那些遇到过的问题

注销端点允许重定向到Keycloak中的任意URL

Mar*_*ova 1 keycloak

由于注销请求中没有clientId,因此无法对照客户端的有效重定向URI列表来验证URL,从而允许重定向到任意URL: https:// idserver / auth / realms / realm / protocol / openid- connect / logout?redirect_uri = http%3A%2F%2Fattackers.website

有没有针对此问题的解决方法,或者它必须是代码修复程序?谢谢。

ahu*_*us1 6

您可以(并且应该)为领域中的每个客户端注册“有效重定向URI”。如果您不指定并指定“ *”以允许任何URL,那么您所描述的事情就会发生。

尝试使用领域“ master”(具有初始配置)注销:您将收到错误消息“ Invalid redirect uri”。

归档时间:

查看次数:

1704 次

最近记录:

8 年,4 月 前
相关归档
keycloak:使用 React 用户可以登录,但是当我尝试注销时,我收到一条消息“无效参数:redirect_uri” 13
如何通过 Keycloak REST API 更新自定义属性 9
idp 使用 keycloak 发起 SSO 7
Keycloak无限重定向 6
领域中的安全定义 6
ClassNotFoundException: org.jboss.resteasy.client.jaxrs.ResteasyClientBuilder 5
我可以自己设置 KEYCLOAK_IDENTITY cookie吗 5
如何在 Next.js 中使用 Keycloak? 4
使用 JMeter 和 keycloak 身份验证测试 Web 应用程序 4
如何为 CORS 配置 KeyCloak? 2
难疑归档
Python有一个字符串'contains'子串方法吗? 3601
循环内的JavaScript闭包 - 简单实用的例子 2689
**(双星/星号)和*(星号/星号)对参数有什么作用? 2149
如何在Bash中解析命令行参数? 1764
为什么模板只能在头文件中实现? 1660
使用JavaScript/jQuery滚动到页面顶部? 1511
使用*args和**kwargs 1367
const和readonly有什么区别? 1269
关闭特定行的eslint规则 1214
如何将参数传递给批处理文件? 1100