使用 NGINX 代理服务器的 Keycloak 未验证其余 api

2023-11-21

我有一个示例应用程序，可以在没有 nginx 的情况下在本地正确保护其余 api。现在，当我将其放在 nginx 代理后面的生产环境中时，它不起作用。没有错误。它允许所有请求。

带 ssl 的前端服务器是https://frontend.com

带 ssl 的后端服务器是https://backend.com

Keycloak代理转发为true

前端服务器（9000 上的节点服务器） NGINX Keycloak（在 8180 上运行）

nginx 文件示例

upstream keycloak_server {
  server localhost:8180;
}

upstream node_server {
  server localhost:9000;
}

location /auth/ {
  proxy_pass http://keycloak_server;
  proxy_http_version 1.1;
  proxy_set_header Host              $host;
  proxy_set_header X-Real-IP         $remote_addr;
  proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-Proto $scheme;
}  
location / {
  proxy_pass http://node_server;
  proxy_http_version 1.1;
  proxy_set_header Host              $host;
  proxy_set_header X-Real-IP         $remote_addr;
  proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-Proto $scheme;
}

前端服务器使用 Angular 调用后端 api。 REST api 调用看起来像https://backend.com/callTest

后端服务器（在 tomcat 上运行） NGINX Spring Boot（带有 keycloak）

nginx 示例

location / {
  proxy_pass http://127.0.0.1:8080/dt-1.0/;
  proxy_http_version 1.1;
  proxy_set_header Host               $host;
  proxy_set_header X-Real-IP          $remote_addr;
  proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-Proto  $scheme;
}

在角度 keycloak.json 中看起来像

{
  "realm": "demo",
  "auth-server-url": "https://frontend.com/auth",
  "ssl-required": "none",
  "resource": "tutorial-frontend",
  "public-client": true
}

在 Spring Boot 中 keycloak 属性看起来像

  keycloak.auth-server-url=https://frontend.com/auth
  keycloak.realm=demo
  keycloak.resource=tutorial-frontend
  keycloak.public-client=true
  keycloak.bearer-only = true
  keycloak.cors = true
  keycloak.security-constraints[0].authRoles[0]=user
  keycloak.security-constraints[0].securityCollections[0].patterns[0]=/*

请让我知道如何纠正这个问题。我真的很感激。

三年后，我又遇到了同样的问题。也许你已经解决了，但我想还有很多人和我一样遇到过这个问题。我的解决方案是使用开放式的。你会发现很多openresty的教程或者代码片段。这里我就不多说了。

我只是在openresty认证通过后将access_token放在请求头中，就像这样

local opts = {
    redirect_uri_path = "/redirect_uri",
    discovery = "https://a.b.c.d:8093/auth/realms/xxx/.well-known/openid-configuration",
    client_id = "client_id",
    client_secret = "client_secret",
    redirect_uri_scheme = "https",
    logout_path = "/logout",
    redirect_after_logout_uri = "https://a.b.c.d:8093/auth/realms/xxx/protocol/openid-connect/logout?redirect_uri=https://a.b.c.d:8093/",
    scope = "openid email",
    access_token_expires_leeway = 0,
    accept_none_alg = false,
    accept_unsupported_alg = false,
    renew_access_token_on_expiry = true,
    session_contents = {access_token=true, id_token = true}
}
local res, err = require("resty.openidc").authenticate(opts)
if err then
    ngx.status = 403
    ngx.say(err)
    ngx.exit(ngx.HTTP_FORBIDDEN)
end
ngx.req.set_header("Authorization", "Bearer " .. res.access_token)

在nginx配置文件中，我这样做了

    location /auth/ {
        proxy_pass http://keycloak:8080/auth/;
        proxy_set_header Host $host:$server_port;
    }

    location / {
        access_by_lua_block {
            require("oidc/acc")()
        }
        try_files $uri $uri/ /index.html;
        index  index.html;
    }

    location  /api/ {
        access_by_lua_block {
            require("oidc/acc")()
        }
        proxy_set_header  Host  $host:$server_port;
        proxy_pass http://gateway:8881/api/;
    }

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

springboot

Nginx

Jboss

Keycloak

nginxreverseproxy

使用 NGINX 代理服务器的 Keycloak 未验证其余 api 的相关文章

Spring Boot 中的 JSTL 支持

虽然我知道有JSP 支持中的一些限制 http docs spring io spring boot docs current reference html boot features developing web applications
Java：枚举：NoClassDefFoundError

我在 J2EE 应用程序中使用枚举时遇到问题我在无状态服务 bean 内的 switch case 中使用枚举在运行时我在 switch 语句上看到以下异常 Caused by java lang NoClassDefFoundErr
Thymeleaf 3 Spring 5 映射加载字符串而不是 HTML

