个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我正在尝试使用 Keycloak 和库在 Symfony 6 中设置 OAuth2 knpuniversity/oauth2-client-bundle和 stevenmaguire/oauth2-keycloak .一切都使用 docker compose (v2.2) 进行设置,我正在使用 Traefik (v2.5) 作为代理。
当尝试验证用户时,转到 /connect/keycloak 后,成功重定向到 https://keycloak.example.local/auth/realms/.../protocol/openid-connect/auth,登录成功并重定向回/connect/keycloak/check,我一直收到 token 验证失败的错误。
IdentityProviderException
HTTP 500 Internal Server Error
invalid_token: Token verification failed
对底层 guzzle 响应的进一步检查显示 401 statusCode 以及显示错误的 WWW-Authenticate header :
"Bearer realm="redacted", error="invalid_token", error_description="Token verification failed"
我在我的 Symfony 6 (PHP 8.1) 应用程序中设置了以下内容:
config\packages\framework.yaml
session:
enabled: true
handler_id: Symfony\Component\HttpFoundation\Session\Storage\Handler\RedisSessionHandler
cookie_secure: auto
cookie_samesite: lax
config\packages\knpu_oauth2_client.yaml
knpu_oauth2_client:
http_client_options:
timeout: 0
proxy: 'http://keycloak:8080'
verify: false
clients:
keycloak:
type: keycloak
client_id: '%env(OAUTH_KEYCLOAK_CLIENT_ID)%'
client_secret: '%env(OAUTH_KEYCLOAK_CLIENT_SECRET)%'
redirect_route: '%env(OAUTH_KEYCLOAK_REDIRECT_ROUTE)%'
redirect_params: { }
auth_server_url: '%env(OAUTH_KEYCLOAK_URL)%'
realm: '%env(OAUTH_KEYCLOAK_REALM)%'
config\packages\security.yaml
...
providers:
oauth:
id: knpu.oauth2.user_provider
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
main:
lazy: true
provider: oauth
custom_authenticator: App\Security\KeycloakAuthenticator
App\Controller\KeycloakController
namespace App\Controller;
use KnpU\OAuth2ClientBundle\Client\ClientRegistry;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\RedirectResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\Routing\Annotation\Route;
/**
* Class KeycloakController
*/
final class KeycloakController extends AbstractController
{
#[Route('/connect/keycloak', name: 'connect_keycloak_start')]
public function connectAction(
ClientRegistry $clientRegistry
): RedirectResponse {
return $clientRegistry->getClient('keycloak')->redirect(['email'], []);
}
#[Route('/connect/keycloak/check', name: 'connect_keycloak_check')]
public function connectCheckAction(
Request $request,
ClientRegistry $clientRegistry
) {
}
}
App\Security\KeycloakAuthenticator
namespace App\Security;
use Doctrine\ORM\EntityManagerInterface;
use KnpU\OAuth2ClientBundle\Client\ClientRegistry;
use KnpU\OAuth2ClientBundle\Client\Provider\KeycloakClient;
use KnpU\OAuth2ClientBundle\Security\Authenticator\OAuth2Authenticator;
use Symfony\Component\HttpFoundation\RedirectResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Routing\RouterInterface;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
use Symfony\Component\Security\Http\Authenticator\Passport\Badge\UserBadge;
use Symfony\Component\Security\Http\Authenticator\Passport\Passport;
use Symfony\Component\Security\Http\Authenticator\Passport\SelfValidatingPassport;
/**
* Class KeycloakAuthenticator
*/
class KeycloakAuthenticator extends OAuth2Authenticator
{
private $clientRegistry;
private $entityManager;
private $router;
/**
* KeycloakAuthenticator constructor.
