第 5 章 参考

provider

配置 OpenID Connect 供应商。

secure-deployment

由 OpenID Connect 供应商保护的部署。

realm

配置红帽构建的 Keycloak 域。这为方便用户提供。您可以在 keycloak 客户端适配器中复制配置，并在此处使用。建议使用 供应商。

allow-any-hostname

false

如果将值设为 true，则在与 OpenID 供应商通信时跳过主机名验证。这在测试时很有用。不要在生产环境中将其设置为 true。

always-refresh-token

如果设置为 true，则子系统会在每次应用收到 Web 请求时刷新令牌，并将新请求发送到 OpenID 供应商以获取新的访问令牌。

auth-server-url

红帽构建的 Keycloak 域授权服务器的基本 URL。如果使用此属性，还必须定义 realm 属性。

您还可以使用 provider-url 属性在单个属性中提供基本 URL 和 realm。

autodetect-bearer-only

false

设置是否自动检测 bearer-only 请求。

当收到 bearer-only 请求时，autodetect-bearer-only 被设置为 true，应用程序无法参与浏览器登录。

使用此属性根据 X-Requested-With、PPAction 或 Accept 等标头自动检测简单对象访问协议(SOAP )或 REST 客户端。

client-id

在 OpenID 提供程序中注册的 JBoss EAP 的客户端 ID。

client-key-password

如果指定了 client-keystore，请在此属性中指定密码。

client-keystore

如果您的应用通过 HTTPS 与 OpenID 提供程序通信，请在此属性中设置客户端密钥存储的路径。

client-keystore-password

如果指定了 客户端密钥存储，请提供用于在此属性中访问它的密码。

confidential-port

8443

指定 OpenID 供应商使用的机密端口(SSL/TLS)。

connection-pool-size

指定与 OpenID 供应商通信时使用的连接池大小。

connection-timeout-millis

-1L

指定与远程主机建立连接的超时时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L.-1L 表示该值未定义，这是默认值。

connection-ttl-millis

-1L

指定连接保留的时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

cors-allowed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-allowed-methods

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Methods 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-exposed-headers

如果启用了 CORS，这将设置 Access-Control-Expose-Headers 标头的值。这应该是一个用逗号分开的字符串。这是 optinal。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-max-age

设置 Cross-Origin Resource Sharing (CORS) Max-Age 标头的值。该值可以在 -1L 和 2147483647L 之间。只有在 enable-cors 设为 true 时，此属性才会生效。

disable-trust-manager

指定在通过 HTTPS 与 OpenID 供应商通信时是否使用信任管理器。

enable-cors

false

启用红帽构建的 Keycloak Cross-Origin Resource Sharing (CORS)支持。

expose-token

false

如果设置为 true，经过身份验证的浏览器客户端可以通过 Javascript HTTP 调用来获取签名的访问令牌，通过 URL root/k_query_bearer_token。这是可选的。这特定于红帽构建的 Keycloak。

ignore-oauth-query-parameter

false

禁用对 access_token 的查询参数解析。

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体

provider-url

指定 OpenID 供应商 URL。

proxy-url

如果使用 HTTP 代理，请指定 HTTP 代理的 URL。

realm-public-key

指定域的公钥。

register-node-at-startup

false

如果设置为 true，则会将注册请求发送到红帽构建的 Keycloak。此属性仅在您的应用程序集群时才有用。

register-node-period

指定重新注册节点的频率。

socket-timeout-millis

以毫秒为单位指定等待数据的套接字超时。

ssl-required

external

指定与 OpenID 供应商的通信是否应该通过 HTTPS。该值可以是以下之一：

token-signature-algorithm

RS256

指定 OpenID 供应商使用的令牌签名算法。支持的算法有：

token-store

为 auth-session 数据指定 Cookie 或会话存储。

truststore

指定用于客户端 HTTPS 请求的信任存储。

truststore-password

指定 truststore 密码。

verify-token-audience

false

如果设置为 true，则在仅 bearer 身份验证期间，如果令牌包含此客户端名称(资源)作为受众，则验证。

allow-any-hostname

false

如果将值设为 true，则在与 OpenID 供应商通信时跳过主机名验证。这在测试时很有用。不要将其设置为生产环境中的 ture。

always-refresh-token

如果设置为 true，JBoss EAP 会在每次 Web 请求上刷新令牌。

auth-server-url

红帽构建的 Keycloak 域授权服务器的基本 URL，也可以使用 provider-url 属性。

autodetect-bearer-only

false

设置是否自动检测 bearer-only 请求。当收到 bearer-only 请求时，autodetect-bearer-only 被设置为 true，应用程序无法参与浏览器登录。

