尝试使用SSL将Spring-Boot应用程序连接到Keycloak

Question

我正在处理一个Katacoda场景，在这个场景中，我将一个spring-boot应用程序连接到一个KeyCloak。我想让它变得非常简单，所以这里是我的配置：

pom.xml

    <dependency>
        <groupId>org.keycloak</groupId>
        <artifactId>keycloak-spring-boot-starter</artifactId>
        <version>10.0.1</version>
    </dependency>
    </dependencies>

应用程序属性

#Keycloak Properties
#Katcoda Url
keycloak.auth-server-url=https://2886795315-8444-ollie02.environments.katacoda.com/auth
keycloak.realm=todoRealm
#Client
keycloak.resource=openid-login-client
keycloak.public-client=true

我的问题是，当我点击应用程序上的端点时，它会正确地重定向到登录页面。但问题是，它传递的redirect_uri不是ssl，所以是http://2886795315-8080-ollie02.environments.katacoda.com/v1/todos，这会导致CORs问题。

我添加此属性是为了尝试强制使用https：

keycloak.ssl-required=all

但随后它更改了传递给https://2886795315-8080-ollie02.environments.katacoda.com:0/v1/todos的密钥罩登录的redirect_uri参数

有没有人知道为什么url路径会在前面加上:0？

Answer 1

这可能是this answer的副本。

这是Keycloak安全默认设置的一部分，在该默认设置中，它使用非标准端口进行SSL连接。例如，这可以在带有KEYCLOAK_HTTPS_PORT=4443的密钥罩环境中设置。

对于应用程序(客户端)，这可能要求(例如，当设置了ssl-required=all时)应用程序将需要知道此端口(即，无论KEYCLOAK_HTTPS_PORT设置为什么)。若要在应用程序中显式设置此端口，使其不默认为:0，请使用keycloak.confidential-port=4443属性。

因为您使用的是nginx，所以这当然可以通过代理传递指令来处理，在这种情况下，只需将keycloak.confidential-port属性设置为标准的443。

不是为了使事情过于复杂，但您当然可以对NginX中的非标准端口使用单独的代理传递指令，该指令将处理到Keycloak后端的客户端SSL连接。

(提醒我请查找此答案的文档链接)...我现在没有时间。