惊了!Keycloak 客户端签发的 Token 竟无租户信息?

原创 已于 2025-07-10 11:22:47 修改 · 1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#keyclaok #client #token #租户 #Service Account #自定义 Mapper #Client Scopes

于 2025-07-09 19:46:34 首次发布

Keycloak 中,如果你通过 client_idclient_secret 使用 client_credentials 模式获取 Token,返回的 Token 中默认不包含租户信息(tenant info) 是正常现象。下面我来详细解释原因、影响和解决办法。

Keycloak 里,客户端签发的 Token 没有租户信息可能由以下原因导致:

  1. Scope 配置问题Scope 用于声明请求访问的资源和权限,会影响 Keycloak 返回的访问 Token 信息。若未在授权请求里配置包含租户信息的 Scope,访问 Token 可能就不会包含租户信息。例如在授权请求中添加 openid 才会生成包含用户身份信息的 ID Token
  2. Client-Scope 配置缺失Keycloak 中的 Client-Scope 能为每个客户端分配授权范围,直接影响访问 Token 中的内容。若没有配置包含租户信息的 Client-Scope 或自定义 MapperToken 可能不会包含租户信息。可通过自定义 Scope/Mapper 来控制 Token 中的字段 。

📌 一、问题背景

  • 你使用的是:
POST /realms/{realm}/protocol/openid-connect/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials
&client_id={your_client_id}
&client_secret={your_client_secret}

这种方式是典型的 服务间通信(Machine-to-Machine, M2M)模式Keycloak 返回的 Token 是一个代表客户端身份的 Client Token,而不是用户 Token

❓ 为啥 Token 中没有租户信息

✅ 原因如下:

原因说明
1. Client Token 不代表用户client_credentials 获取的是客户端身份凭证,与用户无关,自然不会有“租户”上下文
2. 租户信息通常来自用户属性租户字段通常是用户的一个属性(如 tenant_id),而 client 没有绑定具体用户
3. 默认 Mapper 未映射租户字段即使 clientservice account,也需手动配置 mapper 才能将租户信息写入 token

🧩 二、Token 类型区分

Token 来源用户上下文是否带租户信息应用场景
authorization_code✅ 有用户✅ 可带租户信息用户登录
password (user)✅ 有用户✅ 可带租户信息用户名密码登录
client_credentials❌ 无用户❌ 默认不带租户信息后端服务调用

✅ 三、如何让 client_credentials 签发的 Token 包含租户信息?

你可以通过以下方式实现:

🔧 方法一:为 Client 开启 Service Account 并设置 Mapper

  • 说明:Mapper (映射器)是客户端范围映射器(Client scopes -> Mappers

在这里插入图片描述

步骤:

  1. Keycloak 管理控制台中:

    • 进入对应 Realm
    • 找到你的 Client(即使用 client_id 的那个)
    • 切换到 Service Accounts Settings
    • 启用 Service Account Enabled

  2. 查看该 ClientService Account 用户:

    • 页面会显示用户名,例如:service-account-your-client-id
    • 你可以给这个用户设置角色、分配属性,包括 tenant_id

  3. 给这个用户添加自定义属性(如 tenant_id=xxx

  4. 回到 Client 设置:

    • 菜单选择 Client Scopes > Default Client Scope
    • 添加 Mapper,把 tenant_id 属性映射进 token(可以放在 ID TokenAccess Token 中)

  5. 再次请求 Token,你应该能在 token payload 中看到 tenant_id 字段

🔧 方法二:使用 Token Exchange(Token Exchange Grant)

  • Enable Standard Token Exchange V2 for this client.

如果你需要模拟某个用户的租户上下文,可以先获取用户 Token,再通过 Token Exchange 换成 clientToken,并保留租户信息。

Standard Token Exchange

注意: 当前客户端 client 需要启用服务账号角色(ServiceAccountsEnabled = true)。

常见的 ClientRepresentation 对象设置如下:

// <auto-generated/>
using Microsoft.Kiota.Abstractions.Serialization;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System;
namespace Keycloak.AuthServices.Sdk.Kiota.Admin.Models;

#pragma warning disable CS1591
public class ClientRepresentation : IAdditionalDataHolder, IParsable
#pragma warning restore CS1591

---

// 创建新客户端
var client = new ClientRepresentation
{
    Name = authConfig.ClientName,
    Description = authConfig.Description,
    ClientId = authConfig.ClientId,
    Secret = authConfig.ClientSecret,
    //RedirectUris = ["https://localhost:5001/*"],
    //WebOrigins = ["https://localhost:5001"],
    Enabled = true,
    PublicClient = false,
    Protocol = "openid-connect",
    // 允许您向 Keycloak 验证此客户端并检索专用于此客户端的访问令牌。根据 OAuth2 规范,这可以支持此客户端的'客户端凭据授权'。
    ServiceAccountsEnabled = true,
    // 这启用了基于标准 OpenID Connect 重定向的身份验证和授权代码。根据 OpenID Connect 或 OAuth2 规范,这启用了对此客户端的'授权代码流'的支持。
    StandardFlowEnabled = true, 
};

