8.5.7. 故障排除
- 转储 HTTP 标头
-
若要查看反向代理向 Keycloak 发送的内容,启用
RequestDumpingHandlerUndertow 过滤器并查阅server.log文件。 - 在 logging 子系统下启用 TRACE 日志记录
...
<profile>
<subsystem xmlns="urn:jboss:domain:logging:8.0">
...
<logger category="org.keycloak.authentication.authenticators.x509">
<level name="TRACE"/>
</logger>
<logger category="org.keycloak.services.x509">
<level name="TRACE"/>
</logger>警告
不要在生产环境中使用 RequestDumpingHandler 或 TRACE 日志记录。
- 使用 X.509 直接授予身份验证
- 您可以使用以下模板,使用 Resource Owner Password Credentials Grant 来请求令牌:
$ curl https://[host][:port]/auth/realms/master/protocol/openid-connect/token \
--insecure \
--data "grant_type=password&scope=openid profile&username=&password=&client_id=CLIENT_ID&client_secret=CLIENT_SECRET" \
-E /path/to/client_cert.crt \
--key /path/to/client_cert.key[host][:port]- 远程 Red Hat Single Sign-On 服务器的主机和端口号。
CLIENT_ID- 客户端 ID。
CLIENT_SECRET- 对于机密客户端,客户端机密。
client_cert.crt- 在 mutual SSL 身份验证中验证客户端身份的公钥证书。证书必须采用 PEM 格式。
client_cert.key- 公钥对中的私钥。这个密钥必须采用 PEM 格式。
