Keycloak 服务器管理:Admin CLI 完全指南

于 2025-06-01 09:03:51 发布
阅读量396 收藏 8
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00019/article/details/148360733

Keycloak 服务器管理:Admin CLI 完全指南

keycloak Keycloak 是一个开源的身份和访问管理解决方案,用于保护应用程序和服务的安全和访问。 * 身份和访问管理解决方案、保护应用程序和服务的安全和访问 * 有什么特点:支持多种认证和授权协议、易于使用、可扩展性强 keycloak 项目地址: https://gitcode.com/gh_mirrors/ke/keycloak

什么是 Keycloak Admin CLI

Keycloak Admin CLI 是一个命令行工具,允许管理员通过命令行界面执行各种管理任务。它通过调用 Keycloak 的 Admin REST API 端点来实现功能,为自动化管理和脚本化操作提供了强大支持。

安装与配置

安装 Admin CLI

Keycloak 服务器发行版中已经包含了 Admin CLI 工具,位于 bin 目录下:

  • Linux/macOS 系统使用 kcadm.sh
  • Windows 系统使用 kcadm.bat

建议将 Keycloak 的 bin 目录添加到系统 PATH 环境变量中,以便在任何位置都能使用 CLI 工具。

# Linux/macOS
export PATH=$PATH:$KEYCLOAK_HOME/bin

# Windows
set PATH=%PATH%;%KEYCLOAK_HOME%\bin

注意:需要先设置 KEYCLOAK_HOME 环境变量指向 Keycloak 的安装目录。

基本使用

使用 Admin CLI 前需要先进行身份验证:

# 配置认证凭据
kcadm.sh config credentials --server http://localhost:8080/auth \
  --realm master --user admin

# 创建新域
kcadm.sh create realms -s realm=demorealm -s enabled=true

# 创建客户端
CID=$(kcadm.sh create clients -r demorealm \
  -s clientId=my_client \
  -s 'redirectUris=["http://localhost:8980/myapp/*"]' -i)

# 获取客户端配置
kcadm.sh get clients/$CID/installation/providers/keycloak-oidc-keycloak-json

安全注意事项

  1. 生产环境必须使用 HTTPS:避免令牌暴露
  2. 证书信任配置:如果使用自签名证书,需要配置信任库
kcadm.sh config truststore --trustpass $PASSWORD ~/.keycloak/truststore.jks
  1. 敏感信息处理:避免在命令行直接输入密码,可以使用环境变量或交互式输入

认证机制详解

Admin CLI 支持两种认证方式:

  1. 会话保持模式(默认):使用 config credentials 建立会话后会保存访问令牌和刷新令牌
  2. 单次认证模式:使用 --no-config 参数,每次命令都重新认证
# 会话保持模式
kcadm.sh config credentials --server http://localhost:8080/auth --realm master --user admin

# 单次认证模式
kcadm.sh get realms --no-config --server http://localhost:8080/auth --realm master --user admin

配置文件管理

默认情况下,Admin CLI 会在用户主目录下创建配置文件:

  • Linux/macOS: ~/.keycloak/kcadm.config
  • Windows: %HOMEPATH%\.keycloak\kcadm.config

可以使用 --config 选项指定不同的配置文件,实现多会话并行管理。

重要安全提示:配置文件包含敏感信息,必须确保其权限设置正确,防止其他用户访问。

核心操作命令

Admin CLI 提供基本的 CRUD 操作命令:

kcadm.sh create ENDPOINT [ARGUMENTS]  # 创建资源
kcadm.sh get ENDPOINT [ARGUMENTS]    # 查询资源
kcadm.sh update ENDPOINT [ARGUMENTS] # 更新资源
kcadm.sh delete ENDPOINT [ARGUMENTS] # 删除资源

这些命令分别对应 HTTP 的 POST、GET、PUT 和 DELETE 方法。

域(Realm)管理实战

创建新域

# 简单创建
kcadm.sh create realms -s realm=demorealm -s enabled=true

# 通过JSON文件创建
kcadm.sh create realms -f demorealm.json

查询域信息

# 列出所有域
kcadm.sh get realms

# 查询特定域
kcadm.sh get realms/master

# 只显示部分字段
kcadm.sh get realms --fields realm,enabled

更新域配置

# 直接更新属性
kcadm.sh update realms/demorealm -s enabled=false

# 通过文件更新
kcadm.sh get realms/demorealm > demorealm.json
# 编辑文件后
kcadm.sh update realms/demorealm -f demorealm.json

删除域

kcadm.sh delete realms/demorealm

配置登录选项

kcadm.sh update realms/demorealm \
  -s registrationAllowed=true \
  -s registrationEmailAsUsername=true \
  -s rememberMe=true \
  -s verifyEmail=true \
  -s resetPasswordAllowed=true \
  -s editUsernameAllowed=true

