通过Keycloak REST API注销用户不起作用

Logout user via Keycloak REST API doesn't work

从(移动)应用程序调用Keycloak的注销端点时出现问题。

如其文档中所述，支持此方案：

/realms/{realm-name}/protocol/openid-connect/logout

The logout endpoint logs out the authenticated user.

The user agent can be redirected to the endpoint, in which case the active user session is logged out. Afterward the user agent is redirected back to the application.

The endpoint can also be invoked directly by the application. To invoke this endpoint directly the refresh token needs to be included as well as the credentials required to authenticate the client.

我的请求具有以下格式：

1
2
3
4
5

POST http://localhost:8080/auth/realms/<my_realm>/protocol/openid-connect/logout
Authorization: Bearer
Content-Type: application/x-www-form-urlencoded

refresh_token=<refresh_token>

但是总是会发生此错误：

1
2
3
4
5
6
7
8
9
10
11
12

HTTP/1.1 400 Bad Request
Connection: keep-alive
X-Powered-By: Undertow/1
Server: WildFly/10
Content-Type: application/json
Content-Length: 123
Date: Wed, 11 Oct 2017 12:47:08 GMT

{
"error":"unauthorized_client",
"error_description":"UNKNOWN_CLIENT: Client was not identified by any client authenticator"
}

如果我提供了access_token，似乎Keycloak无法检测到当前客户端的身份事件。我已经使用相同的access_token来访问其他Keycloak的API，而没有任何问题，例如userinfo
(/ auth / realms // protocol / openid-connect / userinfo)。

我的请求基于此Keycloak的问题。问题的作者认为它起作用了，但这不是我的情况。

我正在使用Keycloak 3.2.1.Final。

你有同样的问题吗？您知道如何解决吗？

相关讨论

最后，我通过查看Keycloak的源代码找到了解决方案：https://github.com/keycloak/keycloak/blob/9cbc335b68718443704854b1e758f8335b06c242/services/src/main/java/org/key/ak/keycloak/protocol/oidc/endpoints/ LogoutEndpoint.java＃L169。它说：

If the client is a public client, then you must include a"client_id" form parameter.

所以我所缺少的是client_id表单参数。我的要求应该是：

1
2
3
4
5

POST http://localhost:8080/auth/realms/<my_realm>/protocol/openid-connect/logout
Authorization: Bearer
Content-Type: application/x-www-form-urlencoded

