第 15 章 缓解安全威胁
任何身份验证服务器中都存在安全漏洞。如需更多信息,请参阅互联网工程任务 Force's (IETF) OAuth 2.0 Threat Model 和 OAuth 2.0 Security best Current practice。
15.1. 主机
红帽构建的 Keycloak 以多种方式使用公共主机名,如令牌签发者字段和密码重置电子邮件中的 URL。
默认情况下,主机名从请求标头派生。不存在验证以确保主机名有效。如果您没有在 Red Hat build of Keycloak 中使用负载均衡器或代理,以防止无效的主机标头,请配置可接受的主机名。
主机名的服务提供商接口(SPI)提供了一种为请求配置主机名的方法。您可以使用此内置供应商为前端请求设置固定 URL,同时根据请求 URI 允许后端请求。如果内置供应商没有所需的功能,您可以开发自定义供应商。