php - 带有 Keycloak 的 Symfony OAuth2 返回 invalid_token : Token verification failed-6ren

php - 带有 Keycloak 的 Symfony OAuth2 返回 invalid_token : Token verification failed

转载作者：行者123 更新时间：2023-12-05 05:49:42

目标

我正在尝试使用 Keycloak 和库在 Symfony 6 中设置 OAuth2 knpuniversity/oauth2-client-bundle和 stevenmaguire/oauth2-keycloak .一切都使用 docker compose (v2.2) 进行设置，我正在使用 Traefik (v2.5) 作为代理。

问题

当尝试验证用户时，转到 /connect/keycloak 后，成功重定向到 https://keycloak.example.local/auth/realms/.../protocol/openid-connect/auth，登录成功并重定向回/connect/keycloak/check，我一直收到 token 验证失败的错误。

IdentityProviderException
HTTP 500 Internal Server Error
invalid_token: Token verification failed

对底层 guzzle 响应的进一步检查显示 401 statusCode 以及显示错误的 WWW-Authenticate header :

"Bearer realm="redacted", error="invalid_token", error_description="Token verification failed"

申请

我在我的 Symfony 6 (PHP 8.1) 应用程序中设置了以下内容:

config\packages\framework.yaml

  session:
    enabled: true
    handler_id: Symfony\Component\HttpFoundation\Session\Storage\Handler\RedisSessionHandler
    cookie_secure: auto
    cookie_samesite: lax

config\packages\knpu_oauth2_client.yaml

knpu_oauth2_client:
  http_client_options:
    timeout: 0
    proxy: 'http://keycloak:8080'
    verify: false
  clients:
    keycloak:
      type: keycloak
      client_id: '%env(OAUTH_KEYCLOAK_CLIENT_ID)%'
      client_secret: '%env(OAUTH_KEYCLOAK_CLIENT_SECRET)%'
      redirect_route: '%env(OAUTH_KEYCLOAK_REDIRECT_ROUTE)%'
      redirect_params: { }
      auth_server_url: '%env(OAUTH_KEYCLOAK_URL)%'
      realm: '%env(OAUTH_KEYCLOAK_REALM)%'

config\packages\security.yaml

...
  providers:
    oauth:
      id: knpu.oauth2.user_provider
  firewalls:
    dev:
      pattern: ^/(_(profiler|wdt)|css|images|js)/
      security: false
    main:
      lazy: true
      provider: oauth
      custom_authenticator: App\Security\KeycloakAuthenticator

App\Controller\KeycloakController

namespace App\Controller;

use KnpU\OAuth2ClientBundle\Client\ClientRegistry;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\RedirectResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\Routing\Annotation\Route;

/**
 * Class KeycloakController
 */
final class KeycloakController extends AbstractController
{
    #[Route('/connect/keycloak', name: 'connect_keycloak_start')]
    public function connectAction(
        ClientRegistry $clientRegistry
    ): RedirectResponse {
        return $clientRegistry->getClient('keycloak')->redirect(['email'], []);
    }

    #[Route('/connect/keycloak/check', name: 'connect_keycloak_check')]
    public function connectCheckAction(
        Request $request,
        ClientRegistry $clientRegistry
    ) {
    }
}

App\Security\KeycloakAuthenticator

namespace App\Security;

use Doctrine\ORM\EntityManagerInterface;
use KnpU\OAuth2ClientBundle\Client\ClientRegistry;
use KnpU\OAuth2ClientBundle\Client\Provider\KeycloakClient;
use KnpU\OAuth2ClientBundle\Security\Authenticator\OAuth2Authenticator;
use Symfony\Component\HttpFoundation\RedirectResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\RouterInterface;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
use Symfony\Component\Security\Http\Authenticator\Passport\Badge\UserBadge;
use Symfony\Component\Security\Http\Authenticator\Passport\Passport;
use Symfony\Component\Security\Http\Authenticator\Passport\SelfValidatingPassport;

/**
 * Class KeycloakAuthenticator
 */
class KeycloakAuthenticator extends OAuth2Authenticator
{
    private $clientRegistry;
    private $entityManager;
    private $router;

    /**
     * KeycloakAuthenticator constructor.
     * @param  ClientRegistry  $clientRegistry
     * @param  EntityManagerInterface  $em
     * @param  RouterInterface  $router
     */
    public function __construct(ClientRegistry $clientRegistry, EntityManagerInterface $em, RouterInterface $router)
    {
        $this->clientRegistry = $clientRegistry;
        $this->entityManager = $em;
        $this->router = $router;
    }

