Keycloak - 通过 /realms/{realm}/protocol/openid-connect/userinfo 获取用户信息时出现 401 响应 (USER_INFO_REQUEST_ERROR)

2023-12-19

我使用以下 Docker 命令在本地部署了 Keycloak：

docker run -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=管理员 quay.io/keycloak/keycloak:20.0.1 启动开发

我从 Keycloak 那里得到了一个令牌。例子：

eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJMZjRfWHJjWkpTaVJYWlFLS254VS1NdU9FTHA4d3NaaHlLMDQ0UjRIRjdnIn0.eyJleHAiOjE2NZAwODc1MDgsSimlhdCI6MTY3MDA4Nz IwOCwiYXV0aF90aW1lIjoxNjcwMDg2NDcwLCJqdGkiOiIyYWQxODQ5ZC0xMjI0LTQ4YjYtYWZjYy01ZmFjMWZjODY3ZjQiLCJpc3MiOiJodHRwOi8vbG9jYWxob3N0OjgwODAvcmVhbG1z L2RpYWxvZy1mZWF0IiwiYXVkIjoiYWNjb3VudCIsInN1YiI6IjRkYjdiNjg1LTRkyTAtNGZjMy1iNjiI1LTgyZmM1MTdjNjA3NiIsInR5cCI6IkJlYXJlciIsImF6cCI6InNvbWV4NSISIm5vbmN lIjoiR0tNb1JWRTVDajZSVjJMcFQ1Mjg5eVQ3RUdWeFMzZk4iLCJzZXNzaW9uX3N0YXRlIjoiMTY4Y2JmZGQtMmFmYS00Mjk5LWI4YmUTMmExM2FjMjI2NzJiIiwiYWNyIjoiMCIsInJly WxtX2FjY2VzcyI6eyJyb2xlcyI6WyJvZmZsaW5lX2FjY2VzcyIsInVtYV9hdXRob3JpemF0aW9uIiwiZGVmYXVsdC1yb2xlcy1kaWFsb2ctZmVhdCJdfSwicmVzb3VyY2VfYWNjZXNzI jp7ImFjY291bnQiOnsicm9sZXMiOlsibWFuYWdlLWFjY291bnQiLCJtYW5hZ2UtYWNjb3VudC1saW5rcyIsInZpZXctchHJvZmlsZSJdfX0sInNjb3BlIjoib3BlbmlkIHByb2ZpbGUgZW1haWwiLCJza WQiOiIxNjhjYmZkZC0yYWZhLTQyOTktYjhiZS0yYTEzYWMyMjY3MmIiLCJlbWFpbF92ZXJpZmllZCI6dHJ1ZSwibmFtZSI6IkpvaG4gU25vdyIsInByZWZlcnJlZF91c2VybmFtZSI6Impva G4uc25vdyIsImdpdmVuX25hbWUiOiJKb2huIiwiZmFtaWx5X25hbWUiOiJTbm93IiwiZW1haWwiOiJqb2huLnNub3dAeDUucnUifQ.j_rFqVxICtj7NR-myEsWhSkwBeCABplFrmlBuRMAhF4N8Hz doOtExdmw_mXdx60snKTaE5GJHPofjllpM353lY8H9NGxaczUgL20GjVmMhwtihGGBLpiw7TXyGQGkfdBXdweCuS0W1avegXrhRYvCYlFGJMoxsdmskYkDt4DjuESlTkMEOndVjv5LBp3rLB6lRopq0Q g3Abp_rv57KvlVeeul24OKoisFohnZ4VfsiDPAuVW1u1xaYmjCRDlBwIcGosdwasL_WNAgvJkaKdVtvu7NU-ghPa1vQkWJkMZrVIZDsCc5LKZqwspw3U2iOcUc5EDC6FumBWdfvWCx8cszw