我正在尝试将 Spring 5 和 Thymeleaf 3 一起配置我正在 Eclipse 上工作我使用全新安装构建并使用 springboot run 运行应用程序我已经设置了一个控制器和几个模板但 Thymeleaf 似乎找
断言 Kafka 发送有效

我正在使用 Spring Boot 编写一个应用程序因此要写信给 Kafka 我这样做 Autowired private KafkaTemplate
JBoss 会话超时

我正在尝试编写我的应用程序的一部分以便它可以优雅地处理会话超时但我似乎无法控制测试超时之前的持续时间我正在使用 JBoss 5 1 并且正在修改我的 Web 描述符 web xml 的会话配置以便会话在一分钟后超时仅用于测试
如何更改 Spring OAuth2 上的response_type

这是我使用 Instagram 进行 OAuth2 登录的配置 instagram client clientId clientId clientSecret clientSeret accessTokenUri https api ins
Django + nginx + uwsgi 无法登录

我有非常简单的登录逻辑类似于官方 Django 解决方案 class Login FormView template name login html form class AuthenticationForm def get self a
使用 Spring 的 REST 多部分混合请求（文件+json）

我需要将一个文件和一个 json 一起发送到我的 Spring 控制器我有以下控制器类 Controller RequestMapping perform public class PerformController RequestMap
java.lang.IllegalStateException：未定义负载平衡的 Feign 客户端。您是否忘记包含 spring-cloud-starter-netflix-ribbon ？

我遇到异常 FactoryBean threw exception on object creation nested exception is java lang IllegalStateException No Feign Client
如何在 Spring Boot 1.4 中使用 @DataJpaTest 和 SpringFox @EnableSwagger2 进行切片测试

Re https spring io blog 2016 04 15 testing improvements in spring boot 1 4 https spring io blog 2016 04 15 testing impro
Spring Boot - YML 配置 - 合并时擦除条目

我的应用程序有一个基本 YML 配置在类路径中如下所示 hello world values bar name bar name description bar description foo name foo name descript
spring data mongodb中如何实现聚合分页

spring data mongodb中使用mongotemplate或者mongorepository 如何实现聚合的分页这是对旧帖子的答案但我会提供答案以防其他人在搜索类似内容时出现建立在之前的基础上F rat K K 的解决方
ElasticBeanstalk Java，Spring 活动配置文件

我正在尝试通过 AWS ElasticBeanstalk 启动 spring boot jar 一切正常配置文件为默认有谁知道如何为 java ElasticBeanstalk 应用程序不是 tomcat 设置活动配置文件 spri
如何从表中检索特定列 --- JPA 或 CrudRepository？我只想从用户表中检索电子邮件列

用户模型 Entity Table name user uniqueConstraints UniqueConstraint columnNames email public class User implements Serializab
在 Spring Boot 应用程序中自动装配 ObjectMapper

我需要在 Spring boot 应用程序中使用默认的 ObjectMapper 作为单例实例我可以简单地在我的应用程序中 autowire ObjectMapper 在Spring boot应用程序中默认创建的实例而不创建 Bean
我收到 https://localhost:8080/swagger-ui.html 的 404

I am getting a valid response for http localhost 8080 v2 api docs but while I am trying to access I am getting http loca
具有多个实体查找器的通用 spring jpa 存储库

我的应用程序有超过 250 个表每个表都有 ID 和名称列我正在尝试将我们的应用程序从 hibernate 3 迁移到带有 hibernate 5 的 Spring JPA 4 3 在我当前的休眠层中我有选项 1 public cl
如何使用 Spring Boot 在运行时配置 Micrometer 的监控系统

我对一般指标尤其是微米很陌生所以这可能是一个愚蠢的问题千分尺在其上描述了自己主页 https micrometer io 作为外观没有供应商锁定想想 SLF4J 但为了指标具有对 Netflix Atlas 的内置支持这do
在 Spring Boot Actuator 健康检查 API 中启用日志记录

我正在使用 Spring boot Actuator APIproject https imobilenumbertracker com 拥有一个健康检查端点并通过以下方式启用它 management endpoints web base
Nginx url 限制 502 网关

我有一个问题但我接受绕过此功能的其他建议基本上我在 get 请求中向我的服务器发送大约 3000 个字符的大行文本然后服务器将其作为 url 中的参数发送到谷歌翻译问题当 url gt 1900 个字符时 Nginx 会抛出 5

随机推荐

在javascript中计算单词并将其推入一个对象中

我想实现一个 javascript 程序计算一个单词并返回该单词及其出现的次数例如 hello 2 hello 1 world 1 toString 1 下面是我的代码但我只得到总字数 function words str app r
如何在express.js中抛出404错误？

在 app js 中我有 catch 404 and forward to error handler app use function req res next var err new Error Not Found err statu
在运行时将图像添加到 Crystal Report