    /**
     * @param  Request  $request
     * @return bool|null
     */
    public function supports(Request $request): ?bool
    {
        return $request->attributes->get('_route') === 'connect_keycloak_check';
    }

    /**
     * @param  Request  $request
     * @return Passport
     */
    public function authenticate(Request $request): Passport
    {
        /** @var KeycloakClient $client */
        $client = $this->clientRegistry->getClient('keycloak');
        $accessToken = $this->fetchAccessToken($client);

        return new SelfValidatingPassport(
            new UserBadge($accessToken->getToken(), function () use ($accessToken, $client) {
                return $client->fetchUserFromToken($accessToken);
            })
        );
    }

    /**
     * @param  Request  $request
     * @param  TokenInterface  $token
     * @param  string  $firewallName
     * @return Response|null
     */
    public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
    {
        return new RedirectResponse($this->router->generate('admin'));
    }

    /**
     * @param  Request  $request
     * @param  AuthenticationException  $exception
     * @return Response|null
     */
    public function onAuthenticationFailure(Request $request, AuthenticationException $exception): ?Response
    {
        $message = strtr($exception->getMessageKey(), $exception->getMessageData());

        return new Response($message, Response::HTTP_FORBIDDEN);
    }
}

Docker 组合

docker-compose.yml - 应用

  phpfpm:
    build:
      context: docker/php
      dockerfile: Dockerfile
      args:
        PHP_VERSION: ${PHP_VERSION}
    container_name: app_phpfpm
    user: ${UID}:${GID}
    security_opt:
      - no-new-privileges:true
    restart: always
    environment:
      - PHP_OPCACHE_ENABLE=${OPCACHE_ENABLE}
      - PHP_OPCACHE_VALIDATE_TIMESTAMPS=${OPCACHE_VALIDATE_TIMESTAMPS}
      - PHP_OPCACHE_PRELOAD_ENV=${APP_ENV}
    volumes:
      - .:/app
      - ~/certs:/certs
      - ./docker/php/conf/opcache.ini:/usr/local/etc/php/conf.d/opcache.ini
      - ./docker/php/conf/php.ini:/usr/local/etc/php/conf.d/php.ini
      - ./docker/php/conf/www.conf:/usr/local/etc/php-fpm.d/www.${APP_DOMAIN}.conf
    networks:
      - proxy
      - app-network

  apache:
    build:
      context: docker/apache
      dockerfile: Dockerfile
      args:
        APACHE_VERSION: ${APACHE_VERSION}
    container_name: app_apache
    security_opt:
      - no-new-privileges:true
    restart: always
    volumes:
      - .:/app
      - apache_log:/var/log/apache2
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.${APP_NAME}-apache-secure.entrypoints=websecure"
      - "traefik.http.routers.${APP_NAME}-apache-secure.rule=Host(`${APP_DOMAIN}`, `www.${APP_DOMAIN}`)"
      - "traefik.http.routers.${APP_NAME}-apache-secure.service=${APP_NAME}-apache-service"
      - "traefik.http.routers.${APP_NAME}-apache-secure.tls=true"
      - "traefik.http.routers.${APP_NAME}-apache-secure.middlewares=secure-headers@file"
      - "traefik.http.services.${APP_NAME}-apache-service.loadbalancer.server.port=80"
      - "traefik.docker.network=proxy"
    networks:
      - proxy
      - app-network

docker-compose.yml - keycloak (16.1.0)

  keycloak:
    image: jboss/keycloak:${KEYCLOAK_VERSION}
    container_name: keycloak
    depends_on:
      - keycloak-postgres
    environment:
      DB_VENDOR: postgres
      DB_ADDR: keycloak_postgres
      DB_PORT: 5432
      DB_DATABASE: ${KEYCLOAK_STORAGE_POSTGRES_DATABASE}
      DB_USER: ${KEYCLOAK_STORAGE_POSTGRES_USERNAME}
      DB_PASSWORD: ${KEYCLOAK_STORAGE_POSTGRES_PASSWORD}
      KEYCLOAK_USER: ${KEYCLOAK_USERNAME}
      KEYCLOAK_PASSWORD: ${KEYCLOAK_PASSWORD}
      KEYCLOAK_HOSTNAME: keycloak.${APP_DOMAIN}
      PROXY_ADDRESS_FORWARDING: 'true'
      KEYCLOAK_LOGLEVEL: DEBUG
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.keycloak-secure.entrypoints=websecure"
      - "traefik.http.routers.keycloak-secure.rule=Host(`keycloak.${APP_DOMAIN}`, `www.keycloak.${APP_DOMAIN}`)"
      - "traefik.http.routers.keycloak-secure.service=keycloak-service"
      - "traefik.http.routers.keycloak-secure.tls=true"
      - "traefik.http.services.keycloak-service.loadbalancer.passhostheader=true"
      - "traefik.http.services.keycloak-service.loadbalancer.server.port=8080"
      - "traefik.docker.network=proxy"
    networks:
      - proxy
      - keycloak-network