其有效负载：

{
  "exp": 1670087508,
  "iat": 1670087208,
  "auth_time": 1670086470,
  "jti": "2ad1849d-1224-48b6-afcc-5fac1fc867f4",
  "iss": "http://localhost:8080/realms/dialog-feat",
  "aud": "account",
  "sub": "4db7b685-4da0-4fc3-b625-82fc517c6076",
  "typ": "Bearer",
  "azp": "somex5",
  "nonce": "GKMoRVE5Cj6RV2LpT5289yT7EGVxS3fN",
  "session_state": "168cbfdd-2afa-4299-b8be-2a13ac22672b",
  "acr": "0",
  "realm_access": {
    "roles": [
      "offline_access",
      "uma_authorization",
      "default-roles-dialog-feat"
    ]
  },
  "resource_access": {
    "account": {
      "roles": [
        "manage-account",
        "manage-account-links",
        "view-profile"
      ]
    }
  },
  "scope": "openid profile email",
  "sid": "168cbfdd-2afa-4299-b8be-2a13ac22672b",
  "email_verified": true,
  "name": "John Snow",
  "preferred_username": "john.snow",
  "given_name": "John",
  "family_name": "Snow",
  "email": "[email protected] /cdn-cgi/l/email-protection"
}

这似乎是有效的。然后我请求http://127.0.0.1:8080/realms/dialog-feat/protocol/openid-connect/userinfo使用令牌：

卷曲--位置--请求 GET 'http://127.0.0.1:8080/realms/dialog-feat/protocol/openid-connect/userinfo'
--header '授权：承载 eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJMZjRfWHJjWkpTaVJYWlFLS254VS1NdU9FTHA4d3NaaHlLMDQ0UjRIRjdnIn0.eyJleHAiOjE2NzAwODc1MDgsImlh dCI6MTY3MDA4NzIwOCwiYXV0aF90aW1lIjoxNjcwMDg2NDcwLCJqdGkiOiIyYWQxODQ5ZC0xMjI0LTQ4YjYtYWZjYy01ZmFjMWZjODY3ZjQiLCJpc3MiOiJodHRwOi8vbG9jYWxob3N0Ojg WODAvcmVhbG1zL2RpYWxvZy1mZWF0IiwiYXVkIjoiYWNjb3VudCISInN1YiI6IjRkYjdiNjg1LTRkyTAtNGZjMy1iNjiI1LTgyZmM1MTdjNjA3NiIsInR5cCI6IkJlyXJlciIsImF6cCI6InNvbW V4NSIsIm5vbmNlIjoiR0tNb1JWRTVDajZSVjJMcFQ1Mjg5eVQ3RUdWeFMzZk4iLCJzZXNzaW9uX3N0YXRlIjoiMTY4Y2JmZGQtMmFmYS00Mjk5LWI4YmUTMmExM2FjMjI2NzJiIiwiYW NyIjoiMCIsInJlYWxtX2FjY2VzcyI6eyJyb2xlcyI6WyJvZmZsaW5lX2FjY2VzcyIsInVtYV9hdXRob3JpemF0aW9uIiwiZGVmYXVsdC1yb2xlcy1kaWFsb2ctZmVhdCJdfSwicmVzb3VyY2 VfYWNjZXNzIjp7ImFjY291bnQiOnsicm9sZXMiOlsibWFuYWdlLWFjY291bnQiLCJtYW5hZ2UtYWNjb3VudC1saW5rcyIsInZpZXctcHJvZmlsZSJdfX0sInNjb3BlIjoib3BlbmlkIHByb2Zpb GUgZW1haWwiLCJzaWQiOiIxNjhjYmZkZC0yYWZhLTQyOTktYjhiZS0yYTEzYWMyMjY3MmIiLCJlbWFpbF92ZXJpZmllZCI6dHJ1ZSwibmFtZSI6IkpvaG4gU25vdyIsInByZWZlcnJlZF91c2V ybmFtZSI6ImpvaG4uc25vdyIsImdpdmVuX25hbWUiOiJKb2huIiwiZmFtaWx5X25hbWUiOiJTbm93IiwiZW1haWwiOiJqb2huLnNub3dAeDUucnUifQ.j_rFqVxICtj7NR-myEsWhSkwBeCABpl FrmlBuRMAhF4N8HzdOOtExdmw_mXdx60snKTaE5GJHPofjllpM353lY8H9NGxaczUgL20GjVmMhwtihGGBLpiw7TXyGQGkfdBXdweCuS0W1avegXrhRYvCYlFGJMoxsdmskYkDt4DjuESlTkMEOndVjv5LB p3rLB6lRopq0Qg3Abp_rv57KvlVeeul24OKoisFohnZ4VfsiDPAuVW1u1xaYmjCRDlBwIcGosdwasL_WNAgvJkaKdVtvu7NU-ghPa1vQkWJkMZrVIZDsCc5LKZqwspw3U2iOcUc5EDC6FumBWdf vWCx8cszw'

