#keycloak #keycloak-services
#keycloak #keycloak-сервисы
Вопрос:
Я предполагаю, что Keycloak имеет предопределенные алгоритмы / активные ключи, такие как RSA256, AES и HS256?
Можно ли использовать RSA512 вместо RSA256?
Спасибо за вашу любезную помощь
Ответ №1:
Вы правы. Он имеет несколько предопределенных алгоритмов и ключей. Но вы можете изменить их настройки и заставить Keycloak использовать RSA512. Для этого в настройках вашей области перейдите на вкладку «Ключи» и выберите вложенную вкладку «Поставщики». Там вы можете нажать на кнопку «Редактировать» rsa-generated поставщика (который существует по умолчанию) и изменить его алгоритм или размер ключа на другое значение. Короче говоря:
Настройки области> Ключи> Поставщики> Редактировать ( rsa-generated строки)
В списке поставщиков у вас также есть возможность загрузить свое собственное хранилище ключей с соответствующим закрытым ключом, использующим алгоритм, который вы предпочитаете.
Ответ №2:
В дополнение к rsa-generated настройкам поставщика, вам может потребоваться перейти в «Сведения о клиенте» -> «Дополнительно» -> «Мелкозернистая конфигурация OpenID Connect» и указать RS512 в «Алгоритм подписи токена доступа» и «Алгоритм подписи токена идентификатора». В противном случае Keycloak создает fallback-RS256 поставщика и продолжает использовать RS256 протокол