红帽全球峰会6.4. 使用客户端注册 CLI
流程
- 使用您的凭证登录来启动经过身份验证的会话。
在客户端
Registration REST 端点上运行命令。例如,在:
Linux:
kcreg.sh config credentials --server http://localhost:8080 --realm demo --user user --client reg-cli kcreg.sh create -s clientId=my_client -s 'redirectUris=["http://localhost:8980/myapp/*"]' kcreg.sh get my_client
$ kcreg.sh config credentials --server http://localhost:8080 --realm demo --user user --client reg-cli $ kcreg.sh create -s clientId=my_client -s 'redirectUris=["http://localhost:8980/myapp/*"]' $ kcreg.sh get my_clientCopy to Clipboard Copied! Toggle word wrap Toggle overflow Windows:
kcreg config credentials --server http://localhost:8080 --realm demo --user user --client reg-cli kcreg create -s clientId=my_client -s "redirectUris=[\"http://localhost:8980/myapp/*\"]" kcreg get my_client
c:\> kcreg config credentials --server http://localhost:8080 --realm demo --user user --client reg-cli c:\> kcreg create -s clientId=my_client -s "redirectUris=[\"http://localhost:8980/myapp/*\"]" c:\> kcreg get my_clientCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意在生产环境中,红帽构建的 Keycloak 必须通过
https:访问,以避免向网络嗅探器公开令牌。
如果 Java 的默认证书信任存储中包含的可信证书颁发机构(CA)没有发布服务器证书,准备
truststore.jks文件并指示客户端注册 CLI 使用它。例如,在:
Linux:
kcreg.sh config truststore --trustpass $PASSWORD ~/.keycloak/truststore.jks
$ kcreg.sh config truststore --trustpass $PASSWORD ~/.keycloak/truststore.jksCopy to Clipboard Copied! Toggle word wrap Toggle overflow Windows:
kcreg config truststore --trustpass %PASSWORD% %HOMEPATH%\.keycloak\truststore.jks
c:\> kcreg config truststore --trustpass %PASSWORD% %HOMEPATH%\.keycloak\truststore.jksCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.4.1. 登录
流程
- 当使用 Client Registration CLI 登录时,指定服务器端点 URL 和域。
-
指定用户名或客户端 ID,其会导致使用特殊服务帐户。使用用户名时,您必须为指定用户使用密码。使用客户端 ID 时,您可以使用客户端 secret 或
签名 JWT而不是密码。
无论登录方法是什么,登录的帐户都需要适当的权限才能执行客户端注册操作。请记住,非 master 域中的任何帐户都只能拥有管理同一域中客户端的权限。如果需要管理不同的域,您可以在不同的域中配置多个用户,或者在 master 域中创建一个用户,并添加角色来管理不同域中的客户端。
您不能使用 Client Registration CLI 配置用户。使用 Admin Console Web 界面或 Admin Client CLI 来配置用户。如需了解更多详细信息,请参阅 服务器管理指南。
当 kcreg 成功登录时,它会接收授权令牌并将其保存到专用配置文件中,以便令牌可用于后续调用。有关配置文件的更多信息,请参阅 第 6.4.2 节 “使用其他配置”。
有关使用客户端注册 CLI 的更多信息,请参阅内置帮助。
例如,在:
- Linux:
kcreg.sh help
$ kcreg.sh help- Windows:
kcreg help
c:\> kcreg help
有关启动经过身份验证的会话的更多信息,请参阅 kcreg 配置凭证 --help。
6.4.2. 使用其他配置
默认情况下,客户端注册 CLI 会在默认位置 ./.keycloak/kcreg.config 下维护配置文件。您可以使用 --config 选项指向不同的文件或位置,以并行维护多个经过身份验证的会话。从单一线程中与单个配置文件关联的操作是最安全的方法。
不要使配置文件对系统上的其他用户可见。配置文件包含应保留私有的访问令牌和机密。
您可能希望将 --no-config 选项与所有命令搭配使用,以避免将 secret 存储在配置文件中,即使它更为方便,并且需要更多令牌请求才能这样做。使用每个 kcreg 调用指定所有身份验证信息。
6.4.3. 初始访问和注册访问令牌
在 Red Hat build of Keycloak 服务器中没有配置帐户的开发人员可以使用 Client Registration CLI。只有在域管理员向开发人员发出 Initial Access Token 时,才能这样做。它是域管理员,决定如何和何时发布和分发这些令牌。域管理员可以限制 Initial Access Token 的最大年龄,以及可使用它创建的客户端总数。
开发人员有初始访问令牌后,开发人员就可以使用它来创建新客户端,而无需使用 kcreg 配置凭据进行身份验证。Initial Access Token 可以存储在配置文件中,或者指定为 kcreg create 命令的一部分。
例如,在:
- Linux:
kcreg.sh config initial-token $TOKEN kcreg.sh create -s clientId=myclient
$ kcreg.sh config initial-token $TOKEN
$ kcreg.sh create -s clientId=myclient或者
kcreg.sh create -s clientId=myclient -t $TOKEN
$ kcreg.sh create -s clientId=myclient -t $TOKEN- Windows:
kcreg config initial-token %TOKEN% kcreg create -s clientId=myclient
c:\> kcreg config initial-token %TOKEN%
c:\> kcreg create -s clientId=myclient或者
kcreg create -s clientId=myclient -t %TOKEN%
c:\> kcreg create -s clientId=myclient -t %TOKEN%使用 Initial Access Token 时,服务器响应包括新发布的注册访问令牌。任何后续操作都需要通过使用该令牌进行身份验证来执行,这仅对那个客户端有效。