bearer-only

false

把它设置为 true，以通过 Bearer Token 身份验证来保护应用。启用 Bearer Token 身份验证时，用户不会重定向到 OpenID 提供程序以进行登录；而 elytron-oidc-client 子系统会尝试验证用户的 bearer 令牌。

client-id

OpenID 提供程序中注册的客户端的唯一标识符。

client-key-password

如果指定了 client-keystore，请在此属性中指定其密码。

client-keystore

如果您的应用通过 HTTPS 与 OpenID 提供程序通信，请在此属性中设置客户端密钥存储的路径。

client-keystore-password

如果指定了 客户端密钥存储，请提供用于在此属性中访问它的密码。

confidential-port

8443

指定 OpenID 供应商使用的机密端口(SSL/TLS)。

connection-pool-size

指定与 OpenID 供应商通信时使用的连接池大小。

connection-timeout-millis

-1L

指定与远程主机建立连接的超时时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

connection-ttl-millis

-1L

指定连接保留的时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L. -1L 表示该值未定义，这是默认值。

cors-allowed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-allowed-methods

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Methods 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-exposed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Expose-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-max-age

设置 Cross-Origin Resource Sharing (CORS) Max-Age 标头的值。该值可以在 -1L 和 2147483647L 之间。只有在 enable-cors 设为 true 时，此属性才会生效。

credential

指定用于与 OpenID 供应商通信的凭证。

disable-trust-manager

指定在通过 HTTPS 与 OpenID 供应商通信时是否使用信任管理器。

enable-cors

false

启用红帽构建的 Keycloak Cross-Origin Resource Sharing (CORS)支持。

enable-basic-auth

false

启用 Basic Authentication 以指定用于获取 bearer 令牌的凭证。

expose-token

false

如果设置为 true，经过身份验证的浏览器客户端可以通过 Javascript HTTP 调用来获取签名的访问令牌，通过 URL root/k_query_bearer_token。这是可选的。这特定于红帽构建的 Keycloak。

ignore-oauth-query-parameter

false

禁用对 access_token 的查询参数解析。

min-time-between-jwks-requests

如果子系统检测到由未知公钥签名的令牌，JBoss EAP 会尝试从 elytron-oidc-client 服务器下载新的公钥。属性指定 JBoss EAP 在后续下载尝试前等待的时间（以秒为单位）。该值可以在 -1L 和 2147483647L 之间。