但我收到返回的 401 状态代码。例如：

type=USER_INFO_REQUEST_ERROR, realmId=(...), clientId=null, userId=null, ipAddress=(...), error=access_denied, auth_method=validate_access_token

如何解决这个问题？

我的钥匙斗篷设置：

问题似乎是发送到 userinfo 端点的访问令牌的颁发者之间不匹配（i.e.,"iss": "http://localhost:8080/realms/dialog-feat") 以及 userinfo 端点触发的访问令牌验证器所期望的颁发者。

代替：

然后我请求http://127.0.0.1:8080/realms/dialog-feat/protocol/openid-connect/userinfo http://127.0.0.1:8080/realms/dialog-feat/protocol/openid-connect/userinfo使用令牌 (...)：

在 userinfo 端点中使用与您用于获取访问令牌的主机名相同的主机名，例如：

curl http://localhost:8080/realms/dialog-feat/protocol/openid-connect/userinfo -H "Authorization: Bearer (..<your access token..)"

如果问题仍然存在，那么您还面临与中描述的 Keycloak 端点实现相关的问题UserInfo 端点不完全符合标准 https://github.com/keycloak/keycloak/pull/14237.

简而言之，在您对访问令牌的请求中显式添加参数scope=openid。一个例子：

curl --request POST \
        --url "http://localhost:8080/realms/dialog-feat/protocol/openid-connect/token" \
        --data client_id=somex5 \
        --data username=john.snow \
        --data password=...<the password..> \
        --data grant_type=password \
        --data scope=openid

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Keycloak

Keycloak - 通过 /realms/{realm}/protocol/openid-connect/userinfo 获取用户信息时出现 401 响应 (USER_INFO_REQUEST_ERROR) 的相关文章

Keycloak - Infinispan Redis 缓存存储

目前正在以standalone ha模式设置keycloak集群以便能够在docker swarm上运行在 keycloak 中用户会话缓存在嵌入式 infinispan 存储中并且 infinispan 可以配置为跨集群的分布式缓
在 Spring Boot 中使用 Keycloak 实现 JWT、JWE 和 JWS（签名 JWT）

我尝试使用 Spring Boot 和 Keycloak 作为 AuthService 来实现一个简单的 OAuth2 使用签名 JWT 进行客户端身份验证演示应用程序这个想法是 one secured REST service The
${authAdminUrl} 从哪里来以及如何操作它？

我正在尝试设置一个 dockerized keycloak 实例但成功登录后其安全管理控制台不断将我重定向到内部 URL 而不是我在 dns 中设置的 URL 查看设置其根 URL 设置为 authAdminUrl 我可以用实际的
Keycloak，如果选择更新密码操作，则不返回访问令牌

我正在打电话 auth realms master protocol openid connect token通过在正文中发送以下内容来获取访问令牌 grant type password client id example docker
Keycloak 8：已添加用户名“admin”的用户

我无法使用 Ansible 和 Docker Compose 启动 Keycloak 容器我收到错误用户名 admin 的用户已添加到 opt jboss keycloak standalone configuration keyclo
通过 javascript 登录的 Keycloak 多租户实施（网页）

我想在 keycloak 中将不同的领域分配给不同的客户组织 keycloak 的登录是通过一个网页实现的该网页从 keycloak 获取有效令牌然后将其与我从网站发出的其余请求一起传递现在 javascript 适配器需要一个 k
Keycloak 重定向 URI 正在将端口 0 添加到 url

在keycloak 中遇到redirect uri 错误发现 JIRA 记录了相同的问题KEYCLOAK 7237 https issues jboss org browse KEYCLOAK 7237 只是想检查一下是否有解决办法有人
如何验证使用 jwt.io 上的 Keycloak 身份验证提供程序创建的 HS256 签名 JWT 令牌

我正在尝试验证使用本地运行生成的 HS256 JWT 令牌KeyCloak https www keycloak org 身份验证提供程序开启https jwt io https jwt io KeyCloack 实例正在我的本地计算机上的
使用 keycloak 进行 Spring Boot 测试

我正在尝试运行简单的单元测试 Keycloak 以正确的方式配置我测试了它我的 mvc 应用程序正在连接并且用户已通过身份验证但现在我尝试测试我的控制器即使我使用 spring slices keycloak 适配器被调用并给我错
获取用户 keycloak Not Found 异常

