কীক্লোক বহনকারী-কেবল ক্লায়েন্ট: কেন তারা বিদ্যমান?

10

আমি bearer-onlyকিক্লোকে ক্লায়েন্টদের ধারণার আশেপাশে আমার মাথা গুটিয়ে দেওয়ার চেষ্টা করছি ।

আমি জনসাধারণ বনাম গোপনীয়তার ধারণা এবং পরিষেবা অ্যাকাউন্ট এবং স্টাফের ধারণাটি বুঝতে পারি grant_type=client_credentials। তবে bearer-onlyআমি আটকে আছি

গুগলিং কেবল আলোচনার টুকরো প্রকাশ করে বলেছে:

আপনি bearer-onlyক্লায়েন্টের সাথে কীক্লোক থেকে একটি টোকেন পেতে পারেন না ।

ডক্সগুলিও অস্পষ্ট। তারা যা বলে তা হ'ল:

কেবল বহনকারী-অ্যাক্সেস প্রকারের অর্থ এই অ্যাপ্লিকেশনটি কেবল বহনকারী টোকেন অনুরোধগুলিকেই মঞ্জুরি দেয়।

ঠিক আছে, যদি আমার অ্যাপ্লিকেশনটি কেবল বহনকারী টোকেন অনুরোধগুলি মঞ্জুরি দেয় তবে আমি ক্লায়েন্ট আইডি / ক্লায়েন্টের গোপনীয়তা ব্যবহার করে কীক্লোয়াক থেকে এটি না পেলে কীভাবে আমি এই টোকনটি পেতে পারি?

এবং যদি আপনি একটি টোকেন পেতে না পারেন তবে আপনি আদৌ কী করতে পারেন? কেন এই ক্লায়েন্টদের অস্তিত্ব আছে? কেউ দয়া করে এই ধরণের ক্লায়েন্ট ব্যবহারের উদাহরণ সরবরাহ করতে পারেন?

keycloak 
kurtgn
সূত্র

উত্তর:

5

আমার বোঝাপথে, আপনি যখন কিছু অভ্যন্তরীণ পরিষেবা পাবেন তখন এটি ব্যবহৃত হয়। বলি আপনার আছে ServiceAএবং আছে ServiceB। একজন ব্যবহারকারী কল করে ServiceAযা কল করে ServiceBServiceBকেবল কখনও অন্যান্য পরিষেবাদি দ্বারা সরাসরি কখনও ব্যবহারকারীকে ডাকে না। ServiceAব্যবহারকারীর শংসাপত্রগুলি ব্যবহার করে একটি টোকেন পাবেন। এবং তারপরে কল করতে এই টোকেনটি ব্যবহার করবে ServiceBServiceBকখনও লগইন শুরু করবে না। অনুমতিগুলি যাচাই করার জন্য এটি টোকেনটি ব্যবহার করবে।

confidentialএক্ষেত্রে সার্ভিসএ হবে এবং সার্ভিস bearer-onlyক্লায়েন্ট হবে।

ইউরি পি
সূত্র
1
সুতরাং এর অর্থ হ'ল যদি আমার ক্লায়েন্টটি কেবল বহনকারী হয় তবে আমার কাছে উপলভ্য একমাত্র বিকল্পটি কিক্লোয়াকের কাছে যাচাইয়ের জন্য অনুরোধ করছে তা নিশ্চিত করে টোকেনটি ServiceAবৈধ কিনা is রাইট? তবে যদি এটি হয় তবে কেনইক্লোককে কল করুন? যদি আমার ক্লায়েন্টের একটি সর্বজনীন কীক্লোক কী থাকে তবে এটি কী কী ক্লাক কখনও কল না করে এই কীটি ব্যবহার করে তা যাচাই করতে পারে।
কুর্টগন
টোকেন সুযোগ কারণে। সার্ভিস এ এর ​​বি সার্ভিস বি ব্যতিরেকে অন্য সুযোগ থাকা উচিত, সুতরাং টোকেন এক্সচেঞ্জের জন্য আপনার কীকলোড দরকার
জুলিয়ান
@ জুলিয়ানএগনার এটি উপলব্ধি করে, টোকেন এক্সচেঞ্জ ব্যতীত বর্তমানে টেক প্রিভিউতে রয়েছে, সম্পূর্ণরূপে সমর্থিত নয় এবং অবশ্যই একটি এনভ পরিবর্তনশীল দ্বারা স্পষ্টভাবে চালু করা উচিত। bearer-onlyসত্যিই কি এই ব্যবহার-কেস সমর্থন করার জন্য স্থানে রয়েছে যা এখনও প্রস্তুত নয়?
নিরব
@ আইরবুল আপনি টোকেন এক্সচেঞ্জ প্রযুক্তি সংক্রান্ত পূর্বরূপে থাকবে এমন তথ্যটি কোথায় পেয়েছেন?
জুলিয়ান এগার
@ জুলিয়ানইগনার এটি তাদের ডক্সের একেবারে নীচে তালিকাভুক্ত করা হয়েছিল। Keycloak.org/docs/latest/securing_apps/…-এ তালিকাভুক্ত করা হয়েছে এটি বলছে "টোকেন এক্সচেঞ্জটি প্রযুক্তিগত পূর্বরূপ এবং পুরোপুরি সমর্থিত নয় This এই বৈশিষ্ট্যটি ডিফল্টরূপে অক্ষম করা আছে।"
নিরব
5

বহনকারী-কেবল অ্যাক্সেস প্রকারের অর্থ

কেবল বহনকারী-অ্যাক্সেস প্রকারের অর্থ এই অ্যাপ্লিকেশনটি কেবল বহনকারী টোকেন অনুরোধগুলিকেই মঞ্জুরি দেয়। যদি এটি চালু থাকে তবে এই অ্যাপ্লিকেশনটি ব্রাউজার লগিনগুলিতে অংশ নিতে পারে না।

সুতরাং আপনি যদি নিজের ক্লায়েন্টটিকে সেভাবেই নির্বাচন করেন bearer-onlyতবে কী-ক্লাক অ্যাডাপ্টার ব্যবহারকারীদের প্রমাণীকরণের চেষ্টা করবে না, তবে কেবল বহনকারী টোকেন যাচাই করবে। এই কারণেই কীক্লোক ডকুমেন্টেশনে উল্লেখ করা bearer-onlyঅ্যাপ্লিকেশন ব্রাউজার থেকে লগইনকে অনুমতি দেয় না।

এবং যদি আপনি একটি টোকেন পেতে না পারেন তবে আপনি আদৌ কী করতে পারেন? কেন এই ক্লায়েন্টদের অস্তিত্ব আছে?

আপনার ক্লায়েন্টকে কেবল কিক্লোক সার্ভারে বহনকারী হিসাবে সেট করা যায় না। আপনি এখনও কেবলমাত্র অ্যাডাপ্টার কনফিগারেশনে কেবল বহনকারীকে ব্যবহার করতে পারেন। কীক্লোকটি "কেবল বহনকারী" ক্লায়েন্টকে (সার্ভারে আপনার ক্লায়েন্ট সেট আপ করার সময়) সার্ভার থেকে টোকেন পাওয়ার অনুমতি দেয় না। সার্ভারে আপনার ক্লায়েন্টকে "গোপনীয়" হিসাবে পরিবর্তন করার চেষ্টা করুন এবং কেবলমাত্র আপনার অ্যাডাপ্টার কনফিগারেশন (কীক্লোক.জসন) এ কেবল ধারক সেট করুন।

সুতরাং যদি আপনি উপরের বিবৃতিটি বুঝতে পারেন তবে আপনার যদি দুটি মাইক্রোসার্ভিস থাকে যা ক্ষেত্রে একে অপরের সাথে কথা বলছে, কলার হবে confidentialএবং কলি হবেbearer-only

এবং কীক্লোকও উল্লেখ করেছেন

কেবলমাত্র গ্রাহক হ'ল ওয়েব পরিষেবা যা কখনও কোনও লগইন শুরু করে না t এটি সাধারণত ব্যাক-এন্ড সুরক্ষার জন্য ব্যবহৃত হয়।

সুতরাং আপনি যদি কোনও অ্যাডাপ্টার ব্যবহার করতে চান তবে আপনি bearer-onlyপ্রয়োজনের উপর নির্ভর করতে পারেন

