Блог

Главная - Вопросы по программированию - Keycloak возвращает «Недопустимый параметр: redirect_uri»

Keycloak возвращает «Недопустимый параметр: redirect_uri»

#docker #oauth-2.0 #keycloak

Вопрос:

[Правка-1] Добавьте область в конфигурацию oauth2, добавьте службу grafana, удалите oauth-keycloak-signin . Конфигурации указаны по этой ссылке

[ОБНОВЛЕНИЕ] Я могу войти на страницу блокировки ключей, но она не смогла направить меня в службу Grafana. Посмотрел журналы OAuth2, что-то странное, токен доступа, сгенерированный с помощью ключа, был проверен на Github, а не для ключа:))) — > >Это было вызвано отсутствием конфигурации oauth validate_url.

Solution :

 - 'traefik.http.middlewares.oauth-keycloak.forwardauth.address=http://oauth-keycloak:4185/oauth2/auth'

Журнал прокси-сервера OAuth2

 paddy_oauth-keycloak.1.nd9v50gfv9kc@staging    | 123.28.110.207 - 411d7575-fb97-42ca-87ed-d57cad683b31 - - [2021/09/30 02:04:53] grafana.my-domain.com GET - "/oauth2/start?rd=https://grafana.my-domain.com/" HTTP/1.1 "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36" 302 419 0.000
paddy_oauth-keycloak.1.nd9v50gfv9kc@staging    | [2021/09/30 02:05:00] [internal_util.go:74] token validation request failed: status 400 - {"error":"invalid_request","error_description":"Token not provided"}
paddy_oauth-keycloak.1.nd9v50gfv9kc@staging    | [2021/09/30 02:05:00] [internal_util.go:69] 400 GET https://keycloak.my-domain.com/auth/realms/staging/protocol/openid-connect/userinfo?access_token=eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJYa1NjbzduRjlaTUpiWDRXVU5mTlhJS2FwOG9ZMHZ1THVZZU1SUk9EQ1J3In0.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... {"error":"invalid_request","error_description":"Token not provided"}
paddy_oauth-keycloak.1.nd9v50gfv9kc@staging    | 123.28.110.207 - 39bea317-002b-4366-858c-01aa6f6901b6 - dathuynh@my-domain.com [2021/09/30 02:05:00] [AuthSuccess] Authenticated via OAuth2: Session{email:dathuynh@my-domain.com user: PreferredUsername: token:true groups:[/pader]}

Я настраиваю keycloak и oauth2 для аутентификации в своей системе. Система работает в режиме docker swarm и использует обратный прокси-сервер traefik. Я следовал этому руководству по настройке контейнера oauth2: https://oauth2-proxy.github.io/oauth2-proxy/docs/configuration/oauth_provider/#keycloak-auth-provider

Я создал нового клиента в области «разработка», с допустимым URL-адресом перенаправления https://oauth-keycloak.my-domain.com/oauth2/callback (это URL-адрес Oauth), использовал аутентификацию переадресации traefik для перенаправления запроса на ключ, если он не прошел проверку подлинности.

Я получил Invalid parameter: redirect_uri за 2 случая:

  • Я получил доступ к Графане, и запрос был перенаправлен в Keycloak
  • Я пытаюсь получить доступ к этой ссылке в конфигурации OAuth https://oauth-keycloak.my-domain.com/auth/realms/development/protocol/openid-connect/auth .

Я искал и пробовал некоторые предложения, но они не сработали для меня. Надеюсь, вы, ребята, сможете помочь. Я действительно оценил это.

Вот моя конфигурация docker swarm:

   keycloak:
    image: quay.io/keycloak/keycloak:15.0.2
    deploy:
      labels:
        - "traefik.enable=true"
        - "traefik.http.routers.keycloak.rule=Host(`keycloak.my-domain.com`)"
        - "traefik.http.routers.keycloak.entrypoints=websecure"
        - "traefik.http.routers.keycloak.tls=true"
        - "traefik.http.routers.keycloak.tls.certresolver=leresolver"
        # Set up service
        - "traefik.http.routers.keycloak.service=keycloak-svc"
        - "traefik.http.services.keycloak-svc.loadbalancer.server.port=8080"
    environment:
      - "DB_VENDOR=POSTGRES"
      - "DB_ADDR=postgis"
      - "DB_DATABASE=${POSTGRES_DB}"
      - "DB_USER=${POSTGRES_USER}"
      - "DB_PASSWORD=${POSTGRES_PASSWORD}"
      - "KEYCLOAK_USER="
      - "KEYCLOAK_PASSWORD="
      - "PROXY_ADDRESS_FORWARDING=true"
      - "KEYCLOAK_LOGLEVEL=DEBUG" # DEBUG, ERROR, INFO

  grafana:
    image: grafana/grafana
    deploy:
      resources:
        limits:
          memory: 256M
      labels:
        - "traefik.enable=true"
        - "traefik.http.routers.grafana.rule=Host(`grafana.my-domain.com`)"
        - "traefik.http.routers.grafana.entrypoints=websecure"
        - "traefik.http.routers.grafana.tls=true"
        - "traefik.http.routers.grafana.tls.certresolver=leresolver"
        # Basic HTTP authentication
        - "traefik.http.routers.grafana.middlewares=oauth-keycloak"
        # Set up service
        - "traefik.http.services.grafana-svc.loadbalancer.server.port=3000"
        - "traefik.http.routers.grafana.service=grafana-svc"
    environment:
      - GF_SECURITY_ADMIN_USER=my-username
      - GF_SECURITY_ADMIN_PASSWORD=my-pasword
      - GF_USERS_ALLOW_SIGN_UP=true
    volumes:
      - "/home/app/grafana:/var/lib/grafana"