我无法像示例中那样获得用户组样品来自看看我们的测试套件例如 UserTest https github com keycloak keycloak blob 2 5 0 Final testsuite integration arqu
吞没的消息：错误：未捕获（承诺）：[对象未定义]

我的登录组件会短暂显示然后被有关承诺中未定义对象的错误消息删除这是承诺的定义 static init Promise
设置 Keycloak 返回的访问令牌的范围

我正在关注这个教程https medium com sairamkrish keycloak integration part 3 integration with python django backend 5dac3b4a8e4e ht
React Router v5.1.2 公共和受保护的经过身份验证和基于角色的路由

目标是将 login 作为唯一的公共路由一旦登录用户就拥有基于用户角色的路由身份验证是使用 Keycloak 完成的我从 keycloak idTokenParsed preferred username 获取用户管理员经理工
验证来自两个不同 URL 的 Keycloak 令牌

我有一个Docker compose具有后端和前端组件的基于系统后端写的是Python Flask并在多个 docker 容器中运行前端编写为TypeScript with Angular 前端通过Restful API与后端进行通信
反向代理后面的 keycloak 重定向

我正在尝试让 keycloak 在 kubernetes 中的 kong 入口后面运行我遇到的问题是 keycloak 正在添加一个它认为它位于返回的网址上的端口要求 auth mydomain com auth回复 auth mydo
在 Docker 中运行 Keycloak 时出错

我试图在 Docker 中运行 Keycloak 但它抛出一个错误这是泊坞窗文件 FROM jboss keycloak 4 1 0 Final WORKDIR opt jboss keycloak COPY realm export j
Cordova Android 应用程序中的网页不可用

编辑我一直在解决这个问题并回顾我的所有步骤我很乐意缩小这个问题的规模并在令人困惑的情况下获得更多确切的细节目前我觉得 Keycloak 似乎只想将我重定向到 https 据我所知这应该是 Wildfly 服务器配置问题编辑我
Keycloak：如何将 Keycloak 用户自动重定向到 OKTA SSO 页面而不是单击按钮？

我已按照指南进行操作https ultimatesecurity pro post okta saml https ultimatesecurity pro post okta saml 到使用 keycloak 配置 OKTA Saml
Keycloak-js updateToken(minValidity) 需要澄清

我在Keycloak js中阅读了很多该方法的示例但没有对以下方法进行明确的解释 updateToken minValidity number KeycloakPromise
如何在keycloak中动态编辑standalone.xml文件

我正在尝试通过 docker 编辑standalone xml 并尝试添加但 keycloak 正在使用它standalone xml 但我可以看到standalone xml 文件中的更改我需要在standalone xml 文件中添

随机推荐

如何将 Npp8u * 转换为 CUdeviceptr

我是cuda驱动程序Api接口的新手但我认为CUdeviceptr看起来像一个句柄参数所以我对CUdeviceptr和npp8u 之间的转换感到困惑 Npp8u src unsigned char temp temp src CUdev
如何获取括号内的括号

我试图将括号保留在由括号包围的字符串内有问题的字符串是 test blue hmmm derp 所需的数组输出是 test and blue hmmm derp 当前输出为 blue hmm and derp 我当前的代码是this ht
jquery 基于单选按钮启用/禁用文本框

在我的页面 jsp 中我有一个单选按钮组和一个文本框最初被禁用每当用户单击单选按钮时应启用文本框当用户单击其他单选按钮时文本框应再次被禁用我可以使用下面的代码启用最初禁用的复选框 DevGroup OTHER click fu
如何在现有项目上使用 Backpack for Laravel？

我正在用 Laravel 构建一个小应用程序我刚刚发现 Backpack 看起来非常漂亮我下载了它我有许可证但我真的不知道如何将它与我现有的文件一起使用到目前为止有 3 个控制器 3 个模型和一些刀片文件也许答案就在文档中的某个
如何实时检测对象并自动跟踪它，而不是用户必须在要跟踪的对象周围绘制边界框？

我有以下代码用户可以按p要暂停视频请在要跟踪的对象周围绘制一个边界框然后按 Enter 回车以跟踪视频源中的该对象 import cv2 import sys major ver minor ver subminor ver cv2
EF4.1 使用按层次结构表继承创建数据库时出现异常

