我可以通过IP (不是本地服务器IP,而是使用VPN服务配置的IP )访问远程PC上的此应用程序。现在的问题是,当我从远程PC (在VPN服务中配置了IP)启动此应用程序时,该应用程序会尝试重定向到在本地服务器(使用本地服务器IP )上运行的密钥罩服务,并且由于远程PC无法访问服务器的本地IP,该过程将失败。有没有像这样的实现,或者任何其他我可以让它工作的方法?(我仍
浏览 3提问于2021-11-23得票数 0
我用IdentityServer4创建一个令牌,我复制这个,我只修改它
在IdentityServer -> 中
public static IEnumerable<Client> GetClients()
{
return new List<Client>
{
new Client
{
ClientId = "client",
AllowedGrantTypes = GrantTypes.ClientCredentials,
浏览 2提问于2019-12-02得票数 1
我有一个托管在Kubernetes中的Keycloak服务器。当我请求外部身份提供商(如Google/Facebook)时,会自动在重定向url中使用主机名。如何更改身份提供程序的重定向URL?
从Keycloak自动生成的redirect_url:http://keyclaok:8080/auth/realms/{MY_REALM}/borker/google/endpoint
我所期望的:http://www.example.com/my-custom-callback/endpoint,这个url将重定向到原始的keyclaok端点。
浏览 30提问于2020-02-10得票数 1
回答已采纳
我试图使用Keycloak API (在node中通过keycloak-admin库),但我系统地得到了错误403。
我通过这个库成功地获得了一个访问令牌;通过调用/auth/realms/master/protocol/openid-connect/token (在主域上)。
当我查看我的令牌时,我似乎拥有能够查询用户的正确角色:
{ "jti": "xx-..", "exp": 1585561478, "nbf": 0, "iat": 1585561418, "iss": "https:
浏览 1提问于2020-03-30得票数 0
2回答
我正在阅读关于JWKS的文章,并找到了关于关键旋转概念- 的信息。
让我们假设我在我的应用程序中使用了JWKS,但是我不定期地获取它们,所以只是硬编码。单键JSON对象看起来像
{
"kty": "RSA",
"e": "xxx",
"use": "sig",
"kid": "xxx",
"x5t": "xx",
"x5c": [
&
浏览 10提问于2021-04-16得票数 15
回答已采纳
尝试对具有特定用户权限的DynamoDB表执行CRUD操作(创建、读取、更新、删除)。 因此,我已经为我的表以及与该策略相关联的用户角色创建了IAM策略。我还创建了我的用户和身份池。我相信剩下的就是让我来做实际的编码了。 所以我找到了亚马逊提供的CRUD SDK:https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/GettingStarted.Js.03.html SDK提供了对所需表执行CRUD操作的函数。这太棒了。不过,根据我为表配置的权限,我不太确定如何集成特定用户。 <html>
<hea
浏览 15提问于2019-05-24得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