  oauth-keycloak:
    image: quay.io/oauth2-proxy/oauth2-proxy
    deploy:
      labels:
        - "traefik.enable=true"
        - "traefik.http.routers.oauth-keycloak.rule=Host(`oauth-keycloak.my-domain.com`) || PathPrefix(`/oauth2`)"
        - "traefik.http.routers.oauth-keycloak.entrypoints=websecure"
        - "traefik.http.routers.oauth-keycloak.tls=true"
        - "traefik.http.routers.oauth-keycloak.tls.certresolver=leresolver"
        # Set up service
        - "traefik.http.routers.oauth-keycloak.service=oauth-keycloak-svc"
        - "traefik.http.services.oauth-keycloak-svc.loadbalancer.server.port=4185"
        # Set up middlewares
        - 'traefik.http.middlewares.oauth-keycloak.forwardauth.address=http://oauth-keycloak:4185'
        - 'traefik.http.middlewares.oauth-keycloak.forwardauth.trustForwardHeader=true'
        - 'traefik.http.middlewares.oauth-keycloak.forwardauth.authResponseHeaders=X-Forwarded-User'
        # - "traefik.http.middlewares.oauth-keycloak-signin.errors.service=oauth-keycloak-svc"
        # - "traefik.http.middlewares.oauth-keycloak-signin.errors.status=401-403"
        # - "traefik.http.middlewares.oauth-keycloak-signin.errors.query=/oauth2/sign_in"
    environment:
      OAUTH2_PROXY_CLIENT_ID: 'development'
      OAUTH2_PROXY_CLIENT_SECRET: '' 
      OAUTH2_PROXY_PROVIDER: 'keycloak'
      OAUTH2_PROXY_SCOPE: 'profile email address phone'
      OAUTH2_PROXY_LOGIN_URL: 'https://keycloak.my-domain.com/auth/realms/development/protocol/openid-connect/auth'
      OAUTH2_PROXY_REDEEM_URL: 'https://keycloak.my-domain.com/auth/realms/development/protocol/openid-connect/token'
      OAUTH2_PROXY_PROFILE_URL: 'https://keycloak.my-domain.com/auth/realms/development/protocol/openid-connect/userinfo'
      OAUTH2_PROXY_VALIDATE_URL: 'https://keycloak.my-domain.com/auth/realms/development/protocol/openid-connect/userinfo'
      
      OAUTH2_PROXY_COOKIE_DOMAINS: 'my-domain.com'
      OAUTH2_PROXY_HTTP_ADDRESS: '0.0.0.0:4185'
      OAUTH2_PROXY_COOKIE_REFRESH: '1h'
      OAUTH2_PROXY_COOKIE_SECURE: 'false'
      OAUTH2_PROXY_COOKIE_SECRET: '0Y18nYVtNLzKQroYQpi0jw=='
      OAUTH2_PROXY_EMAIL_DOMAINS: 'my-domain.com'
      OAUTH2_PROXY_REVERSE_PROXY: 'true'
      OAUTH2_PROXY_WHITELIST_DOMAINS: 'my-domain.com'
      OAUTH2_PROXY_SHOW_DEBUG_ON_ERROR: 'true'

Комментарии:

1. Пожалуйста, укажите полный URL-адрес страницы, на которой вы видите Invalid parameter: redirect_uri .

2. Привет @JanGaraj, я обновил URL-страницу

Ответ №1:

Вы настроили допустимый URI перенаправления https://oauth-keycloak.my-domain.com/oauth2/callback , как вы сказали. В случае доступа к grafana вместо этого должен быть ваш uri перенаправления https://grafana.my-domain.com/oauth2/callback . Вам также нужно будет добавить это в список допустимых URI перенаправления.

Комментарии:

1. Спасибо вам за ваши предложения. Я добавил URL-адрес Grafana, после чего веб-страница возвращает 403 с Login Failed: The upstream identity provider returned an error: invalid_scope . Мне не хватает каких-либо конфигураций области в ключевом замке Client Scopes ?

2. Похоже, что Графана инициирует вход с scope=api помощью . Вам нужно будет добавить область клиента api в Keycloak и добавить ее в свой клиент ( authentication ?) как необязательную или по умолчанию. Возможно, вы также захотите рассмотреть возможность создания отдельного клиента для Grafana в Keycloak.

3. @tandathuynh148 Правильно настройте Графану grafana.com/docs/grafana/latest/auth/generic-oauth Это зависит от того, как используемый клиент настроил области в замке ключей, но обычно это должно быть scope = openid profile email

4. Графана — всего лишь пример. В моей системе есть множество служб, таких как pgadmin, панель мониторинга и другие службы сборки, поэтому мне нужен единый вход и управление пользователями, например, кто может получить доступ к определенной службе, а кто ограничен. Действительно спасибо за ваш вывод, я постараюсь выяснить, что вызывает ошибку 403

5. Я думаю, вы неправильно его сконфигурировали. Это обращение к keycloak.org … который размещен на github. Я думаю, вам нужно заменить эту конфигурацию URL-адресом вашего фактического экземпляра ключа.

Метки: