8.4. 传出 HTTP 请求

Red Hat Single Sign-On 发送的传出 HTTP 请求可以选择使用基于以逗号分隔的代理映射列表的代理服务器。proxy-mapping 表示基于 regex 的 hostname 模式和 proxy-uri 的结合，格式为 hostnamePattern;proxyUri，例如：

.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

要确定目标主机名与配置的主机名匹配的传出 HTTP 请求的代理。第一个匹配模式决定了要使用的 proxy-uri。如果没有为给定主机名匹配的配置模式，则不会使用代理。

如果代理服务器需要身份验证，请包含代理用户的凭据，格式为 username:password@。例如：

.*\.(google|googleapis)\.com;http://user01:pas2w0rd@www-proxy.acme.com:8080

proxy-uri 的特殊值 NO_PROXY 来表示不应用于匹配关联主机名模式的主机。可以在 proxy-mappings 的末尾指定一个概括性模式，为所有传出请求定义默认代理。

以下示例演示了 proxy-mapping 配置。

# All requests to Google APIs should use http://www-proxy.acme.com:8080 as proxy
.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

# All requests to internal systems should use no proxy
.*\.acme\.com;NO_PROXY

# All other requests should use http://fallback:8080 as proxy
.*;http://fallback:8080

这可以通过以下 jboss-cli 命令进行配置。请注意，您需要正确转义 regex-pattern，如下所示。

echo SETUP: Configure proxy routes for HttpClient SPI

# In case there is no connectionsHttpClient definition yet
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:add(enabled=true)

# Configure the proxy-mappings
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:write-attribute(name=properties.proxy-mappings,value=[".*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080",".*\\.acme\\.com;NO_PROXY",".*;http://fallback:8080"])

jboss-cli 命令产生以下子系统配置：请注意，一个需要用 " 字符编码为" 字符。

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property
            name="proxy-mappings"
            value="[&quot;.*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080&quot;,&quot;.*\\.acme\\.com;NO_PROXY&quot;,&quot;.*;http://fallback:8080&quot;]"/>
        </properties>
    </provider>
</spi>

另外，也可以使用标准环境变量来配置代理映射，即 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY 变量。

HTTP_PROXY 和 HTTPS_PROXY 变量代表所有传出 HTTP 请求的代理服务器。红帽单点登录在两者之间没有不同。如果同时指定了这两者，则 HTTPS_PROXY 会优先考虑代理服务器使用的实际方案。

NO_PROXY 变量用于定义不应使用代理的主机名的逗号分隔列表。如果指定了主机名，则所有前缀（子域）也会在使用代理中排除。

获取以下示例：

HTTPS_PROXY=https://www-proxy.acme.com:8080
NO_PROXY=google.com,login.facebook.com

在本例中，所有传出的 HTTP 请求都将使用 https://www-proxy.acme.com:8080 代理服务器，但请求发送到示例 login.google.com,google.com,auth.login.facebook.com。但是，例如 groups.facebook.com 将通过代理进行路由。

如果使用子系统配置（如上所述）定义代理映射，则 Red Hat Sign-On 不会考虑环境变量。在这种情况下，应该不使用代理服务器，尽管定义了 HTTP_PROXY 环境变量。要做到这一点，您可以指定一个通用没有代理路由，如下所示：

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property name="proxy-mappings" value=".*;NO_PROXY"/>
        </properties>
    </provider>
</spi>

当 Red Hat Single Sign-On 在远程 HTTPS 端点上调用时，它必须验证远程服务器的证书以确保其连接到可信服务器。这是为了防止中间人攻击所必需的。这些远程服务器或者签名的 CA 的证书必须放在信任存储中。此信任存储由 Red Hat Single Sign-On 服务器管理。

当安全地连接到身份代理、LDAP 身份提供程序、发送电子邮件时以及与客户端应用程序后端通信时，会使用 truststore。

您可以使用 keytool 创建新的信任存储文件，或将现有可信主机证书中添加可信主机证书：

$ keytool -import -alias HOSTDOMAIN -keystore truststore.jks -file host-certificate.cer

信任存储在分发的 standalone.xml、standalone-ha.xml 或 domain.xml 文件中进行配置。此文件的位置取决于您的 操作模式。您可以使用以下模板添加信任存储配置：

<spi name="truststore">
    <provider name="file" enabled="true">
        <properties>
            <property name="file" value="path to your .jks file containing public certificates"/>
            <property name="password" value="password"/>
            <property name="hostname-verification-policy" value="WILDCARD"/>
            <property name="enabled" value="true"/>
        </properties>
    </provider>
</spi>

此设置的可能配置选项有：