client_id=<my_client_id>&refresh_token=<refresh_token>

该会话应正确销毁。

相关讨论

我使用Keycloak 4.4.0.Final和4.6.0.Final尝试了此操作，但无法使其成功运行。
从这个答案，我不明白您的client_id在Spring Web应用程序中映射到什么？我尝试了IdToken.id，AccessTokenId.id以及context.tokenString-每次收到错误消息时，都会收到无效的客户端凭据
实际上，不需要access token，仅client_id和refresh_token就足够了。
@Manh Ha您能否确认我们需要在请求正文中或作为url参数发送client_id和refresh_token的位置？
@BhagvatLande：这些参数应该在(POST)请求正文中，而不是url中。
谢谢@ManhHa，我正在努力找到刷新令牌，请您解释我在哪里找到了这个，我几乎尝试了所有方式..如果可能的话请尽快回复。再次感谢
@BhagvatLande：这取决于哪个OpenID连接。就我而言，这是"资源所有者"流，我只是向(protocol / openid-connect / token)发送(POST)请求"> localhost：8080 / auth / realms / / protocol /。看起来像这样：{" access_token"：" "，" token_type"：" bearer"，"非之前policy"：0，" session_state"：" cefa0a94-3df5-4d25-affe-f1b517bae85c"，" scope"："电子邮件配置文件"}。在这里您可以找到refresh_token。
谢谢@ManhHa我检查了它是否返回了刷新令牌，但是似乎keycloak为同一用户创建了另一个新会话，这使我遇到了问题，我也不想创建另一个会话
其实我在注销问题上挣扎
我不知道您的用例如何，但是通常在用户登录时(通过OpenID Connects流之一)，您应该保存他的刷新令牌。稍后，当您想注销他时，可以使用相同的刷新令牌注销。您不应使用上面的登录请求(localhost：8080 / auth / realms /％3Cmy_realm％3E / protocol /)来检索(新)刷新令牌，因为Keycloak会为该请求创建一个新会话，如您所见。您可以描述有关您的系统的更多信息(您正在使用的流程)，也许我可以讲更多一点。
让我们继续聊天中的讨论。
@ManhHa从何处获取" refresh_token"以包含在"数据"中？
@ManhHa我在聊天室中看到您说"我只是向本地主机发送一个(POST)请求：8080 / auth / realms / / protocol / openid-connec t / token"。当我这样做时(有效负载中有或没有cliend_id)，我得到了400个代码，这是相同的错误，意味着"没有有效的凭证"
@SwissNavy：您在登录用户时获得刷新令牌(这意味着您可能已向本地主机发送请求：8080 / auth / realms / / protocol / openid-connec t / token)，该请求的响应可能看起来像这样： { "access_token":"", "expires_in": 299, "refresh_expires_in": 1799, "refresh_token":"", "token_type":"bearer", "not-before-policy": 0, "session_state":"", "scope":"profile email" } 您可以在该响应中找到刷新令牌。
@ManhHa。谢谢，但是我的意思是将refresh_token存储在哪里(如果已存储)？我没有在cookie中找到它。我登录并浏览了一段时间，现在我想注销，此时我可以从哪里检索此令牌？击中openid-connect / token只会给我{"error":"unauthorized_client","error_description":"INVALID_ CREDENTIALS: Invalid client credentials"}，也许我说的不对...
@SwissNavy：这取决于您如何与Keycloak集成：哪个OpenID Connect流(隐式流/身份验证流/资源所有者密码授予/客户端凭据授予)，因为我认为并非所有这些流都为您提供刷新令牌。您可能需要参考OpenID Connect协议文档以获取更多信息。您使用的技术堆栈也很重要，因为某些库/框架可能存储刷新令牌的方式有所不同。我可能会问您正在使用哪种流程+技术堆栈？
@ManhHa。我有一个使用Django 2.2的Web容器，该容器与keycloak容器通信(使用拉出的jboss / keycloak映像进行构建)。一切都可以正常登录，但是对于注销，我需要refresh_token，因此我需要它：url_token ="http::8080authrealmsaccprotocolopenid-connecttoken" data = {client_id : , grant_type: client_credentials} r = requests.post(url_token, data = data)并获取{"error":"unauthorized_client","error_description":"INVALID_ CREDENTIALS: Invalid client credentials"}。还尝试使用用户名和密码而不是client_id。
@ManhHa。来自curl POST的相同响应。我的一些挣扎在这里描述：stackoverflow.com/questions/58198713/
@ManhHa在我的realm.json文件中，有以下一行：" accessTokenLifespanForImplicitFlow"：900。这是否意味着我正在使用隐式流？如果是这样，我应该如何注销？我没有编写该应用，所以我在这里有些猜测。
香港专业教育学院从未使用过Django(因为我是Java家伙？)，但我尝试查看您正在使用的框架(社交核心)来实现Keycloak。我似乎不在任何地方存储刷新令牌：github.com/python-social-auth/social-core/blob/。最好向图书馆维护者解决您的问题。
关于realm.json的第二个问题，我不认为该参数意味着您正在使用隐式。但是，如果您使用的是Chrome，则可能需要使用developers.google.com/web/tools/chrome-devtools/network/来分析应用程序和Keycloak之间的网络交换。寻找一个参数Grant_type，它应该是您要寻找的流程。
@ManhHa谢谢。我的网络流量中没有Grant_type。登录后，我的request.session包含以下内容：项目：dict_items([[next，/)，(keycloak_state，k3edci3ZqYCdh7KXIGhJ6Wte32t3lRY4)，(_auth_user_id，37)，(_auth_user_backend，social_core.backends.keycloak.9a_f9a_9_f_a_f_a9f9b9a9b9a9f9b9a9f9a9b9f9b9a9b8f9b9b9f9b9b9f8b7b9f9a9b8b人)，((social_auth_last_login_backend，keycloak)])，我想知道是否有任何可用于注销调用...
@SwissNavy：不幸的是，您不能使用其中任何一个来调用/ logout端点。

与Keycloak 6.0一起使用。

只是为了清楚起见：我们确实使refreshToken过期，但是accessToken仍然有效，而" Access Token Lifespan"时间。下次用户尝试通过刷新令牌更新访问令牌时，Keycloak返回400错误请求，应捕获并发送为401未经授权的响应。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

public void logout(String refreshToken) {
try {
MultiValueMap<String, String> requestParams = new LinkedMultiValueMap<>();
requestParams.add("client_id","my-client-id");
requestParams.add("client_secret","my-client-id-secret");
requestParams.add("refresh_token", refreshToken);

logoutUserSession(requestParams);

} catch (Exception e) {
log.info(e.getMessage(), e);
throw e;
}
}

private void logoutUserSession(MultiValueMap<String, String> requestParams) {
HttpHeaders headers = new HttpHeaders();
headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);

HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(requestParams, headers);

String url ="/auth/realms/my-realm/protocol/openid-connect/logout";

restTemplate.postForEntity(url, request, Object.class);
// got response 204, no content
}

相关讨论

在版本3.4中，您需要作为x-www-form-urlencoded主体密钥client_id，client_secret和refresh_token。

相关讨论

仅供参考：OIDC规范和Google的实现具有令牌撤销端点
但是目前在Keycloak中尚未实现，因此您可以在Keycloak JIRA中对该功能进行投票

根据代码：https://github.com/keycloak/keycloak/blob/master/services/src/main/java/org/keycloak/protocol/oidc/endpoints/LogoutEndpoint.java#L106

