8.5. 请求方令牌

请求方令牌 (RPT) 是使用 JSON web signature (JWS) 进行了数字签名的 JSON web token (JWT)。令牌基于之前由红帽构建的 Keycloak 签发的 OAuth2 访问令牌构建，代表用户或代表用户或自己使用。

当您解码 RPT 时，您会看到类似如下的有效负载：

{
  "authorization": {
      "permissions": [
        {
          "resource_set_id": "d2fe9843-6462-4bfc-baba-b5787bb6e0e7",
          "resource_set_name": "Hello World Resource"
        }
      ]
  },
  "jti": "d6109a09-78fd-4998-bf89-95730dfd0892-1464906679405",
  "exp": 1464906971,
  "nbf": 0,
  "iat": 1464906671,
  "sub": "f1888f4d-5172-4359-be0c-af338505d86c",
  "typ": "kc_ett",
  "azp": "hello-world-authz-service"
}

{
  "authorization": {
      "permissions": [
        {
          "resource_set_id": "d2fe9843-6462-4bfc-baba-b5787bb6e0e7",
          "resource_set_name": "Hello World Resource"
        }
      ]
  },
  "jti": "d6109a09-78fd-4998-bf89-95730dfd0892-1464906679405",
  "exp": 1464906971,
  "nbf": 0,
  "iat": 1464906671,
  "sub": "f1888f4d-5172-4359-be0c-af338505d86c",
  "typ": "kc_ett",
  "azp": "hello-world-authz-service"
}

Copy to Clipboard

Toggle word wrap

在此令牌中，您可以从权限声明中获取服务器授予的所有权限。

另请注意，权限直接与您保护的资源/范围相关联，并将其与用于实际授予和发出相同权限的访问控制方法完全分离。

8.5.1. 内省请求方令牌
复制链接

有时，您可能希望内省一个请求方令牌(RPT)，以检查其有效期，或在令牌中获取权限，以对资源服务器端执行授权决策。

令牌内省可帮助您实现两种主要用例：

当客户端应用程序需要查询令牌有效期时，以获取具有相同或额外权限的一个新令牌
在资源服务器端强制实施授权决策时，特别是在没有内置策略强制适合应用程序时

8.5.2. 获取有关 RPT 的信息
复制链接

令牌内省基本上是一个 OAuth2 令牌内省与端点，您可以从中获取有关 RPT 的信息。

http://${host}:${port}/realms/${realm-name}/protocol/openid-connect/token/introspect

http://${host}:${port}/realms/${realm-name}/protocol/openid-connect/token/introspect

Copy to Clipboard

Toggle word wrap

要使用此端点内省 RPT，您可以向服务器发送请求，如下所示：

curl -X POST \
    -H "Authorization: Basic aGVsbG8td29ybGQtYXV0aHotc2VydmljZTpzZWNyZXQ=" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d 'token_type_hint=requesting_party_token&token=${RPT}' \
    "http://localhost:8080/realms/hello-world-authz/protocol/openid-connect/token/introspect"

curl -X POST \
    -H "Authorization: Basic aGVsbG8td29ybGQtYXV0aHotc2VydmljZTpzZWNyZXQ=" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d 'token_type_hint=requesting_party_token&token=${RPT}' \
    "http://localhost:8080/realms/hello-world-authz/protocol/openid-connect/token/introspect"

Copy to Clipboard

Toggle word wrap

注意

上面的请求使用 HTTP BASIC，并传递客户端的凭据（客户端 ID 和机密），以验证尝试内省令牌的客户端，但您可以使用红帽构建的 Keycloak 支持的任何其他客户端验证方法。

内省端点需要两个参数：

token_type_hint
使用 request_party_token 作为此参数的值，这表示您要内省 RPT。
token
在授权过程中，使用令牌字符串作为此参数的值，由服务器在授权过程中返回。

因此，服务器响应：

{
  "permissions": [
    {
      "resource_id": "90ccc6fc-b296-4cd1-881e-089e1ee15957",
      "resource_name": "Hello World Resource"
    }
  ],
  "exp": 1465314139,
  "nbf": 0,
  "iat": 1465313839,
  "aud": "hello-world-authz-service",
  "active": true
}

{
  "permissions": [
    {
      "resource_id": "90ccc6fc-b296-4cd1-881e-089e1ee15957",
      "resource_name": "Hello World Resource"
    }
  ],
  "exp": 1465314139,
  "nbf": 0,
  "iat": 1465313839,
  "aud": "hello-world-authz-service",
  "active": true
}

Copy to Clipboard

Toggle word wrap

如果 RPT 未激活，则返回这个响应：

{
  "active": false
}

{
  "active": false
}

Copy to Clipboard

Toggle word wrap

8.5.3. 每次我想要内省 RPT 时，我是否需要调用服务器？
复制链接

否。就像红帽构建的 Keycloak 服务器发布的常规访问令牌一样，RPT 还使用 JSON Web 令牌(JWT)规格作为默认格式。

如果要在不调用远程内省端点的情况下验证这些令牌，您可以解码 RPT 并在本地查询其有效。解码令牌后，您还可以使用令牌中的权限来强制实施授权决策。

这基本上是策略强制器的作用。确保：

验证 RPT 的签名（基于域的公钥）
基于它的 exp, iat, 和 aud 声明来查询令牌的有效性。

返回顶部

8.5. 请求方令牌

8.5.1. 内省请求方令牌
复制链接

8.5.2. 获取有关 RPT 的信息
复制链接

8.5.3. 每次我想要内省 RPT 时，我是否需要调用服务器？
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.5. 请求方令牌

8.5.1. 内省请求方令牌复制链接链接已复制到粘贴板!

8.5.2. 获取有关 RPT 的信息复制链接链接已复制到粘贴板!

8.5.3. 每次我想要内省 RPT 时，我是否需要调用服务器？复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.5.1. 内省请求方令牌
复制链接

8.5.2. 获取有关 RPT 的信息
复制链接

8.5.3. 每次我想要内省 RPT 时，我是否需要调用服务器？
复制链接