本文主要是介绍如何使用 Keycloak 的 service account (服务账号) 功能,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Keycloak 在解决服务之间的通信的时候可以使用 service account 功能,也就是服务账号。每一个 Keycloak Realm 下的 client 都可以包含一个 service account 账号。这个 service account 账号的概念来自于 OAuth 2.0 的 Client Credential Grant 规范。
Service Account 和用户账号的区别
Service Account 和用户账号的不同之处在于 Service Account 使用 client secret登录,登录后只会生成 access token 不会生成 refresh token。 因为每个 keycloak 的 client 只能有一个Service Account,所以 Service Account 有专门的角色分配UI来配置它的权限。
| 项目 | Service Account | 用户账号 |
|---|---|---|
| 数量 | 一个 client 一个 | 一个realm下每一个用户有一个账号 |
| 登录 | 用户名: client 名称,密码:Client Secret | 用户的用户名,用户的密码 |
| 生成的Token | Access Token | Access Token 和 Refresh Token |
| 角色分配 | 使用 Service Account 专有的分配方式 | 使用用户角色分配 |
Service Account 的用法
如上图所示,Requesting Service 先使用 client name 和 client secret 从 Keycloak 获取 access token,拿到 token 后,requesting service 使用 access token 请求资源。
下图是使用 insomnia 从 keycloak 请求 access token 的截图:
请求地址是:
https://172.26.198.222:8443/auth/realms/{realm-name}/protocol/openid-connect/token
注意设置请求的 content-type 为 x-www-form-urlencoded 类型, 添加 key: grant_type, value: client_credentials,并且把路径中的 realm-name设置为您自己的 realm name。如果使用 curl命令可能是如下形式:
curl --location --request POST 'https://172.26.198.222:8443/auth/realms/{realm-name}/protocol/openid-connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'Authorization: Basic ZGVtb2FwcDowMDAwMDAwMC0wMDAwLTAwMDAtMDAwMC0wMDAwMDAwMDAwMDA=' \
--data-urlencode 'grant_type=client_credentials'
请求结果得到的 token 可能是这个样子的:
{"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJjelF3ZElOVkxEVFIzOGNRWktFM2tqT0RMdmF1STI0NGdaei1zOC1EQjcwIn0.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.HK-cXeK1hfkvynoFVLb2hjTbenrG2Bgo-ydE-hMs5i1QY3Equx1PXAU5adpGlF5kKb6HmTgmWpnqUd3l_ipUT0wErMO8rhdfQP-8bUPnri9O9cVYQkSAM002OgJgLBV-cbTTEc4LqA7GDu2nEKCRdfQPF_R2OIsl6Y21SZ6vZEk32Kg6q3GC4YCIeaQSjJsI1pCkz3EB9NKP-UWzElHMMnn-WV-X788E22kTTNpp3gip04Bu5KPo0IHe9uEa1_f8GwH6L5hMEQTxUi_59-OeWA4EcvvQe8das9VsV0bdRF3k55AaaO5RqWwV8deXhUp_LY9ksyx0-Km_6Lb_NQJpmg","expires_in": 3600,"refresh_expires_in": 0,"token_type": "Bearer","not-before-policy": 1625464172,"scope": "profile email"
}
结论
本文介绍了 service account 的用途,比较了 service account 和用户账号的区别,说明了如何使用 service account 获取 access token。
这篇关于如何使用 Keycloak 的 service account (服务账号) 功能的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
