6.2. 代理模式
注意
对设置代理模式的支持已弃用,并将在以后的红帽构建的 Keycloak 发行版本中删除。考虑配置接受的反向代理标头,如上面的章节中所述。有关迁移说明,请参阅升级指南。
对于红帽构建的 Keycloak,您选择的代理模式取决于您的环境中的 TLS 终止。可用的代理模式如下:
- edge
- 启用代理与红帽构建的 Keycloak 之间的 HTTP 通信。这个模式适用于具有高度安全内部网络的部署,其中反向代理在与使用 HTTP 的 Keycloak 进行通信时,将安全连接(通过 TLS 通过 TLS)与客户端保持安全连接(通过 TLS)。
- reencrypt
- 需要通过 HTTPS 在代理和红帽构建的 Keycloak 间的通信。此模式适用于在反向代理和红帽 Keycloak 构建间内部通信的部署也应受到保护。在反向代理以及 Keycloak 的红帽构建中使用不同的密钥和证书。
- passthrough
- 代理将 HTTPS 连接转发到红帽构建的 Keycloak,而不终止 TLS。服务器和客户端之间的安全连接基于红帽构建的 Keycloak 服务器使用的密钥和证书。
在 边缘 或重新加密 代理模式中,红帽构建的 Keycloak 将解析以下标头,并期望反向代理来设置它们:
-
根据 RFC7239进行转发
-
非标准
X-Forwarded114,如X-Forwarded-For、X-Forwarded-Proto、X-Forwarded-Host和X-Forwarded-Port
6.2.1. 在 Red Hat build of Keycloak 中配置代理模式
要选择代理模式,请输入以下命令:
bin/kc.[sh|bat] start --proxy <mode>
