第 7 章 配置主机名(v2)
7.1. 设置 hostname 选项的重要性
默认情况下,Red Hat build of Keycloak 会强制配置 hostname 选项,且不会动态解析 URL。这是一种安全措施。
红帽构建的 Keycloak 可自由披露其自身 URL,例如通过 OIDC Discovery 端点,或作为电子邮件中的密码重置链接的一部分。如果主机名从主机名头中动态解释,则可能会提供一个潜在的攻击者来回操作电子邮件中的 URL,将用户重定向到攻击者的假期域,以及窃取敏感数据,如操作令牌、密码等。
通过显式设置 hostname 选项,我们避免了由欺诈签发者签发令牌的情况。使用以下命令可使用显式主机名启动服务器:
bin/kc.[sh|bat] start --hostname my.keycloak.org
注意
示例在生产环境模式下启动红帽构建的 Keycloak 实例,这需要一个公钥和私钥才能保护通信。如需更多信息,请参阅 为生产环境配置红帽构建的 Keycloak。