这就是我的SpringBoot FX应用程序的工作方式

GET http：// loccalhost：8080 / auth / realms / / protocol / openid-connect / logout？post_redirect_uri = your_encodedRedirectUri＆id_token_hint = id_token

我用Keycloak 4.4.0.Final和4.6.0.Final进行了尝试。我检查了keycloak服务器日志，并在控制台输出中看到以下警告消息。

1
2

10:33:22,882 WARN [org.keycloak.events] (default task-1) type=REFRESH_TOKEN_ERROR, realmId=master, clientId=security-admin-console, userId=null, ipAddress=127.0.0.1, error=invalid_token, grant_type=refresh_token, client_auth_method=client-secret
10:40:41,376 WARN [org.keycloak.events] (default task-5) type=LOGOUT_ERROR, realmId=demo, clientId=eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqYTBjX18xMHJXZi1KTEpYSGNqNEdSNWViczRmQlpGS3NpSHItbDlud2F3In0.eyJqdGkiOiI1ZTdhYzQ4Zi1mYjkyLTRkZTYtYjcxNC01MTRlMTZiMmJiNDYiLCJleHAiOjE1NDM0MDE2MDksIm5iZiI6MCwiaWF0IjoxNTQzNDAxMzA5LCJpc3MiOiJodHRwOi8vMTI3Lj, userId=null, ipAddress=127.0.0.1, error=invalid_client_credentials

那么如何建立HTTP请求呢？首先，我从HttpSession中检索了用户主体，并将其转换为内部Keycloak实例类型：

1
2
3
4
5

KeycloakAuthenticationToken keycloakAuthenticationToken = (KeycloakAuthenticationToken) request.getUserPrincipal();
final KeycloakPrincipal keycloakPrincipal = (KeycloakPrincipal)keycloakAuthenticationToken.getPrincipal();
final RefreshableKeycloakSecurityContext context = (RefreshableKeycloakSecurityContext) keycloakPrincipal.getKeycloakSecurityContext();
final AccessToken accessToken = context.getToken();
final IDToken idToken = context.getIdToken();

其次，我按照最上面的堆栈溢出答案(见上文)创建注销URL：

1 2	final String logoutURI = idToken.getIssuer() +"/protocol/openid-connect/logout?"+ "redirect_uri="+response.encodeRedirectURL(url.toString());

现在，我将像下面这样构建其余的HTTP请求：

1
2
3
4

KeycloakRestTemplate keycloakRestTemplate = new KeycloakRestTemplate(keycloakClientRequestFactory);
HttpHeaders headers = new HttpHeaders();
headers.put("Authorization", Collections.singletonList("Bearer"+idToken.getId()));
headers.put("Content-Type", Collections.singletonList("application/x-www-form-urlencoded"));

并构建正文内容字符串：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

StringBuilder bodyContent = new StringBuilder();
bodyContent.append("client_id=").append(context.getTokenString())
.append("&")
.append("client_secret=").append(keycloakCredentialsSecret)
.append("&")
.append("user_name=").append(keycloakPrincipal.getName())
.append("&")
.append("user_id=").append(idToken.getId())
.append("&")
.append("refresh_token=").append(context.getRefreshToken())
.append("&")
.append("token=").append(accessToken.getId());
HttpEntity<String> entity = new HttpEntity<>(bodyContent.toString(), headers);
// ...
ResponseEntity<String> forEntity = keycloakRestTemplate.exchange(logoutURI, HttpMethod.POST, entity, String.class); // *FAILURE*

如您所见，我尝试了多种主题更改，但是我一直在获得无效的用户身份验证。
哦耶。我将application.properties中的keycloak凭据秘密使用@Value注入到对象实例字段中

1 2	@Value("${keycloak.credentials.secret}") private String keycloakCredentialsSecret;

Java Spring Security经验丰富的工程师有何想法？

附录
我在KC中创建了一个名为" demo"的领域，并创建了一个名为" web-portal"的客户端
具有以下参数：

1
2
3
4
5
6

Client Protocol: openid-connect
Access Type: public
Standard Flow Enabled: On
Implicit Flow Enabled: Off
Direct Access Grants Enabled: On
Authorization Enabled: Off

这是重建重定向URI的代码，我忘了在此处包含它。

1
2
3
4
5
6
7
8
9
10
11
12
13
14

final String scheme = request.getScheme(); // http
final String serverName = request.getServerName(); // hostname.com
final int serverPort = request.getServerPort(); // 80
final String contextPath = request.getContextPath(); // /mywebapp

// Reconstruct original requesting URL
StringBuilder url = new StringBuilder();
url.append(scheme).append("://").append(serverName);

if (serverPort != 80 && serverPort != 443) {
url.append(":").append(serverPort);
}

url.append(contextPath).append("/offline-page.html");

就这样

相关讨论