如何解决生成令牌时忽略无效的作用域
我们正在将Keycloak设置从6.0.1升级到11.0.0,并且似乎从Keycloak 10开始,如果scope参数无效,令牌生成会抱怨“无效范围”错误。
最初,我们将Keycloak 3与RBAC(分配给用户和角色)和完整范围的客户端(仅Direct Access Grants Enabled = true)一起使用,这在我们在范围内传递所需角色并用于获取访问权限时可以正常工作请求角色的令牌(在作用域中),后来我们将其更新为Keycloak 6,该令牌在此设置下也可以正常工作,但是将其更新为Keycloak 11会破坏它,因为我们不使用细粒度的作用域,因此将现有角色传递给作用域排序of破坏了它,但是,如果我不提供任何作用域,它就可以正常工作。
我的设置如下所示
角色:
- 角色1
- 角色2
- 角色3
用户:
- User1
- User2
用户角色映射
- 角色1,角色2->用户1
- 角色3->用户2
客户
- Client1 AccessType:机密 直接访问授权:已启用 范围:全范围
生成的令牌
{
"exp": 1598869296,"iat": 1598867496,"jti": "b5cd4395-1ba2-471b-9e3f-86fa7c699d72","iss": "http://localhost:8480/auth/realms/EDP","aud": "account","sub": "2efa51cd-1afb-4f18-83c4-12e4017739b5","typ": "Bearer","azp": "service","session_state": "a4925385-b787-4ae7-a076-a4b92b5df87c","acr": "1","realm_access": {
"roles": [
"Rol1","offline_access","uma_authorization","Rol2"
]
},"resource_access": {
"account": {
"roles": [
"manage-account","manage-account-links","view-profile"
]
}
},"scope": "default roles","unique_name": "User1","preferred_username": "User1","tid": "Foo"
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。