সুবোধ জোশী
সূত্র
1
সুবোধকে আপনার ব্যাখ্যার জন্য ধন্যবাদ! সুতরাং এর অর্থ হ'ল যদি আমার ক্লায়েন্টটি কেবল বহনকারী হয় তবে আমার কাছে উপলভ্য একমাত্র বিকল্পটি টোকেনটি বৈধ কিনা তা নিশ্চিত করার জন্য কীক্লোয়াকের কাছে যাচাইকরণের অনুরোধ করছে। রাইট? তবে যদি এটি হয় তবে কেনইক্লোককে কল করুন? যদি আমার ক্লায়েন্টের একটি সর্বজনীন কীক্লোক কী থাকে তবে এটি কী কী ক্লাক কখনও কল না করে এই কীটি ব্যবহার করে তা যাচাই করতে পারে।
কুর্টগন
@ কুর্টগন আপনি যদি কোনও অ্যাডাপ্টার ব্যবহার করেন তবে আমি কেবল bearer-onlyঅন্যথায় আপনার ক্লায়েন্টকে ব্যবহার করার পরামর্শ দেবconfidential
সুবোধ যোশি
না, আমি অ্যাডাপ্টার ব্যবহার করছি না, আমি পাইথন মধ্যে কোডিং করছি, Keycloak জন্য কোন পাইথন-নির্দিষ্ট অ্যাডাপ্টার thereare, তাই আমি জেনেরিক OIDC লিব ব্যবহার করতে হবে
kurtgn
কীক্লোক + পাইথন ইন্টিগ্রেশন দিয়ে আপনি কোন লাইব্রেরি ব্যবহার করছেন?
সুবোধ জোশী
স্টেবল /
0

সংক্ষিপ্ত উত্তর: আপনি কেবলমাত্র বহনকারী ক্লায়েন্ট ব্যবহার করে অ্যাক্সেস টোকন পেতে পারেন না, তবে আপনি কেবলমাত্র বহনকারী ক্লায়েন্ট অন্য ক্লায়েন্ট ব্যবহার করে গ্রহণ করতে পারেন এমন অ্যাক্সেস টোকন পেতে পারেন।

আরও বিশদ বিবরণ বহনকারী-ক্লায়েন্টগুলি কার্যকরভাবে ব্যাক-এন্ড অ্যাপ্লিকেশনগুলি উপস্থাপন করে যেমন ওয়েব পরিষেবা, সম্মুখ অ্যাপ্লিকেশন দ্বারা ডাকা হয় এবং অনুমোদনের সার্ভার দ্বারা সুরক্ষিত হয় (= কীক্লোক)

ব্যাকএন্ড / ওয়েব পরিষেবা অ্যাপ্লিকেশনগুলিকে সরাসরি ব্যবহারকারী দ্বারা ডাকা হয় না, সুতরাং তারা Oauth2.0 ব্যবহারকারী ইন্টারেক্টিভ প্রবাহে খেলতে পারে না। "কেবল বহনকারী" নথিটি কীক্লোক সার্ভারে স্থাপন করা, প্রশাসককে অন্যথায় বাধ্যতামূলক মানগুলি ছাড়াই ক্লায়েন্টকে কনফিগার করার অনুমতি দেয় (উদাহরণস্বরূপ uri পুনঃনির্দেশ করুন) এবং যদি কেউ এই জাতীয় ক্লায়েন্টের জন্য টোকেন পাওয়ার চেষ্টা করে তবে ব্যবহারকারীর ত্রুটি বার্তাগুলির অনুমতি দেয়

যাইহোক, এর অর্থ এই নয় যে আপনি এই ক্লায়েন্টের জন্য নির্দিষ্ট ভূমিকা কনফিগার করতে পারবেন না: সুতরাং এটি কীক্লোক রাজ্যে উপস্থিত হওয়া প্রয়োজন।

কেবলমাত্র বহনকারী-কেবল ক্লায়েন্টকে প্রাপ্ত অ্যাক্সেস টোকেন যাচাই করতে হবে, বিশেষত, যদি এই (প্রস্তাবিত) অ্যাডাপ্টারের বৈশিষ্ট্যটি "যাচাই-টোকেন-শ্রোতা" সক্রিয় করা থাকে তবে কেবল বহনকারী-ক্লায়েন্টকে এটির জন্য অ্যাক্সেস টোকন জারি করা হয়েছে তা যাচাই করতে হবে: কেবল বহনকারী ক্লায়েন্টটি অ্যাক্সেস টোকেনের শ্রোতার বৈশিষ্ট্যে থাকতে হবে: https://www.keycloak.org/docs/latest/server_admin/index.html#_audience দেখুন

কীক্লোক দ্বারা পরিচালিত শ্রোতাদের জন্য, কেবল বহনকারী ক্লায়েন্টদের কী-ক্লাক রাজ্যে নিবন্ধীকৃত করা দরকার।

টমাস লিমিন
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.