关于 ClientRepresentation 更多信息,请查看:

请求示例:
POST /realms/{realm}/protocol/openid-connect/token
Content-Type: application/x-www-form-urlencoded

grant_type=urn:ietf:params:oauth:grant-type:token-exchange
&subject_token={user-access-token}
&subject_token_type=urn:ietf:params:oauth:token-type:access_token
&client_id={your_client_id}
&client_secret={your_client_secret}

这样获得的 Token 可以继承用户中的租户信息(需要配置好 ScopeMapper)。

🔧 方法三:自定义协议 Mapper(推荐)

你可以编写或配置一个 Protocol Mapper,让 clientToken 主动带上租户信息:

步骤:
  1. 进入 ClientMappers 页面
  2. 创建一个新 Mapper:
    • Name: tenant_id
    • Mapper Type: User Attribute
    • User Attribute: tenant_id
    • Token Claim Name: tenant_id
    • Claim Value Type: String
  3. 保存后,再次请求 Token,应该能看到 tenant_id 字段

📦 四、Token 示例对比

  • 默认 Tokenclient_credentials
{
  "jti": "abc123",
  "exp": 1718000000,
  "nbf": 0,
  "iss": "https://keycloak.example.com/auth/realms/myrealm",
  "aud": "your-client-id",
  "sub": "a1b2c3d4-e5f6-7890-g1h2-i3j4k5l6m7n8",
  "typ": "Bearer",
  "azp": "your-client-id"
}
  • 带租户信息的 Token(配置好 Mapper 后)
{
  "jti": "abc123",
  "exp": 1718000000,
  "nbf": 0,
  "iss": "https://keycloak.example.com/auth/realms/myrealm",
  "aud": "your-client-id",
  "sub": "a1b2c3d4-e5f6-7890-g1h2-i3j4k5l6m7n8",
  "typ": "Bearer",
  "azp": "your-client-id",
  "tenant_id": "tenant_12345"
}

