15.16. 限制身份验证会话


当在网页浏览器中第一次打开登录页面时,红帽构建的 Keycloak 会创建一个名为身份验证会话的对象,该对象存储了有关该请求的一些有用信息。每当从同一浏览器中的不同标签页打开新的登录页面时,Red Hat build of Keycloak 会创建一个名为 authentication 子会话的新记录,该记录存储在身份验证会话中。身份验证请求可以来自任何类型的客户端,如 Admin CLI。在这种情况下,也会使用一个身份验证子会话创建一个新的身份验证会话。请注意,除了使用浏览器流外,还可以其他方式创建身份验证会话。无论源流是什么,以下文本都适用。

注意

本节论述了使用 Data Grid 供应商进行身份验证会话的部署。

身份验证会话内部存储为 RootAuthenticationSessionEntity。每个 RootAuthenticationSessionEntity 都可以将多个身份验证子会话存储在 RootAuthenticationSessionEntity 中,作为 AuthenticationSessionEntity 对象的集合。红帽构建的 Keycloak 将身份验证会话存储在专用 Data Grid 缓存中。每个 Root AuthenticationSessionEntity 的 AuthenticationSessionEntity 数量有助于每个缓存条目的大小。身份验证会话缓存的内存占用总量由存储的 RootAuthenticationSessionEntity 以及每个 Root AuthenticationSessionEntity 中的 AuthenticationSessionEntity 的数量决定。

维护的 RootAuthenticationSessionEntity 对象数量与来自浏览器的未完成登录流的数量对应。要在控制下保留 RootAuthenticationSessionEntity 的数量,建议使用高级防火墙控制来限制入口网络流量。

当存在许多活跃的 RootAuthenticationSessionEntity 并有很多身份验证SessionEntity 时,可能会发生更高的内存用量。如果负载均衡器不支持或没有为会话粘性配置,集群中的负载可能会显著增加。这个负载的原因是,每个位于没有适当身份验证会话的节点上的请求都需要在所有者节点上检索和更新身份验证会话记录,这需要为检索和存储涉及单独的网络传输。

每个 Root AuthenticationSessionEntity 的最大 AuthenticationSessionEntity 可以通过设置属性 authSessionsLimitauthenticationSessions SPI 中配置。根据 Root AuthenticationSessionEntity ,默认值被设置为 300 AuthenticationSessionEntity。达到此限制时,最旧的身份验证子会话将在新的身份验证会话请求后删除。

以下示例演示了如何将每个 Root AuthenticationSessionEntity 活跃身份验证SessionEntity 的数量限制为 100。

bin/kc.[sh|bat] start --spi-authentication-sessions-infinispan-auth-sessions-limit=100
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.