* @param ClientRegistry $clientRegistry
* @param EntityManagerInterface $em
* @param RouterInterface $router
*/
public function __construct(ClientRegistry $clientRegistry, EntityManagerInterface $em, RouterInterface $router)
{
$this->clientRegistry = $clientRegistry;
$this->entityManager = $em;
$this->router = $router;
}
/**
* @param Request $request
* @return bool|null
*/
public function supports(Request $request): ?bool
{
return $request->attributes->get('_route') === 'connect_keycloak_check';
}
/**
* @param Request $request
* @return Passport
*/
public function authenticate(Request $request): Passport
{
/** @var KeycloakClient $client */
$client = $this->clientRegistry->getClient('keycloak');
$accessToken = $this->fetchAccessToken($client);
return new SelfValidatingPassport(
new UserBadge($accessToken->getToken(), function () use ($accessToken, $client) {
return $client->fetchUserFromToken($accessToken);
})
);
}
/**
* @param Request $request
* @param TokenInterface $token
* @param string $firewallName
* @return Response|null
*/
public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
{
return new RedirectResponse($this->router->generate('admin'));
}
/**
* @param Request $request
* @param AuthenticationException $exception
* @return Response|null
*/
public function onAuthenticationFailure(Request $request, AuthenticationException $exception): ?Response
{
$message = strtr($exception->getMessageKey(), $exception->getMessageData());
return new Response($message, Response::HTTP_FORBIDDEN);
}
}
docker-compose.yml - 应用
phpfpm:
build:
context: docker/php
dockerfile: Dockerfile
args:
PHP_VERSION: ${PHP_VERSION}
container_name: app_phpfpm
user: ${UID}:${GID}
security_opt:
- no-new-privileges:true
restart: always
environment:
- PHP_OPCACHE_ENABLE=${OPCACHE_ENABLE}
- PHP_OPCACHE_VALIDATE_TIMESTAMPS=${OPCACHE_VALIDATE_TIMESTAMPS}
- PHP_OPCACHE_PRELOAD_ENV=${APP_ENV}
volumes:
- .:/app
- ~/certs:/certs
- ./docker/php/conf/opcache.ini:/usr/local/etc/php/conf.d/opcache.ini
- ./docker/php/conf/php.ini:/usr/local/etc/php/conf.d/php.ini
- ./docker/php/conf/www.conf:/usr/local/etc/php-fpm.d/www.${APP_DOMAIN}.conf
networks:
- proxy
- app-network
apache:
build:
context: docker/apache
dockerfile: Dockerfile
args:
APACHE_VERSION: ${APACHE_VERSION}
container_name: app_apache
security_opt:
- no-new-privileges:true
restart: always
volumes:
- .:/app
- apache_log:/var/log/apache2
labels:
- "traefik.enable=true"
- "traefik.http.routers.${APP_NAME}-apache-secure.entrypoints=websecure"
- "traefik.http.routers.${APP_NAME}-apache-secure.rule=Host(`${APP_DOMAIN}`, `www.${APP_DOMAIN}`)"
- "traefik.http.routers.${APP_NAME}-apache-secure.service=${APP_NAME}-apache-service"
- "traefik.http.routers.${APP_NAME}-apache-secure.tls=true"
