那些遇到过的问题

Keycloak - 授权验证失败。原因:无效令牌(ISS 错误)

Cra*_*gle 4 openid node.js express keycloak keycloak-services

因此,我在使 Keycloak-Connect 示例正常工作时遇到一些问题。

基本上我在虚拟机上的快速路线上使用 Keycloak 进行了简单的检查

(10.10.10.54:8081)如下。

app.get('/api*', keycloak.protect(), (req, res) => res.status(200).send({
    message: 'Hit API Backend!',
}));
Run Code Online (Sandbox Code Playgroud)

我的 Keycloak 服务器位于单独的虚拟机上(本例为http://keycloak.myexternaldomain.ca/auth/

我一直在打电话来测试这个问题。

RESULT=`curl --data "grant_type=password&client_secret=mysecret&client_id=account&username=myusername&password=mypassword" http://keycloak.myexternaldomain.ca/auth/realms/TEST/protocol/openid-connect/token`
Run Code Online (Sandbox Code Playgroud)

这每次都会返回正确的访问令牌,

TOKEN=`echo $RESULT | sed 's/.*access_token":"//g' | sed 's/".*//g'`
Run Code Online (Sandbox Code Playgroud)

将 token 解析为变量。

curl http://10.10.10.54:8081/api -H "Authorization: bearer $TOKEN"
Run Code Online (Sandbox Code Playgroud)

它仍然不断地返回“访问被拒绝”,我在类似的示例中使用Keycloak-Quickstart Node Service进行了尝试,以查看其中是否存在更详细的错误。我收到的回复是

Validate grant failed
Grant validation failed. Reason: invalid token (wrong ISS)
Run Code Online (Sandbox Code Playgroud)

不过,如果我稍等一下,它会给我一个“过期令牌”错误,所以我觉得我走在正确的轨道上。

很明显,我发出令牌的地方与预期的地方不匹配,有问题吗?我可以通过 cURLing 进行调用以从 keycloak 服务器本身获取用户凭据

curl --data "grant_type=password&token=$TOKEN&client_secret=secret&client_id=account&username=myaccount&password=mypassword" http://keycloak.myexternaldomain.ca/auth/realms/TEST/protocol/openid-connect/token/introspect
Run Code Online (Sandbox Code Playgroud)

我是否误解了我应该如何使用 Keycloak,或者这是一个设置问题?

提前致谢

Cra*_*gle 13

我的问题出在我的 keycloak.json 中......我有一个与我正在验证的领域不同的领域。

如果您遇到此问题,我建议修改keycloak-auth-utils以便在授予管理器上提供更详细的错误日志记录。

具体改变

else if (token.content.iss !== this.realmUrl) {
      reject(new Error('invalid token (wrong ISS)'));
}
Run Code Online (Sandbox Code Playgroud) 

else if (token.content.iss !== this.realmUrl) {
      reject(new Error('invalid token (wrong ISS) Expecting: '+this.realmUrl+' Got: '+token.content.iss);
}
Run Code Online (Sandbox Code Playgroud)

帮助我自己找到了这个问题。

  • 确切的文件和行号是https://github.com/keycloak/keycloak-nodejs-connect/blob/main/middleware/auth-utils/grant-manager.js#L427 (4认同)
  • 我在这里创建了拉取请求:https://github.com/keycloak/keycloak-nodejs-auth-utils/pull/80 (2认同)

归档时间:

查看次数:

14491 次

最近记录:

4 年,1 月 前
相关归档
命令全局删除所有npm模块? 358
编译失败。找不到模块:无法解析“react-router-dom” 49
使用NginX for Node.js有什么好处? 28
Headless 浏览器图像质量 - Headless chrome、phantom js、slimmer js 13
单行检查套接字是否在给定的房间内? 11
在节点中使用require('angular')会导致Window未定义 11
.net core 3.1:如果访问令牌过期,如何使用 AcquireTokenAsync 方法获取新令牌? 5
使用 aws-serverless-express 进行错误处理 5
node.js 中的网速计算 2
从节点js调用存储过程 1
难疑归档
为什么Google会在(1)之前提前; 他们的JSON回复? 3940
将现有的,未提交的工作移动到Git中的新分支 2982
Python中的switch语句的替换? 1719
C#中两个问号共同意味着什么? 1540
如何将堆栈跟踪转换为字符串? 1435
没有指定分支的"git push"的默认行为 1339
如何在PHP中使用bcrypt进行散列密码? 1230
在Python中从文件名中提取扩展名 1167
如何列出使用ATTACH打开的SQLite数据库文件中的表? 1151
Python类继承对象 1095