如何解决反向代理后面的外部 keycloak 服务器和 Spring boot 应用程序 - 成功登录后重定向到根上下文
我的 Spring Boot 服务在反向代理后面工作,并由外部 keycloak 服务器保护。
在 Keycloak 服务器成功登录后,它会将我重定向到我的服务,然后我重定向到上下文路径的根目录而不是初始 url。
所以请求链看起来像:
初始网址:http://~HOSTNAME~/~SERVICE-NAME~/rest/info/654321
和重定向:
http://~HOSTNAME~/~SERVICE-NAME~/rest/sso/login
https://ext-keycloak.server/auth/realms/test/protocol/openid-connect/auth?response_type=code&client_id=dev&redirect_uri=http%3A%2F%2F~HOSTNAME~%2F~SERVICE-NAME~%2Frest%2Fsso%2Flogin&state=60ebad0d-8c68-43cd-9461&login=true&scope=openid
http://~HOSTNAME~/~SERVICE-NAME~/rest/sso/login?state=60ebad0d-8c68-43cd-9461&session_state=074aaa0d-4f72-440e&code=a8c92c50-70f8-438c-4fe311f0b3b6.074aaa0d-440e-8726.8166b689-bbdd-493a-8b8f
http://~HOSTNAME~/~SERVICE-NAME~/rest/ - 我这里没有处理程序并且出现错误。
第一个问题是应用程序为 keycloak 生成了错误的重定向 uri。所有服务都在 kubernetes 集群中,并且具有如下网址:http://~HOSTNAME~/~SERVICE-NAME~/rest(其中“/rest”是上下文路径)。
~SERVICE-NAME~ 部分用于定位集群中的服务,应用程序获取没有此前缀的请求。但是代理添加了带有原始 url 的标头 X-Original-Request,我决定使用它(不幸的是,我无法更改代理和 keycloak 服务器的配置)。我通过从 Spring 的 org.springframework.web.filter.ForwardedHeaderFilter 复制粘贴来制作过滤器以使用标头值生成正确的重定向 uri。现在它生成了正确的 redirect_uri,但如上所述我在最后得到了错误的重定向。
在这种情况下如何重定向到初始页面?
Spring 安全配置:
@EnableWebSecurity
@ComponentScan(basePackageClasses = KeycloakSecurityComponents.class)
public class SecurityConfig extends KeycloakWebSecurityConfigurerAdapter {
private final PermissionConfig permissionConfig;
@Autowired
public SecurityConfig(PermissionConfig permissionConfig) {
this.permissionConfig = permissionConfig;
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
KeycloakAuthenticationProvider keycloakAuthenticationProvider = keycloakAuthenticationProvider();
keycloakAuthenticationProvider.setGrantedAuthoritiesMapper(new NullAuthoritiesMapper());
auth.authenticationProvider(keycloakAuthenticationProvider);
}
@Bean
public KeycloakSpringBootConfigResolver KeycloakConfigResolver() {
return new KeycloakSpringBootConfigResolver();
}
@Bean
@Override
protected SessionAuthenticationStrategy sessionAuthenticationStrategy() {
return new RegisterSessionAuthenticationStrategy(new SessionRegistryImpl());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
var urlRegistry = http.authorizeRequests()
.antMatchers("/actuator/**")
.permitAll()
.antMatchers("/info/**")
.hasAnyAuthority(permissionConfig.getRoles().toArray(new String[0]));
}
@Bean
public FilterRegistrationBean<OriginalUriHeaderFilter> originalUriHeaderFilter() {
OriginalUriHeaderFilter filter = new OriginalUriHeaderFilter();
FilterRegistrationBean<OriginalUriHeaderFilter> registration = new FilterRegistrationBean<>(filter);
registration.setDispatcherTypes(DispatcherType.REQUEST,DispatcherType.ASYNC,DispatcherType.ERROR);
registration.setOrder(Ordered.HIGHEST_PRECEDENCE);
return registration;
}
}
spring keycloak 配置(yaml)
keycloak:
auth-server-url: 'https://ext-keycloak.server/auth/'
realm: test
ssl-required: NONE
resource: dev
credentials:
secret: 'hex-value'
confidential-port: 0
disable-trust-manager: true
解决方法
呃,问题在于服务前缀而不是 Keycloak。
当我尝试使用 path=/rest 获取页面 Spring 设置 JSESSIONID cookie 时,存储对会话的请求并将我重定向到 Keycloak。登录后,Spring 找不到会话并将我重定向到根上下文,因为浏览器没有为路径 /~SERVICE-NAME~/rest 提供 JSESSIONID cookie !!
默认情况下,Spring 设置 cookie path=server.servlet.contextPath。我所做的只是向 application.yaml 添加了 cookie 路径:
server:
port: 8080
servlet:
contextPath: /rest
session:
cookie:
path: /
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