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体

provider

指定 OpenID 供应商。

provider-url

指定 OpenID 供应商 URL。

proxy-url

如果使用 HTTP 代理，请指定 HTTP 代理的 URL。

public-client

false

如果设置为 true，则在与 OpenID 提供程序通信时不会发送客户端凭证。这是可选的。

realm

在 Red Hat build of Keycloak 中连接的域。

realm-public-key

以 PEM 格式指定 OpenID 供应商的公钥。

redirect-rewrite-rule

指定要应用到重定向 URI 的重写规则。

register-node-at-startup

false

如果设置为 true，则会将注册请求发送到红帽构建的 Keycloak。此属性仅在您的应用程序集群时才有用。

register-node-period

指定重新注册节点的频率（以秒为单位）。

resource

指定您要使用 OIDC 保护的应用程序名称。或者，您可以指定 client-id。

socket-timeout-millis

以毫秒为单位指定等待数据的套接字超时。

ssl-required

external

指定与 OpenID 供应商的通信是否应该通过 HTTPS。该值可以是以下之一：

token-minimum-time-to-live

如果当前令牌过期或是在您设定的时间（以秒为单位）内过期，则适配器会刷新令牌。

token-signature-algorithm

RS256

指定 OpenID 供应商使用的令牌签名算法。支持的算法有：

token-store

为 auth-session 数据指定 Cookie 或会话存储。

truststore

指定用于适配器客户端 HTTPS 请求的信任存储。

truststore-password

指定 truststore 密码。

turn-off-change-session-id-on-login

false

会话 ID 默认在成功登录时更改。将值设为 true 以将此关闭。

use-resource-role-mappings

false

使用从令牌获取的资源级别权限。

verify-token-audience

false

如果设置为 true，则在仅 bearer 身份验证过程中，适配器会验证令牌是否包含这个客户端名称(资源)作为受众。

adapter-state-cookie-path

如果设置，这将定义子系统设置的 Cookie 中使用的路径。如果没有设置，则使用"" 作为路径。

allow-any-hostname

false

如果将值设为 true，则在与 OpenID 供应商通信时跳过主机名验证。这在测试时很有用。不要在生产环境中将其设置为 true。

always-refresh-token

如果设置为 true，则子系统会在每次应用收到 Web 请求时刷新令牌，并将新请求发送到 OpenID 供应商以获取新的访问令牌。

auth-server-url-for-backend-requests

指定仅用于直接调用 OpenID 供应商的后端请求的 URL，而无需通过负载均衡器或反向代理。

auth-server-url

红帽构建的 Keycloak 域授权服务器的基本 URL，也可以使用 provider-url 属性。

autodetect-bearer-only

false

设置是否自动检测 bearer-only 请求。

当收到 bearer-only 请求时，autodetect-bearer-only 被设置为 true，应用程序无法参与浏览器登录。

使用此属性根据 X-Requested-With、PPAction 或 Accept 等标头自动检测简单对象访问协议(SOAP )或 REST 客户端。

bearer-only

false

把它设置为 true，以通过 Bearer Token 身份验证来保护应用。

启用 Bearer Token 身份验证时，用户不会重定向到 OpenID 提供程序以进行登录；而 elytron-oidc-client 子系统会尝试验证用户的 bearer 令牌。

client-id

OpenID 提供程序中注册的客户端的唯一标识符。

client-key-password

如果指定了 client-keystore，请在此属性中指定其密码。

client-keystore-password

如果指定了 客户端密钥存储，请提供用于在此属性中访问它的密码。

client-keystore

通过 HTTPS 与 OpenID 提供程序通信时，在此属性中设置客户端密钥存储的路径。

confidential-port

8443

指定 OpenID 供应商使用的机密端口(SSL/TLS)。

connection-pool-size

指定与 OpenID 供应商通信时使用的连接池大小。

connection-timeout-millis

-1L

指定与远程主机建立连接的超时时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

connection-ttl-millis

-1L

指定连接保留的时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L. -1L 表示该值未定义，这是默认值。

cors-allowed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-allowed-methods

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Methods 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-exposed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Expose-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-max-age

设置 Cross-Origin Resource Sharing (CORS) Max-Age 标头的值。该值可以在 -1L 和 2147483647L 之间。只有在 enable-cors 设为 true 时，此属性才会生效。

credential

指定用于与 OpenID 供应商通信的凭证。

disable-trust-manager

指定在通过 HTTPS 与 OpenID 供应商通信时是否使用信任管理器。

enable-basic-auth

false

启用 Basic Authentication 以指定用于获取 bearer 令牌的凭证。

enable-cors

false

启用红帽构建的 Keycloak Cross-Origin Resource Sharing (CORS)支持。

expose-token

false

如果设置为 true，经过身份验证的浏览器客户端可以通过 Javascript HTTP 调用来获取签名的访问令牌，通过 URL root/k_query_bearer_token。这是可选的。这特定于红帽构建的 Keycloak。

ignore-oauth-query-parameter

false

禁用对 access_token 的查询参数解析。

min-time-between-jwks-requests

如果子系统检测到由未知公钥签名的令牌，JBoss EAP 会尝试从 elytron-oidc-client 服务器下载新的公钥。但是，如果您已经尝试了小于这个值的值，则 JBoss EAP deosn 不会尝试下载新的公钥，以秒为单位。该值可以在 -1L 和 2147483647L 之间。