docker-compose.yml - traefik (2.5)

  traefik:
    image: traefik:v${TRAEFIK_VERSION}
    container_name: traefik
    security_opt:
      - no-new-privileges:true
    ports:
      - 80:80
      - 443:443
      - 8080:8080
    restart: always
    environment:
      CF_API_EMAIL: ${CF_EMAIL}
      CF_API_KEY: ${CF_API_KEY}
    volumes:
      - ./docker/traefik/config/traefik.yml:/traefik.yml:ro
      - ./docker/traefik/config/dynamic:/dynamic:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /etc/localtime:/etc/localtime:ro
      - /usr/share/zoneinfo:/usr/share/zoneinfo:ro
      - ~/certs:/certs
    networks:
      - proxy
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.traefik-secure.entrypoints=websecure"
      - "traefik.http.routers.traefik-secure.rule=Host(`traefik.${APP_DOMAIN}`, `www.traefik.${APP_DOMAIN}`)"
      - "traefik.http.routers.traefik-secure.service=api@internal"
      - "traefik.http.routers.traefik-secure.tls=true"
      - "traefik.docker.network=proxy"

traefik.yml

api:
  dashboard: true

log:
  format: json
  level: DEBUG

entryPoints:
  web:
    address: :80
    http:
      redirections:
        entryPoint:
          to: websecure

  websecure:
    address: :443

providers:
  docker:
    endpoint: "unix:///var/run/docker.sock"
    exposedByDefault: false
    watch: true
    network: proxy
  file:
    directory: /dynamic
    watch: true

动态/http.yml

http:
  middlewares:
    secure-headers:
      headers:
        frameDeny: true
        browserXssFilter: true
        contentTypeNosniff: true
        forceSTSHeader: true
        stsIncludeSubdomains: true
        stsPreload: true
        stsSeconds: 63072000
        customFrameOptionsValue: SAMEORIGIN
        referrerPolicy: "strict-origin-when-cross-origin"
        customRequestHeaders:
          X-Forwarded-Proto: https
          X-Robots-Tag: "none,noarchive,nosnippet,notranslate,noimageindex,"

将代理设置为外部网络。

key 斗篷

我已经按如下方式设置了客户端，并使用基本的Client Id 和 Secret(没有签名的 JWT)配置了 Credentials。

检查事件时，唯一不同的是第一个使用的 IP 地址。 LOGIN 操作使用客户端 IP，而 CODE_TO_TOKEN 操作使用 docker 容器的 IP。

不知道这是否与 token 验证失败有关。

此外， session 似乎已使用用户 ip 正确设置。

调试

尝试调试身份验证进度后，我注意到登录后返回的 access_token 与用于获取用户信息的相同。所以它没有改变或任何东西(我可以想象导致错误)。

已经(尝试)调试了 3 天，但我一无所获。似乎实际上没有找到可以帮助我进一步调试的类似案例。我不知道我是否遗漏了一些明显的东西，但我现在没主意了。感谢您提供任何帮助。

最佳答案

这对我有用。也许这对您也有帮助:https://github.com/stevenmaguire/oauth2-keycloak/issues/43#issuecomment-1066598308

好像是token里面的“issuer”有问题。

关于php - 带有 Keycloak 的 Symfony OAuth2 返回 invalid_token : Token verification failed，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/70626445/