我想在运行时将图像添加到水晶报告中我目前正在使用第二个数据表来执行此操作其中仅包含一个字节字段然后在报告上包含一个 blob 字段然而这感觉就像一个黑客如果第一个主表中没有数据那么由于某种原因图像不会显示是否可以使用代码或其
Web应用程序后台进程，新手设计问题

经过多年的桌面应用程序开发我正在构建我的第一个 Web 应用程序我正在使用 Django Python 但也许这是一个完全通用的问题我不确定所以请注意这可能是一个超级新手问题我的一个用户进程涉及服务器中的繁重处理即用户输入一些
WPF TreeView 双击后恢复焦点

我有一个带有 XAML 的 WPF TreeView 如下所示
错误：缺少分隔符

我运行时遇到以下错误make Makefile 168 missing separator Stop 是什么原因造成的如中所示在线手册该错误的最常见原因是行在以下情况下缩进空格 make需要制表符 Correct target tcmd
在 Windows 通用应用程序中检测当前设备

我正在尝试发布的 VS 2013 Update 2 并构建一个示例通用应用程序我创建了一个用户控件并在两个 MainPages 上添加了 GridView 在 Windows Phone 和 Windows 8 上当应用程序在 Win
TypeScript 类装饰器 - 添加类方法

如何使用 TypeScript 和装饰器定义属性例如我有这个类装饰器 function Entity
R 绘图悬停标签文本对齐

我正在为 R 中的绘图中的散点图点添加自定义悬停文本它似乎将文本左对齐居中或右对齐具体取决于文本框是否显示在图的右侧中心或左侧点分别我希望文本始终左对齐无论框的位置如何我已经能够设置字体的样式例如设置颜色和大小但无法更改
获取 NSDate 今天、昨天、本周、上周、本月、上个月...变量

我想做的是让 NSDate 今天昨天本周上周本月上个月变量准备好进行比较以便在 UITableView 的 titleForHeaderInSection 上添加标题我想要的是在下面的代码中手动完成日期 2009 12 11
在 SearchView 中限制 onQueryTextChange

最好的节流方式是什么onQueryTextChange这样我的performSearch 方法每秒仅调用一次而不是每次用户键入时调用 public boolean onQueryTextChange final String newT
当设置 Perl 代码作为脚本或模块运行时，__PACKAGE__ 的原因是什么？

In this 较早的 Stackoverflow 问题尤其是brian d foy 的脚本如何成为模块我已经阅读了如何使用以下技术设置代码以便它可以作为脚本或模块运行 package SomeModule PACKAGE gt ru
Eigen 在小矩阵相乘方面很慢吗？

我编写了一个函数将 10x10 维的特征矩阵相乘然后我写了一个简单的乘法函数CustomMultiply令人惊讶的是这比 Eigen 的实现快了 2 倍我尝试了几个不同的编译标志例如 O2 和 O3 但没有什么区别 include
有没有什么方法可以在 Windows 64 位上的 Postgresql 9.3 64 位或 32 位中成功安装 PLPython？

running CREATE EXTENSION plpython3u给了我错误 The specified module could not be found即使文件位于正确的位置阅读完网上的所有内容后我尝试按照建议下载另一个 pyt
托管 Linux 预览代理上的缓存 Docker 映像

我们正在使用 VSTS 托管 Linux 预览代理在 VSTS 上构建 docker 映像 microsoft aspnetcore build 镜像用于构建 asp net core 应用程序每次触发构建时代理都会从注册表中提取 mi
在data.table中有条件替换数据值的最快方法（速度比较）

为什么第二种方法会因增加data table大小而变慢 library data table DF data table x rep c a b c each 40000000 y sample c 1 3 6 40000000 T v 1
ViewPager 在屏幕旋转时保留旧片段

我在用ViewPager and FragmentStatePagerAdapter显示片段最初添加了 2 个片段 Fragment1 和 Fragment2 在收到服务器响应后将第 3 个片段 Fragment3 添加到第 2 个位置
Javascript classList.remove 无法正常工作

检查这个小提琴 JSFiddle HTML table class myTable tr th Some text th td class align span class someStyle 1 span span class other
Android 4.3 中的用户数据目录

android 4 2以上的用户数据存储在 data user
使用 NGINX 代理服务器的 Keycloak 未验证其余 api

我有一个示例应用程序可以在没有 nginx 的情况下在本地正确保护其余 api 现在当我将其放在 nginx 代理后面的生产环境中时它不起作用没有错误它允许所有请求带 ssl 的前端服务器是https frontend com

使用 NGINX 代理服务器的 Keycloak 未验证其余 api

使用 NGINX 代理服务器的 Keycloak 未验证其余 api 的相关文章

随机推荐

热门标签