此时 clienttoken 就会多一个参数 tenant_id,同理其他参数也可以自定义映射(Mapper)。

✅ 五、总结

问题原因解决方案
client_credentials 获取的 Token 没有 tenant 信息client token 默认无用户上下文,不自动带租户字段配置 Service Account + Mapper
如何让 Token 包含租户信息?租户字段通常属于用户属性Service Account 用户加属性并映射
是否支持 client 级别的租户字段?支持,但需自定义 Mapper创建 User Attribute Mapper
Keycloak实现手机验证码登录
austindev的博客
07-23 5901
背景说明 使用Keycloak作为账号体系的项目中,经常会被问到Keycloak如何实现手机验证码登录,Keycloak有没有内置的基于短信的登录实现SMS-based two-/multi-factor-authentication (2FA/MFA) ; Keycloak目前只内置一种基于 Google Authenticator 的 2FA 选项。 这篇主要讨论实现上述的需求的几种方案,以及相应的优缺点: 定制 Authentication SPI,实现Keycloak统一的浏览器手机验证码登录
在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
cr7258的博客
04-06 4845
API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。 1 OpenID Connect(OIDC)介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息
(八)keycloak 设置客户端访问类型 confidential
07-19 2620
设置keycloak客户端访问类型为 confidential
Keycloak配置模拟用户登录
ananyou的博客
04-24 956
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
websocket在切换租户的时候没有token
神zhi殇的博客
11-04 308
切换租户的时候,有的租户没有认证,未进入到pages页面,所以没有连上ws,但是没有停止,此时已经退出的情况下是没有token的,所以报错;解决办法: 切换租户的时候,先把ws停止掉; 等切换后,在重连ws; ...
认证和授权系列主题:keycloak界面配置及认证流程详解
热门推荐
Larry的博客
03-02 1万+
本文转自:彻骨寒风 keycloak设置master登录用户 keycloak 管理界面 keycloak 获取用户token 创建我们自己的域 添加域的用户 设置密码 创建client(普通用户登录 设置public) 查看openid配置详情 接口:http://localhost:8080/auth/realms/{创建的realm名字}/.well-known/openid-configuration 示例:http://localhos..
Keycloak 10.0 版本没 “Credentials” 选项卡,哪里可以查看 Client Secret
weixin_45428910的博客
10-10 953
Keycloak 10.0 版本没 “Credentials” 选项卡,哪里可以查看 Client Secret
基于Keycloak实现单点登录的完整技术方案
每一个需要参与SSO的应用都需要在Keycloak中注册为一个客户端,并配置相应的客户端ID、访问类型(如公开、机密)、重定向URI等信息。其中,重定向URI尤为重要,它是用户完成认证后被跳转回目标应用的地址,必须严格...
Spring Boot 2与Keycloak集成实现SSO登录演示
在本项目中,Keycloak在用户成功登录后会颁发一个JWT格式的ID Token和Access Token,Spring Security通过配置JWT解码器来验证Token的有效性,并从中提取用户身份和权限信息。 此外,压缩包文件名为“sp-keycloak1-...
基于Keycloak和Spring Security的Swagger身份验证控制
它负责保护Swagger相关的端点(如`/swagger-ui.html`、`/v3/api-docs`等),拦截所有访问请求,并通过解析由Keycloak签发的JWT(JSON Web Token)来完成身份认证与授权判断。具体而言,当用户尝试访问Swagger UI时,...
基于Mongoose的多租户OAuth身份管理后端实现
从标题和描述来看,该模块本质上是一组预定义的 Mongoose Schema(模式)集合,用于持久化存储与 OAuth 协议相关的实体数据,如用户授权记录、客户端应用信息、访问令牌、刷新令牌以及租户隔离标识等。其中最关键的...
基于KeyCloak的用户认证与授权(password模式和secret模式)
MRLEE1212的博客
09-24 4482
基于KeyCloak的用户认证与授权(password模式和secret模式) 基于password的用户认证与授权模式 登录到KeyCloak管理端,进入到对应的client(这里用的是demo-cli),在setting下将红线部分设置为public,如下图所示: 在PostMan中使用username和password请求token,PostMan请求配置如下图所示: 至此,已经使...
苹果开发者账号登录的问题
三线程序员的博客
09-26 1516
问题描述 在清理掉google浏览器的缓存后,直接登录https://appstoreconnect.apple.com/login 出现问题 因为是添加了自己的手机进入信任列表,每次登录的时候都是通过验证码登录的 但是这次点击通过获取验证码登录后,就是不给你输入,换了浏览器都一样 再度怀疑是苹果问题,但是这种低级错误不至于,肯定是自己的问题 尝试了4次,无果,放弃这个思路 解决 先登录 https://appleid.apple.com/account/manage 上面的网址还是使用你的手机验证码
通过nginx访问keycloak时的Invalid token issuer问题
wdquan19851029的专栏
01-01 3540
开发web应用的时候,使用nginx的动静分离,前端代码部署到nginx,利用反向代理(或者负载均衡)访问后端,利用反向代理访问keycloak。 登录时,nginx会将登录请求转发到keycloak,登录成功之后,前端会 ...
keycloak SSO单点登录 授权码认证和账号密码认证
最新发布
liuzhenlzlz的专栏
02-13 1638
keycloak sso 单点登录 授权码与账号密码方式认证的介绍。
KeyCloak、OAuth2、Spring Boot、client_credentials整合
klaokai的冥想空间
08-08 4403
doc https://www.keycloak.org/docs/latest/getting_started/index.html 创建一个域和一个用户 Keycloak广利控制台的第一个用途是创建领域并在该领域中创建用户。 您使用该用户登录到新领域,并访问所有用户都可以访问的内置账户控制台。 域和用户 当你登录管理员控制台,你将在一个域内工作,这是一个你可以管理对象的空间。 有两种域: Master realm:主域。这个域会在你第一次启动Keycloak就会为你创建好, 它包含了你第一次登录时创建的
如何使用 Keycloakservice account (服务账号) 功能
surfirst的博客
11-29 1960
Keycloak 在解决服务之间的通信的时候可以使用 service account 功能,也就是服务账号。每一个 Keycloak Realm 下的 client 都可以包含一个 service account 账号。这个 service account 账号的概念来自于 OAuth 2.0 的 Client Credential Grant 规范。 ...
用户鉴权方式keycloak
green hand的博客
10-21 2555
Keycloak客户端(Client)是与认证服务器进行交互的应用程序或服务。客户端使用认证务器颁发的访问令牌来访问受保护的资源。Keycloak支持各种类型的客户端,如Web 应用、移动用和后端服务。客户端是指代表应用程序或服务的实体,它可以是Web 应用程序、移动应用程后端 API或其他与Keycloak进行身份认证和授权交互的实体。
轻松实现单点登录(SSO):基于 Keycloak 的 OIDC 与 OAuth 2.0 完整指南
楠搏万的博客
01-08 6200
Keycloak 是一款强大的开源身份与访问管理工具,广泛支持 OIDC(OpenID Connect)和 OAuth 2.0 协议,提供统一认证与授权服务。本指南详细讲解了 Keycloak 在 OIDC 和 OAuth 2.0 场景下的登录流程,包括授权码模式、客户端模式、Token 刷新与验证,以及使用 Token 查询用户信息的完整示例。还深入分析了 OIDC 和 OAuth 的区别,如何处理多系统间登录兼容问题,并提供了丰富的 Keycloak API 实践案例,是构建安全、高效认证系统的必备教程
牛客论坛项目token里包含哪些信息?
05-29
牛客论坛项目的 token 包含以下信息: 1. 用户 ID:用于识别用户身份。 2. 过期时间:该 token 的有效期限。 3. 签名:用于验证 token 是否被篡改。 这些信息通常是在服务器端生成并签名后,作为响应的一部分返回给客户端客户端在后续的请求中需要在请求头或请求体中携带该 token,以便服务器端能够识别请求的来源并验证其合法性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ChaITSimpleLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值