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体。

provider

指定 OpenID 供应商。

provider-url

指定 OpenID 供应商 URL。

proxy-url

如果使用 HTTP 代理，请指定 HTTP 代理的 URL。

public-client

false

如果设置为 true，则在与 OpenID 提供程序通信时不会发送客户端凭证。这是可选的。

public-key-cache-ttl

两个请求之间检索新公钥的最大间隔（以秒为单位）。

realm-public-key

以 PEM 格式指定 OpenID 供应商的公钥。

realm

在 Red Hat build of Keycloak 中连接的域。

redirect-rewrite-rule

指定要应用到重定向 URI 的重写规则。

register-node-at-startup

false

如果设置为 true，则会将注册请求发送到红帽构建的 Keycloak。此属性仅在您的应用程序集群时才有用。

register-node-period

指定重新注册节点的频率（以秒为单位）。

resource

指定您要使用 OIDC 保护的应用程序名称。或者，您可以指定 client-id。

socket-timeout-millis

以毫秒为单位指定等待数据的套接字超时。

ssl-required

external

指定与 OpenID 供应商的通信是否应该通过 HTTPS。该值可以是以下之一：

token-minimum-time-to-live

如果当前令牌过期或是在您设定的时间（以秒为单位）内过期，则适配器会刷新令牌。

token-signature-algorithm

RS256

指定 OpenID 供应商使用的令牌签名算法。支持的算法有：

token-store

为 auth-session 数据指定 Cookie 或会话存储。

truststore-password

指定 truststore 密码。

truststore

指定用于适配器客户端 HTTPS 请求的信任存储。

turn-off-change-session-id-on-login

false

会话 ID 默认在成功登录时更改。将值设为 true 以将此关闭。

use-resource-role-mappings

false

使用从令牌获取的资源级别权限。

verify-token-audience

false

如果设置为 true，则在仅 bearer 身份验证过程中，适配器会验证令牌是否包含这个客户端名称(资源)作为受众。

allow-any-hostname

false

如果将值设为 true，则在与 OpenID 供应商通信时跳过主机名验证。这在测试时很有用。不要将其设置为生产环境中的 ture。

always-refresh-token

如果设置为 true，则子系统会在每次应用收到 Web 请求时刷新令牌，并将新请求发送到 OpenID 供应商以获取新的访问令牌。

auth-server-url

红帽构建的 Keycloak 域授权服务器的基本 URL，也可以使用 provider-url 属性。

autodetect-bearer-only

false

设置是否自动检测 bearer-only 请求。当收到 bearer-only 请求时，autodetect-bearer-only 被设置为 true，应用程序无法参与浏览器登录。

client-key-password

如果指定了 client-keystore，请在此属性中指定密码。

client-keystore

如果您的应用通过 HTTPS 与 OpenID 提供程序通信，请在此属性中设置客户端密钥存储的路径。

client-keystore-password

如果指定了 客户端密钥存储，请提供用于在此属性中访问它的密码。

confidential-port

8443

指定红帽构建的 Keycloak 使用的机密端口(SSL/TLS)。

connection-pool-size

指定与红帽构建的 Keycloak 通信时使用的连接池大小。

connection-timeout-millis

-1L

指定与远程主机建立连接的超时时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

connection-ttl-millis

-1L

指定连接保留的时间（以毫秒为单位）。最小值为 -1L，最大 2147483647L。-1L 表示值未定义，这是默认值。

cors-allowed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-allowed-methods

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Allow-Methods 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-exposed-headers

如果启用了 Cross-Origin Resource Sharing (CORS)，这将设置 Access-Control-Expose-Headers 标头的值。这应该是一个用逗号分开的字符串。这是可选的。如果没有设置，则不会在 CORS 响应中返回此标头。

cors-max-age

设置 Cross-Origin Resource Sharing (CORS) Max-Age 标头的值。该值可以在 -1L 和 2147483647L 之间。只有在 enable-cors 设为 true 时，此属性才会生效。

disable-trust-manager

指定在通过 HTTPS 与 OpenID 供应商通信时是否使用信任管理器。

enable-cors

false

启用红帽构建的 Keycloak Cross-Origin Resource Sharing (CORS)支持。

expose-token

false

如果设置为 true，经过身份验证的浏览器客户端可以通过 Javascript HTTP 调用来获取签名的访问令牌，通过 URL root/k_query_bearer_token。这是可选的。

ignore-oauth-query-parameter

false

禁用对 access_token 的查询参数解析。

principal-attribute

指定 ID 令牌中的声明值，用作身份的主体

provider-url

指定 OpenID 供应商 URL。

proxy-url

如果使用 HTTP 代理，请指定 HTTP 代理的 URL。

realm-public-key

指定域的公钥。

register-node-at-startup

false

如果设置为 true，则会将注册请求发送到红帽构建的 Keycloak。此属性仅在您的应用程序集群时才有用。

register-node-period

指定重新注册节点的频率。

socket-timeout-millis

以毫秒为单位指定等待数据的套接字超时。

ssl-required

external

指定与 OpenID 供应商的通信是否应该通过 HTTPS。该值可以是以下之一：

token-signature-algorithm

RS256

指定 OpenID 供应商使用的令牌签名算法。支持的算法有：

token-store

为 auth-session 数据指定 Cookie 或会话存储。

truststore

指定用于客户端 HTTPS 请求的信任存储。

truststore-password

指定 truststore 密码。

verify-token-audience

false

如果设置为 true，则在仅 bearer 身份验证过程中，适配器会验证令牌是否包含这个客户端名称（资源）作为 audience。