8.4. 公开路径建议
在使用反向代理时,红帽构建的 Keycloak 只需要公开某些路径。下表显示了要公开的推荐路径。
| 红帽构建的 Keycloak 路径 | 反向代理路径 | 公开 | 原因 |
|---|---|---|---|
| / | - | 否 | 在公开所有路径时,管理员路径会不必要地公开。 |
| /admin/ | - | 否 | 公开的管理路径会导致不必要的攻击向量。 |
| /realms/ | /realms/ | 是 | 这个路径需要正常工作,例如 OIDC 端点。 |
| /resources/ | /resources/ | 是 | 需要此路径才能正确服务资产。它可以从 CDN 提供,而不是红帽构建的 Keycloak 路径。 |
| /robots.txt | /robots.txt | 是 | 搜索引擎规则 |
| /metrics | - | 否 | 公开的指标会导致不必要的攻击向量。 |
| /health | - | 否 | 公开的健康检查会导致不必要的攻击向量。 |
我们假设您在反向代理 / gateway 公共 API 上的根路径 / 上运行红帽构建的 Keycloak。如果没有,请为所需路径加上前缀。