我创建了一个非常简单的项目来演示每个层次结构表的继承在我尝试生成数据库的单元测试中根据配置我收到了许多错误之一没有Required method Map
WebRTC 无法将 Safari 与 Android 版 Chrome 连接

WebRTC 无法将 Safari 与 Android 版 Chrome 连接从桌面版 Chrome 到 Safari 都没有问题另外 Safari Safari 没有任何问题 Apple 自 iOS 11 和桌面版 Safari 11
启动新控制器时停止 $timeout

我每 2 秒轮询一次数据以使其在页面上保持更新我的问题是当我访问另一个页面时超时保持活动状态当我访问新页面时如何取消超时 function IndexCtrl scope timeout RestData scope rd funct
WaitForSingleObject超时解决

当我使用等待非信号事件时等待单个对象函数中我发现在某些情况下调用会在小于指定的超时期限内返回 WAIT TIMEOUT 只需在超时设置为 1000 毫秒的情况下循环调用我就看到调用在低至 990 毫秒的时间内返回在 WinXP 上运行
如何从注入的脚本调用函数？

这是我的代码内容脚本 js function loadScript script url var head document getElementsByTagName head 0 var script document createEle
`|_| 和有什么区别异步移动 {}` 和`异步移动 |_| {}`

让我们考虑以下示例 main rs use futures executor block on use futures future FutureExt TryFutureExt async fn fut1 gt Result
REST 与基于会话的应用程序

我有一个关于 REST 与其他 Web 服务的问题但我不知道从哪里开始我知道 REST 是什么以及用它实现的服务应该如何工作我也对 SOAP 和 RPC 有基本的了解但我真的无法说出 REST 与基于会话的应用程序有何不同这个问题的
针对 iPad 的不同方向重新排列表格视图中的对象

我有一个充满行的表格每行包含图像标题和一个按钮当用户更改 iPad 的方向时按钮应根据 iPad 的方向重新排列请建议我如何重新排列 uitableview 单元格中的对象提前致谢这会起作用 void viewWillAppe
有关在 Delphi 中使用嵌套“With”语句的任何资源/教程吗？

我正在尝试正确处理 delphi 中的 with 语句总的来说做简单的事情似乎相当简单但我有兴趣找到一些关于使用嵌套 with 语句的好的代码示例和或教程例如 with object1 object2 etc do begin s
JMeter：如何在执行之间清理 props？

在我的测试计划中我在道具内设置了一个对象但是如果我连续运行测试计划两次第二次执行它时该对象将具有第一次的值测试结束后有什么办法可以清理道具吗我只能找到如何在每个线程执行后清理它您可以使用以下命令更新 JSR223 元素中
如何调试插件/gem？（带有设置和使用 ruby-debug gem 的有用注释）

有没有像我们使用 logger debug 调试模型控制器的方法或者更好的方法谢谢你 Edit 1 Using ruby 调试 http bashdb sourceforge net ruby debug home page html
mysql json where 子句

我有一个表表 PRICING DATA 中包含以下 json 数据类型列 pricingJson type json nullable 我正在使用sql来查询表 select from PRICING DATA where pricing
API 21之前的Android 12闪屏

我正在尝试将我的应用程序升级到目标 android 31 它引入了闪屏 API 因此我遵循了提到的迁移过程here https developer android com about versions 12 splash screen mi
如何使用 PHP 从 JSON 中提取和访问数据？

这是一个一般性的参考问题和答案涵盖许多永无休止的问题如何访问 JSON 中的数据问题它在这里处理在 PHP 中解码 JSON 并访问结果的广泛基础知识我有 JSON type donut name Cake toppings id
Keycloak - 通过 /realms/{realm}/protocol/openid-connect/userinfo 获取用户信息时出现 401 响应 (USER_INFO_REQUEST_ERROR)

我使用以下 Docker 命令在本地部署了 Keycloak docker run p 8080 8080 e KEYCLOAK ADMIN admin e KEYCLOAK ADMIN PASSWORD 管理员 quay io keycl

Keycloak - 通过 /realms/{realm}/protocol/openid-connect/userinfo 获取用户信息时出现 401 响应 (USER_INFO_REQUEST_ERROR)

Keycloak - 通过 /realms/{realm}/protocol/openid-connect/userinfo 获取用户信息时出现 401 响应 (USER_INFO_REQUEST_ERROR) 的相关文章

随机推荐

热门标签