6.4. 使用客户端注册 CLI

无论登录方法如何，登录的帐户需要适当的权限才能执行客户端注册操作。请记住，非主域中的任何帐户只能有一个权限管理同一域中客户端。如果需要管理不同的域，您可以在不同的域中配置多个用户，也可以在 master 域中创建单个用户，并在不同的域中管理客户端的角色。

您不能使用客户端注册 CLI 配置用户。使用 Admin Console Web 界面或 Admin Client CLI 配置用户。如需了解更多详细信息，请参阅 服务器管理指南。

当 kcreg 成功登录时，它会接收授权令牌并将其保存在私有配置文件中，以便令牌可用于后续调用。有关配置文件的更多信息，请参阅 第 6.4.2 节 “使用其他配置”。

有关使用客户端注册 CLI 的详情，请查看内置的帮助。

例如，在：

$ kcreg.sh help

c:\> kcreg help

有关启动经过身份验证的会话的更多信息，请参阅 kcreg config credentials --help。

默认情况下，客户端注册 CLI 会在用户主目录下自动维护默认位置 ./.keycloak/kcreg.config 的配置文件。您可以使用 --config 选项指向其他文件或位置，以并行维护多个经过身份验证的会话。从单一线程执行与单个配置文件关联的操作是最安全的方法。

您可能需要通过将 --no-config 选项与所有命令一起使用来避免将 secret 存储在配置文件中，即使它较方便，但需要更多令牌请求来执行。使用每个 kcreg 调用指定所有身份验证信息。

在他们想使用的 Red Hat Single Sign-On 服务器上未配置帐户的开发人员可使用客户端注册 CLI。只有域管理员向开发人员发出 Initial Access Token 时，才能实现。它由域管理员决定如何和何时发布这些令牌。域管理员可以限制 Initial Access Token 的最长期限，以及可使用它创建的客户端总数。

当开发人员具有 Initial Access Token 后，开发人员就可以使用它来创建新客户端，而无需向 kcreg 配置凭证 进行身份验证。Initial Access Token 可以存储在配置文件中，或者指定为 kcreg create 命令的一部分。

例如，在：

$ kcreg.sh config initial-token $TOKEN
$ kcreg.sh create -s clientId=myclient

或者

$ kcreg.sh create -s clientId=myclient -t $TOKEN

c:\> kcreg config initial-token %TOKEN%
c:\> kcreg create -s clientId=myclient

或者

c:\> kcreg create -s clientId=myclient -t %TOKEN%

在使用 Initial Access Token 时，服务器响应包括新发布的注册访问令牌。该客户端的所有后续操作都需要通过与该令牌进行身份验证来执行，这仅对该客户端有效。

客户端注册 CLI 自动使用其专用配置文件来保存并使用其关联的客户端。只要所有客户端操作都使用相同的配置文件，开发人员不需要进行身份验证以这种方式创建、更新或删除创建的客户端。

有关初始访问和注册访问令牌的更多信息，请参阅客户端注册。

运行 kcreg config initial-token --help 和 kcreg config registration-token --help 命令以了解有关如何使用 Client Registration CLI 配置令牌的更多信息。

在使用凭据进行身份验证或配置初始访问令牌后，第一项任务通常是创建新客户端。通常，您可能希望使用准备的 JSON 文件作为模板，并设置或覆盖某些属性。

以下示例演示了如何读取 JSON 文件，覆盖任何客户端 id，设置任何其他属性，并在成功创建后将配置打印到标准输出。

$ kcreg.sh create -f client-template.json -s clientId=myclient -s baseUrl=/myclient -s 'redirectUris=["/myclient/*"]' -o

C:\> kcreg create -f client-template.json -s clientId=myclient -s baseUrl=/myclient -s "redirectUris=[\"/myclient/*\"]" -o

运行 kcreg create --help 来获取有关 kcreg create 命令的更多信息。

您可以使用 kcreg attrs 来列出可用的属性。请记住，许多配置属性没有检查有效或一致性。您需要指定适当的值。请记住，您不应具有模板中的任何 id 字段，不应将它们指定为 kcreg create 命令的参数。

您可以使用 kcreg get 命令检索现有客户端。

例如，在：

$ kcreg.sh get myclient

C:\> kcreg get myclient

您还可以作为适配器配置文件检索客户端配置，该文件可以与 Web 应用程序打包。

例如，在：

$ kcreg.sh get myclient -e install > keycloak.json

C:\> kcreg get myclient -e install > keycloak.json

运行 kcreg get --help 命令以了解有关 kcreg get 命令的更多信息。

更新客户端配置有两种方法。

种方法是在获取当前配置后向服务器提交完整的新状态，将其保存到文件中，编辑该文件，并将它发回到服务器。

例如，在：

$ kcreg.sh get myclient > myclient.json
$ vi myclient.json
$ kcreg.sh update myclient -f myclient.json

C:\> kcreg get myclient > myclient.json
C:\> notepad myclient.json
C:\> kcreg update myclient -f myclient.json

第二个方法获取当前客户端，设置或删除它的字段，然后在一个步骤中重新发布它。

例如，在：

$ kcreg.sh update myclient -s enabled=false -d redirectUris

C:\> kcreg update myclient -s enabled=false -d redirectUris

您还可以使用仅包含要应用的更改的文件，因此不必将过多的值指定为参数。在这种情况下，指定 --merge 告知客户端注册 CLI，而不是将 JSON 文件视为完整的新配置，而是应该将其视为要通过现有配置应用的一组属性。

例如，在：

$ kcreg.sh update myclient --merge -d redirectUris -f mychanges.json

C:\> kcreg update myclient --merge -d redirectUris -f mychanges.json

运行 kcreg update --help 命令以了解有关 kcreg update 命令的更多信息。

使用以下示例删除客户端。

$ kcreg.sh delete myclient

C:\> kcreg delete myclient

运行 kcreg delete --help 命令以了解有关 kcreg delete 命令的更多信息。

当使用 --no-config 模式执行创建、读取、更新和删除(CRUD)操作时，客户端注册 CLI 无法为您处理注册访问令牌。在这种情况下，可能会丢失最近为客户端发出的注册访问令牌，这样就无法在该客户端上执行进一步的 CRUD 操作而无需与有 管理客户端 权限的帐户进行身份验证。

如果您有权限，您可以为客户端发布新的注册访问令牌，并将其打印到标准输出或保存到您选择的配置文件中。否则，您需要询问域管理员为您的客户端发布新的注册访问令牌并将其发送给您。然后，您可以通过 --token 选项将其传递给任何 CRUD 命令。您还可以使用 kcreg config registration-token 命令将新令牌保存在配置文件中，并使客户端注册 CLI 会自动为您处理它。

运行 kcreg update-token --help 命令以了解有关 kcreg update-token 命令的更多信息。