keycloak存到cookie中的值和session_state

2023-03-30 14:40 作者:bfyxzls 0人讀過(guò) | 我要投稿

keycloak存到cookie中的值和session_state

??AUTH_SESSION_ID

??KEYCLOAK_IDENTITY

??KEYCLOAK_SESSION

AUTH_SESSION_ID

用戶的當(dāng)前session_state，它是會(huì)話級(jí)的，關(guān)閉瀏覽器就沒(méi)了

KEYCLOAK_IDENTITY

它是用戶跨端登錄的基礎(chǔ)，它也是一個(gè)jwt串，解析后是這樣的結(jié)果，用戶在當(dāng)前端沒(méi)有登錄時(shí)，會(huì)跳到kc認(rèn)證頁(yè)，當(dāng)發(fā)現(xiàn)cookie里的kc域下有這個(gè)KEYCLOAK_IDENTITY，會(huì)使用這個(gè)session_state進(jìn)行認(rèn)證，沒(méi)有這個(gè)鍵，KC認(rèn)證不能完成。

{
????"exp":?1682659005,
????"iat":?1680067005,
????"jti":?"d655a51e-f363-43cf-9f3e-1be8c4f7f082",
????"iss":?"https://finalcas.pkulaw.com/auth/realms/fabao",
????"sub":?"347c9e9e-076c-45e3-be74-c482fffcc6e5",
????"typ":?"Serialized-ID",
????"session_state":?"4b020044-d273-41c6-9cea-c9ea1b0814f7",
????"state_checker":?"SGniuhvr-FbQ7aznFTiTDIi2Gt4CKev7DI3vLNvJufo"
}

注意：如果瀏覽器的cookie里的KEYCLOAKIDENTITY丟失了，會(huì)導(dǎo)致KC出現(xiàn)無(wú)法登錄的問(wèn)題，解決方法只能是清除瀏覽器里的AUTHSESSIONID和KEYCLOAKSESSION，注意還有后綴為L(zhǎng)EGACY的鍵值.

KEYCLOAK_SESSION

當(dāng)你可算讓KC記住你的登錄狀態(tài)，這時(shí)KC會(huì)在cookie中生成KEYCLOAK_SESSION，它的值默認(rèn)與AUTHSESSIONID相同，當(dāng)是一個(gè)包含過(guò)期時(shí)間的cookie，瀏覽器關(guān)閉后它依然保持，直到你在KC記住我中配置的過(guò)期時(shí)間。

假設(shè)還有第2個(gè)、第3個(gè)應(yīng)用，在keycloak的相同的realm中注冊(cè)了各自的client，我們?cè)谠L問(wèn)第2個(gè)、第3個(gè)應(yīng)用的時(shí)候，也會(huì)跳轉(zhuǎn)到keycloak登錄頁(yè)面（帶上各自的clientid,?redirecturl），但是就像上面的現(xiàn)象一樣，我們的keycloak登錄頁(yè)對(duì)應(yīng)的domain/path中有那3個(gè)cookie值A(chǔ)UTHSESSIONID，KEYCLOAKIDENTITY和KEYCLOAKSESSION，?這樣就會(huì)自動(dòng)跳轉(zhuǎn)到我們應(yīng)用的界面，無(wú)需填寫(xiě)keycloak登錄的賬號(hào)密碼，并且能夠返回授權(quán)碼code，這就算登錄成功了，登錄成功之后，后續(xù)的操作就是我們?cè)倮眠@個(gè)授權(quán)碼code和client_secret訪問(wèn)keycloak去獲取access?token，這就是Oauth2.0的授權(quán)碼模式。

?

sesssion_state

以上三個(gè)被存儲(chǔ)在客戶端瀏覽器里的鍵值（?AUTH_SESSION_ID、?KEYCLOAK_IDENTITY、KEYCLOAK_SESSION）都有對(duì)session_state的存儲(chǔ)，只不過(guò)，他們存儲(chǔ)的有效期不同，AUTH_SESSION_ID是會(huì)話級(jí)，后兩個(gè)是與KC后臺(tái)配置的記住我中的refresh_token有效期相同的，即SSO?Session?Idle，?SSO?Session?Max，Client?Session?Idle，Client?Session?Max四個(gè)配置，誰(shuí)小使用誰(shuí)。

??當(dāng)session_state達(dá)到這個(gè)refreshtoken的超時(shí)時(shí)間+access_token超時(shí)時(shí)間后，它會(huì)被刪除

??當(dāng)用戶進(jìn)行登出操作后，它會(huì)被刪除

??如下配置，用戶在3+2分鐘后PM?02:22:17時(shí)，它的?會(huì)話將被刪除（回收）

?

在02：22：17?PM時(shí)，這個(gè)會(huì)話將被回收，同時(shí)這個(gè)用戶在前端也會(huì)從新去登錄頁(yè)認(rèn)證

在02：22：17?PM時(shí)，這個(gè)會(huì)話將被回收，同時(shí)這個(gè)用戶在前端也會(huì)從新去登錄頁(yè)認(rèn)證

標(biāo)簽：