红帽全球峰会5.2. 客户端发起的帐户链接
有些应用程序需要与实验室供应商(如 Ice)集成,但不想提供通过这些社交提供商登录的选项。红帽构建的 Keycloak 提供了一个基于浏览器的 API,应用程序可以使用它将现有用户帐户链接到特定的外部 IDP。这称为 client-initiated account link。链接的帐户只能由 OIDC 应用程序启动。
其工作方式在于,应用程序将用户的浏览器转发到红帽构建的 Keycloak 服务器上的 URL,要求它希望将用户帐户链接到特定的外部提供程序(例如,Facebook)。服务器使用外部提供程序启动登录。浏览器在外部提供程序登录,并重定向到服务器。服务器建立链接,并通过确认重新重定向到应用程序。
在启动此协议前,客户端应用程序必须满足一些先决条件:
- 必须为 admin 控制台中的用户域配置和启用所需的身份提供程序。
- 用户帐户必须已经通过 OIDC 协议以现有用户身份登录
-
用户必须具有
account.manage-account或account.manage-account-links角色映射。 - 应用程序必须在其访问令牌内授予这些角色的范围
- 应用必须有权访问其访问令牌,因为它需要其中的信息来生成重定向 URL。
要启动登录,应用程序必须光纤一个 URL,并将用户的浏览器重定向到此 URL。URL 类似如下:
/{auth-server-root}/realms/{realm}/broker/{provider}/link?client_id={id}&redirect_uri={uri}&nonce={nonce}&hash={hash}下面是每个路径和查询参数的描述:
- provider
-
这是您在管理控制台的
Identity Provider部分中定义的外部 IDP 的供应商别名。 - client_id
- 这是应用程序的 OIDC 客户端 ID。当您在 admin 控制台中将应用程序注册为客户端时,您必须指定此客户端 ID。
- redirect_uri
- 这是您在建立帐户链接后要重定向到的应用程序回调 URL。它必须是有效的客户端重定向 URI 模式。换句话说,它必须与您在管理控制台中注册客户端时定义的一个有效 URL 模式匹配。
- nonce
- 这是应用程序必须生成的随机字符串
- hash
-
这是一个 Base64 URL 编码哈希。此哈希值由 Base64 URL 编码的
一个非ce+token.getSessionState ()+token.getIssuedFor ()的 SHA_256 哈希生成。令牌变量从 OIDC 访问令牌获取。基本上,您要对随机非ce、用户会话 ID、客户端 ID 和您要访问的身份提供程序别名进行哈希处理。
以下是生成 URL 的 Java Servlet 代码示例,以建立帐户链接。
KeycloakSecurityContext session = (KeycloakSecurityContext) httpServletRequest.getAttribute(KeycloakSecurityContext.class.getName());
AccessToken token = session.getToken();
String clientId = token.getIssuedFor();
String nonce = UUID.randomUUID().toString();
MessageDigest md = null;
try {
md = MessageDigest.getInstance("SHA-256");
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
String input = nonce + token.getSessionState() + clientId + provider;
byte[] check = md.digest(input.getBytes(StandardCharsets.UTF_8));
String hash = Base64Url.encode(check);
request.getSession().setAttribute("hash", hash);
String redirectUri = ...;
String accountLinkUrl = KeycloakUriBuilder.fromUri(authServerRootUrl)
.path("/realms/{realm}/broker/{provider}/link")
.queryParam("nonce", nonce)
.queryParam("hash", hash)
.queryParam("client_id", clientId)
.queryParam("redirect_uri", redirectUri).build(realm, provider).toString();为什么包含这个哈希?我们这样做,以便身份验证服务器可以保证知道客户端应用程序启动请求,且没有其他恶意应用程序只是随机要求用户帐户链接到特定提供程序。身份验证服务器首先将检查用户是否登录,方法是检查登录时设置的 SSO cookie。然后,它将尝试基于当前登录重新生成哈希,并将它与应用发送的哈希值匹配。
链接帐户后,auth 服务器将重定向到 redirect_uri。如果提供链接请求的问题,auth 服务器可能会也可能不会重定向到 redirect_uri。浏览器可能只是在错误页面结束,而不是重定向到应用。如果出现错误条件,并且 auth 服务器认为能够安全地重定向到客户端应用,则将附加额外的 错误 查询参数到 redirect_uri。
虽然此 API 保证应用程序启动请求,但它不会完全防止 CSRF 攻击。应用程序仍负责保护 CSRF 攻击目标。
5.2.1. 刷新外部令牌
如果您使用登录到供应商生成的外部令牌(例如,Cyter 或 GitHub 令牌),您可以通过重新发起帐户链接 API 来刷新此令牌。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}