- "traefik.http.routers.${APP_NAME}-apache-secure.middlewares=secure-headers@file"
- "traefik.http.services.${APP_NAME}-apache-service.loadbalancer.server.port=80"
- "traefik.docker.network=proxy"
networks:
- proxy
- app-network
docker-compose.yml - keycloak (16.1.0)
keycloak:
image: jboss/keycloak:${KEYCLOAK_VERSION}
container_name: keycloak
depends_on:
- keycloak-postgres
environment:
DB_VENDOR: postgres
DB_ADDR: keycloak_postgres
DB_PORT: 5432
DB_DATABASE: ${KEYCLOAK_STORAGE_POSTGRES_DATABASE}
DB_USER: ${KEYCLOAK_STORAGE_POSTGRES_USERNAME}
DB_PASSWORD: ${KEYCLOAK_STORAGE_POSTGRES_PASSWORD}
KEYCLOAK_USER: ${KEYCLOAK_USERNAME}
KEYCLOAK_PASSWORD: ${KEYCLOAK_PASSWORD}
KEYCLOAK_HOSTNAME: keycloak.${APP_DOMAIN}
PROXY_ADDRESS_FORWARDING: 'true'
KEYCLOAK_LOGLEVEL: DEBUG
labels:
- "traefik.enable=true"
- "traefik.http.routers.keycloak-secure.entrypoints=websecure"
- "traefik.http.routers.keycloak-secure.rule=Host(`keycloak.${APP_DOMAIN}`, `www.keycloak.${APP_DOMAIN}`)"
- "traefik.http.routers.keycloak-secure.service=keycloak-service"
- "traefik.http.routers.keycloak-secure.tls=true"
- "traefik.http.services.keycloak-service.loadbalancer.passhostheader=true"
- "traefik.http.services.keycloak-service.loadbalancer.server.port=8080"
- "traefik.docker.network=proxy"
networks:
- proxy
- keycloak-network
docker-compose.yml - traefik (2.5)
traefik:
image: traefik:v${TRAEFIK_VERSION}
container_name: traefik
security_opt:
- no-new-privileges:true
ports:
- 80:80
- 443:443
- 8080:8080
restart: always
environment:
CF_API_EMAIL: ${CF_EMAIL}
CF_API_KEY: ${CF_API_KEY}
volumes:
- ./docker/traefik/config/traefik.yml:/traefik.yml:ro
- ./docker/traefik/config/dynamic:/dynamic:ro
- /var/run/docker.sock:/var/run/docker.sock:ro
- /etc/localtime:/etc/localtime:ro
- /usr/share/zoneinfo:/usr/share/zoneinfo:ro
- ~/certs:/certs
networks:
- proxy
labels:
- "traefik.enable=true"
- "traefik.http.routers.traefik-secure.entrypoints=websecure"
- "traefik.http.routers.traefik-secure.rule=Host(`traefik.${APP_DOMAIN}`, `www.traefik.${APP_DOMAIN}`)"
- "traefik.http.routers.traefik-secure.service=api@internal"
- "traefik.http.routers.traefik-secure.tls=true"
- "traefik.docker.network=proxy"
traefik.yml
api:
dashboard: true
log:
format: json
level: DEBUG
entryPoints:
web:
address: :80
http:
redirections:
entryPoint:
to: websecure
websecure:
address: :443
providers:
docker:
endpoint: "unix:///var/run/docker.sock"
exposedByDefault: false
watch: true
network: proxy
file:
directory: /dynamic
watch: true
动态/http.yml
http:
middlewares:
secure-headers:
headers:
frameDeny: true
browserXssFilter: true
contentTypeNosniff: true
forceSTSHeader: true
stsIncludeSubdomains: true
stsPreload: true
stsSeconds: 63072000
customFrameOptionsValue: SAMEORIGIN
referrerPolicy: "strict-origin-when-cross-origin"
