8.5. 传出 HTTP 请求

Red Hat Single Sign-On 发送的传出 HTTP 请求可以选择性地根据以逗号分隔的代理映射列表使用代理服务器。proxy-mapping 以 hostnamePattern;proxyUri 的形式表示基于 regex 的主机名和 proxy-uri 的组合，例如：

.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

要确定传出 HTTP 请求的代理，目标主机名与配置的主机名解析模式匹配。第一个匹配模式决定要使用的代理部分。如果给定主机名没有配置的模式都不匹配，则无法使用代理。

如果代理服务器需要身份验证，请使用以下格式包括代理用户的凭据，即 username:password@。例如：

.*\.(google|googleapis)\.com;http://user01:pas2w0rd@www-proxy.acme.com:8080

proxy-uri 的特殊值 NO_PROXY 用于表示不应将任何代理用于与相关主机名模式匹配的主机。可以在 proxy-mappings 的末尾指定一个 catch-all 模式，为所有传出请求定义默认代理。

以下示例演示了 proxy-mapping 配置。

# All requests to Google APIs should use http://www-proxy.acme.com:8080 as proxy
.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

# All requests to internal systems should use no proxy
.*\.acme\.com;NO_PROXY

# All other requests should use http://fallback:8080 as proxy
.*;http://fallback:8080

这可以通过以下 jboss-cli 命令进行配置。请注意，您需要正确转义 regex-pattern，如下所示。

echo SETUP: Configure proxy routes for HttpClient SPI

# In case there is no connectionsHttpClient definition yet
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:add(enabled=true)

# Configure the proxy-mappings
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:write-attribute(name=properties.proxy-mappings,value=[".*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080",".*\\.acme\\.com;NO_PROXY",".*;http://fallback:8080"])

jboss-cli 命令生成以下子系统配置：请注意，一个需要用 " 对字符进行编码。

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property
            name="proxy-mappings"
            value="[&quot;.*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080&quot;,&quot;.*\\.acme\\.com;NO_PROXY&quot;,&quot;.*;http://fallback:8080&quot;]"/>
        </properties>
    </provider>
</spi>

或者，也可以使用标准环境变量来配置代理映射，即 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY 变量。

HTTP_PROXY 和 HTTPS_PROXY 变量代表应用于所有传出 HTTP 请求的代理服务器。Red Hat Single Sign-On 在两者之间没有不同。如果同时指定了，HTTPS_PROXY 会优先考虑代理服务器使用的实际方案。

NO_PROXY 变量用于定义不应使用代理的主机名的逗号分隔列表。如果指定了主机名，则使用代理将其所有前缀（子域）都排除在内。

使用以下示例：

HTTPS_PROXY=https://www-proxy.acme.com:8080
NO_PROXY=google.com,login.facebook.com

在这个示例中，除 login.google.com 的请求外，所有传出的 HTTP 请求都将使用 https://www-proxy.acme.com:8080 代理服务器，google.com、auth.login.facebook.com。但是，例如 groups.facebook.com 将通过代理路由。

如果使用子系统配置来定义代理映射（如上所述），红帽单点登录不会考虑环境变量。在这种情况下，不应使用代理服务器，尽管定义了 HTTP_PROXY 环境变量。要做到这一点，您可以指定一个通用没有代理路由，如下所示：

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property name="proxy-mappings" value=".*;NO_PROXY"/>
        </properties>
    </provider>
</spi>

当 Red Hat Single Sign-On 在远程 HTTPS 端点上调用时，必须验证远程服务器的证书，以确保它连接到可信服务器。这是防止中间人攻击的必要性。这些远程服务器或者签署这些证书的 CA 的证书必须放在信任存储中。这个信任存储由红帽单点登录服务器管理。

信任器的配置始终由 Red Hat Single Sign-On truststore SPI 进行。如果密钥存储是由 JBoss 安全传统或 Elytron TLS 配置的，则本节中的说明适用。

在安全地连接到身份代理、LDAP 身份提供程序、发送电子邮件以及与客户端应用程序后端通信时使用信任存储。

您可以使用 keytool 创建新信任存储文件，或将可信主机证书添加到现有主机证书中：

$ keytool -import -alias HOSTDOMAIN -keystore truststore.jks -file host-certificate.cer

truststore 在分发的 standalone.xml、standalone-ha.xml 或 domain.xml 文件中配置。这个文件的位置取决于您的 操作模式。您可以使用以下模板添加信任存储配置：

<spi name="truststore">
    <provider name="file" enabled="true">
        <properties>
            <property name="file" value="path to your .jks file containing public certificates"/>
            <property name="password" value="password"/>
            <property name="hostname-verification-policy" value="WILDCARD"/>
        </properties>
    </provider>
</spi>

此设置的可能配置选项有：