文章推荐： python - 如何在 python 中绘制时间序列上的一个点

文章推荐： Docker-compose 找不到包

文章推荐： html - 具有多行标题和动态高度的 React Material-UI 粘性表

symfony - 解压 symfony/symfony
我开始从事一个用 Symfony 2.8 编写的大型项目。将整个项目升级到 SF 3 需要数百小时，现在还不可能。我想到了一个想法，将 symfony/symfony 包解压到它替换的单个包中(com
symfony - 订阅者调用两次 symfony
我在提交表单后使用 FOSUserEvents，但订阅者调用了两次。这样我的验证码第一次有效第二次无效这是我的代码 router = $router; $this->request
symfony - symfony 形式的问题
我有以下路线: blog_show: path: /test/123 defaults: { _controller: TotalcanBravofillBundle:Te
symfony - Symfony 中的功能测试
我是测试新手。我想测试我的功能。我已经成功安装了 phpUnit。我在互联网上查看了许多教程。但我无法获得有关测试的正确信息。这是我的功能代码: public function loginAction
symfony - Symfony 上的批量请求
我正在尝试重现 facebook batch requests 的行为在他们的图形 api 上运行。所以我认为最简单的解决方案是在 Controller 上向我的应用程序发出几个请求，例如: pub
symfony - Symfony 中超酷的进度条
在 Symfony Progress Bar documentation有一个超酷酒吧的示例图像。不幸的是，看起来文档的其余部分没有解释如何获得这样的结果。这是图片，以防您错过: 我怎么才能得到它？
symfony - Symfony Finder会忽略以点开头的文件
我使用Finder发送假脱机电子邮件，但是自动名称生成器将点放在文件名中，有时它们出现在文件的开头。查找程序似乎无法获取具有该名称的文件-那些文件被隐藏了……有人经历过这种行为吗？有什么建议如何使用
symfony - Symfony 是否在寻找服务？
我正在尝试进行 LDAP 身份验证，我目前遇到此类错误: ServiceNotFoundException: The service "security.firewall.map.context.ma
symfony - 断言验证空数组集合 symfony
有没有办法验证和检查集合数组是否为空。我已经尝试过: /** * @Assert\NotBlank() * @Assert\Length( min = 1) */ protected $work
symfony - Symfony + Doctrine提供的特定于环境的数据固定装置
使用Smyfony2和Doctrin2，可以使用以下示例创建数据固定装置:http://symfony.com/doc/current/bundles/DoctrineFixturesBundle/i
symfony - Symfony 2错误处理异常与Flashbag
我看到在大多数Symfony 2示例中，例如，不存在记录时，Symfony 2会引发异常。我认为这种方法对最终用户不友好。为什么有人更喜欢引发异常而不在Flashbag上添加一些错误消息？最佳答案
symfony - Symfony 不识别服务
我对项目中的以下服务有疑问: app.security.guardAuthenticatorLoginPassword: class: AppBundle\Security\LoginPa
symfony - Symfony 3的Docker权限
symfony缓存和登录Docker容器存在问题。 Web服务器从www-data用户和组执行，当我使用docker上安装的php从docker容器中清除symfony缓存时，它从root执行。因此
symfony - 检索服务中的参数 - Symfony
我想了解 symfony 中的服务我已阅读http://symfony.com/doc/2.3/book/service_container.html#creating-configuring-se
symfony - Symfony 中的数组集合
因为我对 Symfony 和 Doctrine 还很陌生，所以我有一个可能很愚蠢的问题;-) 有人可以用简单的词语向我解释集合(尤其是实体中的ArrayCollections)吗？它是什么以及何时以及
symfony - 如何检查用户是否已登录 Symfony？
我收到了这个表格: {{ form_start(form) }} {{ form_end(form) }} 我想检查用户是否登录，我这样做了: {% if is_g
symfony - 如何在子目录中部署 Symfony？
我的网站已准备好部署，我正在尝试将其设置为在线。一些信息: 主持人是 OVH。它不允许 SSH，我必须使用 FTP 发送文件。也没有命令行。我现在希望能够在子目录中设置网站:/www/test(
symfony - Symfony:找不到命令
过去几个月以来，我一直在尝试与symfony合作。昨晚我自动删除了不需要的存储库。之后，我无法使用symfony命令创建新的symfony项目。当我在终端中运行Symfony new Security
symfony - symfony CLI is installed but path in environnement variable not working(Symfony-symfony CLI已安装，但环境变量中的路径不起作用)
In the environnement variable, then in system variable, I edited the path and added在环境变量中，然后在系统变量
symfony - 从 Symfony 1.4 升级到 Symfony 4
我们有一个 Symfony 1.4 应用程序，想升级到 Symfony 4。是否有可能或者我们必须重新编程该应用程序？我们询问了我们附近的一家软件公司，他们告诉我们必须重新编写应用程序。最佳答案

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城