客户端注册 CLI 会自动使用其专用配置文件来保存并使用这个令牌与其关联的客户端使用。只要同一个配置文件用于所有客户端操作,开发人员不需要进行身份验证来读取、更新或删除以这种方式创建的客户端。
有关初始访问和注册访问令牌的更多信息,请参阅客户端注册。
运行 kcreg config initial-token --help 和 kcreg config registration-token --help 命令,以了解有关如何使用客户端注册 CLI 配置令牌的更多信息。
6.4.4. 创建客户端配置
使用凭证进行身份验证或配置 Initial Access Token 后的第一个参数通常是创建新客户端。通常,您可能希望将准备的 JSON 文件用作模板,并设置或覆盖某些属性。
以下示例演示了如何读取 JSON 文件,覆盖它可能包含的任何客户端 id,设置任何其他属性,并在成功创建后将配置输出到标准输出。
- Linux:
kcreg.sh create -f client-template.json -s clientId=myclient -s baseUrl=/myclient -s 'redirectUris=["/myclient/*"]' -o
$ kcreg.sh create -f client-template.json -s clientId=myclient -s baseUrl=/myclient -s 'redirectUris=["/myclient/*"]' -o- Windows:
kcreg create -f client-template.json -s clientId=myclient -s baseUrl=/myclient -s "redirectUris=[\"/myclient/*\"]" -o
C:\> kcreg create -f client-template.json -s clientId=myclient -s baseUrl=/myclient -s "redirectUris=[\"/myclient/*\"]" -o
运行 kcreg create --help 以了解有关 kcreg create 命令的更多信息。
您可以使用 kcreg attrs 来列出可用的属性。请记住,许多配置属性没有检查有效或一致性。您最多指定正确的值。请记住,您的模板中不应具有任何 id 字段,不应将它们指定为 kcreg create 命令的参数。
6.4.5. 检索客户端配置
您可以使用 kcreg get 命令检索现有客户端。
例如,在:
- Linux:
kcreg.sh get myclient
$ kcreg.sh get myclient- Windows:
kcreg get myclient
C:\> kcreg get myclient您还可以将客户端配置作为适配器配置文件检索,您可以使用 web 应用程序打包。
例如,在:
- Linux:
kcreg.sh get myclient -e install > keycloak.json
$ kcreg.sh get myclient -e install > keycloak.json- Windows:
kcreg get myclient -e install > keycloak.json
C:\> kcreg get myclient -e install > keycloak.json
运行 kcreg get --help 命令以了解有关 kcreg get 命令的更多信息。
6.4.6. 修改客户端配置
更新客户端配置的方法有两种。
其中一种方法是在获取当前配置后向服务器提交完整的新状态,将它保存到文件中、编辑它并将其发回到服务器。
例如,在:
- Linux:
kcreg.sh get myclient > myclient.json vi myclient.json kcreg.sh update myclient -f myclient.json
$ kcreg.sh get myclient > myclient.json
$ vi myclient.json
$ kcreg.sh update myclient -f myclient.json- Windows:
kcreg get myclient > myclient.json notepad myclient.json kcreg update myclient -f myclient.json
C:\> kcreg get myclient > myclient.json
C:\> notepad myclient.json
C:\> kcreg update myclient -f myclient.json第二种方法获取当前客户端,设置或删除它的字段,并在一个步骤中返回。
例如,在:
- Linux:
kcreg.sh update myclient -s enabled=false -d redirectUris
$ kcreg.sh update myclient -s enabled=false -d redirectUris- Windows:
kcreg update myclient -s enabled=false -d redirectUris
C:\> kcreg update myclient -s enabled=false -d redirectUris
您还可以使用仅包含要应用的更改的文件,因此您不必将太多值指定为参数。在这种情况下,指定 --merge 告知客户端注册 CLI,而不是将 JSON 文件视为完整的新配置,应将其视为要应用到现有配置的一组属性。
例如,在:
- Linux:
kcreg.sh update myclient --merge -d redirectUris -f mychanges.json
$ kcreg.sh update myclient --merge -d redirectUris -f mychanges.json- Windows:
kcreg update myclient --merge -d redirectUris -f mychanges.json
C:\> kcreg update myclient --merge -d redirectUris -f mychanges.json
运行 kcreg update --help 命令以了解有关 kcreg update 命令的更多信息。
6.4.7. 删除客户端配置
使用以下示例删除客户端。
- Linux:
kcreg.sh delete myclient
$ kcreg.sh delete myclient- Windows:
kcreg delete myclient
C:\> kcreg delete myclient
运行 kcreg delete --help 命令以了解有关 kcreg delete 命令的更多信息。
6.4.8. 刷新无效的注册访问令牌
当使用 --no-config 模式执行创建、读取、更新和删除(CRUD)操作时,客户端注册 CLI 无法为您处理注册访问令牌。在这种情况下,可能会丢失对客户端最近发布的注册访问令牌的跟踪,这使得无法在该客户端上执行进一步的 CRUD 操作,而无需通过具有管理 客户端权限的账户 进行身份验证。
如果您有权限,您可以为客户端发布新的注册访问令牌,并将其输出到标准输出或保存到您选择的配置文件中。否则,您必须要求域管理员为您的客户端发布新的注册访问令牌并将其发送给您。然后,您可以通过 --token 选项将其传递给任何 CRUD 命令。您还可以使用 kcreg config registration-token 命令将新令牌保存到配置文件中,并让客户端注册 CLI 会自动为您处理它。
运行 kcreg update-token --help 命令,以了解有关 kcreg update-token 命令的更多信息。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}