Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 7 章 主机名

Red Hat Single Sign-On 将公共主机名用于多个内容。例如,在令牌签发者字段中,在密码重置电子邮件中发送。

Hostname SPI 提供了一种为请求配置主机名的方法。默认提供程序允许为 frontend 请求设置固定 URL,同时允许后端请求基于请求 URI。如果内置供应商不提供所需的功能,也可以自行开发自己的供应商。

7.1. 默认供应商
复制链接

默认主机名提供程序使用配置的 frontendUrl 作为 frontend 请求(来自 user-agents 的请求)的基本 URL,并使用请求 URL 作为后端请求(直接来自客户端的请求)的基础。

frontend 请求不必与 Keycloak 服务器具有相同的 context-path。这意味着您可以在 上公开 Keycloak,例如 https://auth.example.orghttps://example.org/keycloak,而内部的 URL 可以是 https://10.0.0.10:8080/auth。

这使得 user-agents (browsers)可以通过公共域名向 ${project.name} 发送请求,而内部客户端可以使用内部域名或 IP 地址。

这反映在 OpenID Connect Discovery 端点中,例如 authorization_endpoint 使用 frontend URL,而 token_endpoint 使用后端 URL。请注意,此处实例的公共客户端将通过公共端点联系 Keycloak,这会导致 authorization_endpointtoken_endpoint 的基本是相同的。

要为 Keycloak 设置 frontendUrl,您可以将 add -Dkeycloak.frontendUrl=https://auth.example.org 传递给启动,或者在 standalone.xml 中配置它。请参见以下示例: 

<spi name="hostname">
    <default-provider>default</default-provider>
    <provider name="default" enabled="true">
        <properties>
            <property name="frontendUrl" value="https://auth.example.com"/>
            <property name="forceBackendUrlToFrontendUrl" value="false"/>
        </properties>
    </provider>
</spi>
Copy to Clipboard Toggle word wrap

要使用 jboss-cli 更新 frontendUrl,请使用以下命令: 

/subsystem=keycloak-server/spi=hostname/provider=fixed:write-attribute(name=properties.frontendUrl,value="https://auth.example.com")
Copy to Clipboard Toggle word wrap

如果您希望所有请求都经过公共域名,您可以通过将 forceBackendUrlToFrontendUrl 设置为 true 来强制后端请求使用 frontend URL。

也可以覆盖各个域的默认 frontend URL。这可以在管理控制台中完成。

如果您不想在公共域中公开管理端点和控制台,请使用 adminUrl 属性为 admin 控制台设置固定 URL,这与 frontendUrl 不同。有关如何进行此操作的详情,还需要阻止从外部访问 /auth/ admin

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat