2.4. 红帽构建的 Keycloak JavaScript 适配器

适配器以多种方式发布，但我们建议您从 NPM 安装 keycloak-js 软件包：

npm install keycloak-js

另外，该库可以直接从位于 /js/keycloak.js 的 Keycloak 服务器的红帽构建中检索，也可以作为 ZIP 存档分发。但是，我们考虑从 Keycloak 服务器直接包含适配器已被弃用，这个功能可能会在以后被删除。

要考虑使用客户端侧应用的一个重要事项是客户端必须是公共客户端，因为无法将客户端凭据存储在客户端侧应用中。考虑到这一点，请确保您为客户端配置的重定向 URI 正确且尽量具体。

要使用适配器，请在红帽构建的 Keycloak 管理控制台中为应用程序创建一个客户端。通过将客户端身份验证切换为 Off 在 Capability 配置页面中使客户端变为 Off。

您还需要配置 Valid Redirect URI 和 Web Origins。尽可能具体，因为无法这样做，可能会导致安全漏洞。

以下示例演示了如何初始化适配器。确保将传递给 Keycloak 构造器的选项替换为您配置的客户端。

import Keycloak from 'keycloak-js';

const keycloak = new Keycloak({
    url: 'http://keycloak-server${kc_base_path}',
    realm: 'myrealm',
    clientId: 'myapp'
});

try {
    const authenticated = await keycloak.init();
    console.log(`User is ${authenticated ? 'authenticated' : 'not authenticated'}`);
} catch (error) {
    console.error('Failed to initialize adapter:', error);
}

要进行身份验证，您需要调用 登录 功能。有两个选项以使适配器自动验证。您可以将 login-required 或 check-sso 传递给 init （） 函数。

您可以配置一个静默的 check-sso 选项。启用这个功能后，您的浏览器不会对红帽构建的 Keycloak 服务器执行完全重定向到您的应用程序，但此操作将在隐藏的 iframe 中执行。因此，您的应用程序资源只会由浏览器加载并解析一次，即在应用程序被初始化时，而不是在从红帽构建的 Keycloak 重新到应用程序后再次解析。对于 SPAs (Single Page Applications)，此方法特别有用。

要启用 silent check-sso，您可以在 init 方法中提供 silentCheckSsoRedirectUri 属性。确保此 URI 是应用程序中的有效端点；它必须配置为红帽构建的 Keycloak 管理控制台中的客户端的有效重定向：

keycloak.init({
    onLoad: 'check-sso',
    silentCheckSsoRedirectUri: `${location.origin}/silent-check-sso.html`
});

在成功检查身份验证状态并从红帽 Keycloak 服务器检索令牌后，silent check-sso redirect uri 会加载到 iframe 中。除了将接收的令牌发送到主应用程序外，它没有其他任务，应该只类似如下：

<!doctype html>
<html>
<body>
    <script>
        parent.postMessage(location.href, location.origin);
    </script>
</body>
</html>

请记住，此页面必须由您的应用程序在 silentCheckSsoRedirectUri 中的指定位置提供，且不是 适配器的一部分。

要在 Load to login-required 上启用 login-required 设置为 login-required，并传递给 init 方法：

keycloak.init({
    onLoad: 'login-required'
});

在经过身份验证后，应用程序可以通过在 Authorization 标头中包含 bearer 令牌来向红帽构建的 Keycloak 安全的 RESTful 服务发出请求。例如：

async function fetchUsers() {
    const response = await fetch('/api/users', {
        headers: {
            accept: 'application/json',
            authorization: `Bearer ${keycloak.token}`
        }
    });

    return response.json();
}

请记住，访问令牌默认具有较短的过期时间，因此您可能需要在发送请求前刷新访问令牌。您可以通过调用 updateToken （） 方法来刷新此令牌。这个方法会返回 Promise，它可让您仅在成功刷新令牌时轻松调用该服务，并在用户未刷新时向用户显示一个错误。例如：

try {
    await keycloak.updateToken(30);
} catch (error) {
    console.error('Failed to refresh token:', error);
}

const users = await fetchUsers();

默认情况下，适配器会创建一个隐藏的 iframe，用于检测是否发生 Single-Sign Out。这个 iframe 不需要任何网络流量。相反，通过查看特殊的状态 cookie 来检索状态。通过在传递给 init （） 方法的选项中设置 checkLoginIframe: false 来禁用此功能。

您不应该直接查看这个 Cookie。其格式可能会改变，它还与红帽构建的 Keycloak 服务器的 URL 关联，而不是您的应用程序。

默认情况下，适配器使用 Authorization Code 流。

在这个版本中，红帽构建的 Keycloak 服务器会将授权代码而不是身份验证令牌返回给应用程序。JavaScript 适配器在浏览器重定向到应用程序后交换访问令牌的代码和刷新令牌。

红帽构建的 Keycloak 还支持 Implicit 流，在通过红帽构建的 Keycloak 身份验证成功后立即发送访问令牌。此流的性能可能比标准流更强，因为不存在额外的请求来交换令牌的代码，但在访问令牌过期时有影响。