customRequestHeaders:
X-Forwarded-Proto: https
X-Robots-Tag: "none,noarchive,nosnippet,notranslate,noimageindex,"
将代理设置为外部网络。
我已经按如下方式设置了客户端,并使用基本的Client Id 和 Secret(没有签名的 JWT)配置了 Credentials。
检查事件时,唯一不同的是第一个使用的 IP 地址。 LOGIN 操作使用客户端 IP,而 CODE_TO_TOKEN 操作使用 docker 容器的 IP。 
不知道这是否与 token 验证失败有关。
此外, session 似乎已使用用户 ip 正确设置。 
尝试调试身份验证进度后,我注意到登录后返回的 access_token 与用于获取用户信息的相同。所以它没有改变或任何东西(我可以想象导致错误)。
已经(尝试)调试了 3 天,但我一无所获。似乎实际上没有找到可以帮助我进一步调试的类似案例。我不知道我是否遗漏了一些明显的东西,但我现在没主意了。感谢您提供任何帮助。
最佳答案
这对我有用。也许这对您也有帮助:https://github.com/stevenmaguire/oauth2-keycloak/issues/43#issuecomment-1066598308
好像是token里面的“issuer”有问题。
关于php - 带有 Keycloak 的 Symfony OAuth2 返回 invalid_token : Token verification failed,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70626445/
27
4
0
“Fail Early”是什么意思,在什么情况下这种方法最有用,你什么时候会避免这种方法? 最佳答案 本质上,快速失败 (又名 尽早失败 )是对您的软件进行编码,使得 当出现问题时,软件会尽快并尽可能
/* * 115200. Connect GPIO 0 of your ESP8266 to VCC and reset the board */ #include #include #inc
安装并注册 gitlab-runner 后,当我运行时 gitlab-runner start我收到此错误消息。这是什么原因? Runtime platform
我一直在尝试Windows Server 2016 TP5上的Windows容器。突然我在运行带有端口映射选项-p 80:80的容器时开始出错 c:\>docker run -it -p 80:80
我一直在关注 Hyperledger Fabric Multi-Org setup 的教程,我能够成功地做到这一点。现在我想根据我想要的组织名称对其进行自定义,并且在尝试连接网络时遇到以下错误。希望有
所以我不知道为什么这个测试失败了。当我运行 repl 中的语句时,一切似乎都正常工作,但 fiveam 测试失败。 以下要点中有一个测试用例:https://gist.github.com/Puerc
我安装了 Android Studio 1.2.1.1、Gradle 版本 2.2.1 和 Android 插件版本 1.2.3。我试图创建一个简单的 hello world 项目,它给了我一个构建失
我正在尝试设置一个简单的 WebTestCase,它使用 Symfony 4(和 "phpunit/phpunit": "^6.5")。但是,测试失败: Failed to start the ses
我已经使用 git clone 在本地克隆了一个包含 Vue 项目的 git 存储库. 然后我跑了npm install安装依赖项并获得 node_modules文件夹。 正在运行 npm run s
我有:http://windows.github.com/ 我当前的项目有大约 20k 个文件,大约 150MB(并且不说它有多慢而且我现在什么也做不了)它甚至不允许我提交!我收到此错误:提交失败:无
我正在使用 RxAndroidBle 库开发一个应用程序,该库大约每 30 秒定期执行 BLE 扫描,每分钟左右执行一些 BLE 操作。几个小时后,通常在 5 到 24 小时之间,扫描停止工作。每次应
每次我尝试使用 Pycharm 推送 GitHub 中的存储库时,它都会失败。 Push failed: fatal: Authentication failed for 'https://githu
此外,管理内置“管理结构”(如标题中的结构)的 Resque 的最佳实践是什么?我应该用 jedis.del(String key) 或类似的东西清除它们吗? 最佳答案 resque:failed 是
想象这样一种场景,我们想要在对“foo”和“bar”的并发请求成功完成后做一些事情,或者如果其中一个或两个失败则报告错误: $.when($.getJSON('foo'), $.getJSON('ba
这就是我所做的: 我使用的是 Windows XP SP3 我已经安装了 Python 2.7.1。 我下载了instantclient-basic-nt-11.2.0.3.0.zip,解压后放入C:
我已经设置了一个 vfsstream block 设备,我正在尝试对其调用 file_get_contents()。然而,对 vfsStreamWrapper::stream_open 的调用失败,因
我正在尝试在我的 React 应用程序中使用文件上传功能,但遇到了问题。当我尝试上传第一张图片时,它工作得很好。文件资源管理器对话框关闭并显示我的图片。用我的文件资源管理器中的另一张图片覆盖图片也可以
目标:将我的本地 mongodb 数据迁移到 mongodb atlas 集群。 尝试: 1.将本地数据导出为json。 2.导入json到集群。 操作系统:Linuxmint 19.1 Cinnam
我一直在从事一个需要在服务器(托管在 GCE 上)和多个客户端之间进行一些网络连接的项目。我创建了一个 Compute Engine 实例来运行 Python 脚本,如以下视频所示:https://w
我正在尝试使用 sqlx crate 和 Postgres 数据库连接到 Rust 中的数据库。 main.rs: use dotenv; use sqlx::Pool; use sqlx::PgPo
我是一名优秀的程序员,十分优秀!