6.3. 配置反向代理
一些红帽构建的 Keycloak 功能依赖于假定连接到红帽构建的 Keycloak 的 HTTP 请求的远程地址是客户端机器的实际 IP 地址。
在 边缘 或重新加密 代理模式中,红帽构建的 Keycloak 将解析以下标头,并期望反向代理来设置它们:
-
根据 RFC7239进行转发
-
非标准
X-Forwarded -
非标准
X-Forwarded114,如X-Forwarded-For、X-Forwarded-Proto、X-Forwarded-Host和X-Forwarded-Port
要设置这些标头,请参阅您的反向代理文档。
采取额外的措施,以确保通过 Forwarded 或 X-Forwarded-For 标头的反向代理正确设置客户端地址。如果这个标头配置不正确,则 rogue 客户端可以设置此标头,并欺骗红帽构建的 Keycloak 认为客户端从与实际地址不同的 IP 地址连接。如果您执行任何拒绝或允许 IP 地址列表,则这种预防措施更为重要。