但是，在 URL 片段中发送访问令牌可能是一个安全漏洞。例如，令牌可能会通过 Web 服务器日志或浏览器历史记录泄漏。

要启用隐式流，您可以在红帽构建的 Keycloak 管理控制台中为客户端启用 Implicit Flow Enabled 标志。您还将参数 流 传递值为 implicit 到 init 方法：

keycloak.init({
    flow: 'implicit'
})

请注意，只提供访问令牌，且没有刷新令牌。这意味着，一旦访问令牌已过期，应用程序必须重新重定向到红帽构建的 Keycloak，以获取新的访问令牌。

红帽构建的 Keycloak 还支持 混合 流。

此流要求客户端在管理控制台中 同时启用 了标准流和 Implicit 流。然后，红帽构建的 Keycloak 服务器会将代码和令牌发送到您的应用程序。访问令牌可以立即使用，同时可以交换代码来访问和刷新令牌。与隐式流类似，混合流对性能很好，因为访问令牌会立即可用。但是，令牌仍然在 URL 中发送，前面提到的安全漏洞可能仍然适用。

混合流中的一个优点是刷新令牌可供应用程序使用。

对于混合流，您需要将带有值 hybrid 参数 流 传递给 init 方法：

keycloak.init({
    flow: 'hybrid'
});

红帽构建的 Keycloak 支持使用 Apache Cordova 开发的混合移动应用程序。适配器具有两种模式： cordova 和 cordova-native ：

默认为 cordova，如果没有显式配置适配器类型，且存在 window.cordova，则适配器会自动选择它。登录时，它会打开一个 InApp Browser，允许用户与红帽构建的 Keycloak 交互，随后通过重定向到 http://localhost 来返回到应用程序。由于此行为，您可以在管理控制台的客户端配置部分中将此 URL 列为有效的 redirect-uri。

虽然此模式易于设置，但也有一些缺点：

另一种模式是'cordova-native'，它采用不同的方法。它使用系统的浏览器打开登录页面。用户通过身份验证后，浏览器将使用特殊 URL 重新重定向到应用。在这里，红帽构建的 Keycloak 适配器可以通过从 URL 读取代码或令牌来完成登录。

您可以通过将 adapter 类型 cordova-native 传递给 init （） 方法来激活原生模式：

keycloak.init({
    adapter: 'cordova-native'
});

这个适配器需要额外的插件：

链接到应用程序的技术详情在每个平台上有所不同，需要特殊设置。具体步骤请查看 deeplinks 插件文档中的 Android 和 iOS 部分。

开放应用程序有不同类型的链接：* 自定义方案，如 myapp://login 或 android-app://com.example.myapp/https/example.com/login * Universal Links (iOS)）/ Deep Links (Android)。虽然前者更容易设置并倾向于更可靠工作，但后者会提供额外的安全性，因为它们是唯一的，且只有域的所有者可以注册它们。custom-URLs 在 iOS 上已弃用。为获得最佳可靠性，我们建议您将通用链接与使用 custom-url 链接的回退站点结合使用。

另外，我们建议以下步骤提高与适配器的兼容性：

<preference name="AndroidLaunchMode" value="singleTask" />

在某些情况下，您可能需要在不受默认支持的环境中运行适配器，如 Capacitor。要在这些环境中使用 JavasScript 客户端，您可以传递自定义适配器。例如，第三方库可以提供这样的适配器，以便可以可靠地运行适配器：

import Keycloak from 'keycloak-js';
import KeycloakCapacitorAdapter from 'keycloak-capacitor-adapter';

const keycloak = new Keycloak();

keycloak.init({
    adapter: KeycloakCapacitorAdapter,
});

这个特定软件包不存在，但它是一个很好的例子，它是如何传递给客户端的适配器。

也可以自行创建适配器，您必须实施 KeycloakAdapter 接口中描述的方法。例如，以下 TypeScript 代码确保所有方法都被正确实现：

import Keycloak, { KeycloakAdapter } from 'keycloak-js';

// Implement the 'KeycloakAdapter' interface so that all required methods are guaranteed to be present.
const MyCustomAdapter: KeycloakAdapter = {
    login(options) {
        // Write your own implementation here.
    }

    // The other methods go here...
};

const keycloak = new Keycloak();

keycloak.init({
    adapter: MyCustomAdapter,
});

通过省略类型信息，您也可以在没有 TypeScript 的情况下执行此操作，但确保正确实现接口将完全保留给您。

在最新版本的某些浏览器中，会应用各种 Cookie 策略，以防止由第三方跟踪用户，如 Chrome 中的 SameSite 或完全阻止第三方 Cookie。这些策略可能会变得更严格并被其他浏览器随时间采用。最终，第三方上下文中的 Cookie 可能会完全不受支持，并由浏览器阻止。因此，受影响的适配器功能可能会最终被弃用。

适配器依赖于 Session Status iframe、静默 check-sso 以及部分常规（非静默） check-sso。这些功能有有限的功能，或者根据浏览器对 Cookie 的限制而完全禁用。适配器会尝试检测此设置并相应地响应。