密钥管理

查看域密钥

kcadm.sh get keys -r demorealm

生成新密钥

# 获取域ID
kcadm.sh get realms/demorealm --fields id --format csv --noquotes

# 添加RSA密钥提供者
kcadm.sh create components -r demorealm \
  -s name=rsa-generated \
  -s providerId=rsa-generated \
  -s providerType=org.keycloak.keys.KeyProvider \
  -s parentId=REALM_ID \
  -s 'config.priority=["101"]' \
  -s 'config.enabled=["true"]' \
  -s 'config.active=["true"]' \
  -s 'config.keySize=["2048"]'

从JKS文件导入密钥

kcadm.sh create components -r demorealm \
  -s name=java-keystore \
  -s providerId=java-keystore \
  -s providerType=org.keycloak.keys.KeyProvider \
  -s parentId=REALM_ID \
  -s 'config.priority=["101"]' \
  -s 'config.enabled=["true"]' \
  -s 'config.active=["true"]' \
  -s 'config.keystore=["/path/to/keystore.jks"]' \
  -s 'config.keystorePassword=["secret"]' \
  -s 'config.keyPassword=["secret"]' \
  -s 'config.keyAlias=["alias"]'

停用或删除密钥

# 停用密钥
kcadm.sh update components/PROVIDER_ID -r demorealm \
  -s 'config.active=["false"]'

# 删除密钥(确保已停用)
kcadm.sh delete components/PROVIDER_ID -r demorealm

最佳实践建议

  1. 脚本化操作:将常用管理操作编写成脚本,便于重复执行
  2. 版本控制:对重要的JSON配置文件进行版本控制
  3. 备份配置:定期导出关键配置作为备份
  4. 权限最小化:为管理账号分配最小必要权限
  5. 日志记录:配置适当的日志级别,记录管理操作

通过掌握 Keycloak Admin CLI,管理员可以实现高效的身份和访问管理自动化,大大提升运维效率。

keycloak Keycloak 是一个开源的身份和访问管理解决方案,用于保护应用程序和服务的安全和访问。 * 身份和访问管理解决方案、保护应用程序和服务的安全和访问 * 有什么特点:支持多种认证和授权协议、易于使用、可扩展性强 keycloak 项目地址: https://gitcode.com/gh_mirrors/ke/keycloak

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

keycloak配置选项之Unmanaged Attributes(未管理属性)(通过 Protocol Mapper 将用户属性映射到令牌(如 Access Token)中)
西京刀客
04-29 89
Keycloak 的设计逻辑 Keycloak 默认只管理 基础用户属性(如 username、email、firstName 等)。 自定义属性需要明确赋值,否则系统会视为“不存在”。 Protocol Mapper 负责将 已存在的用户属性 映射到令牌声明。
开源身份和访问管理方案之keycloak(四)Admin REST API(server_admin)
西京刀客
03-11 1064
Keycloak 附带一个功能齐全的管理员 REST API,具有管理员控制台提供的所有功能。
杂记 | keycloak的介绍和基本概念
野生猿林仔的博客
06-27 8615
介绍keycloak及其基本概念
最详细的Keycloak教程(建议收藏):Keycloak实现手机号、验证码登陆——(一)Keycloak的下载与使用
mltaozi的博客
11-22 1万+
接触keycloak已经半个多月了,主要是为了用来集成现已有的项目,也是弄得头大,代码不负脱发人,也是有点小成果了,在这里把自己的这点小小经验分享给大家!
开源认证和访问控制的利器keycloak使用简介
程序那些事
11-26 1万+
keycloak是一个开源的进行身份认证和访问控制的软件。是由Red Hat基金会开发的,我们可以使用keycloak方便的向应用程序和安全服务添加身份认证,非常的方便。 keycloak还支持一些高级的特性,比如身份代理,社交登录等等。 本文将会带领大家进入keycloak的神秘世界。
Keycloak 入门使用第一篇
little_kelvin的博客
12-16 5万+
Keycloak入门使用一级目录二级目录 一级目录 二级目录
keycloak 认证服务
刘毅的博客
11-16 2万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
keycloak中文
最新发布
04-26
- 描述了从零开始搭建 Keycloak 环境的具体步骤,包括下载、解压、启动服务器等过程[^2]。 - 对于新手而言,按照此方法可以在短时间内完成环境准备。 3. **野飞 (flydean) 博客系列** - flydean 提供了一系列...
【Kubernetes网络配置】:CentOS8环境下的网络插件完整指南
[【Kubernetes网络配置】:CentOS8环境下的网络插件完整指南](https://www.securityandit.com/wp-content/uploads/2019/12/kubernetes-network-architecure-1-1.jpg) # 1. Kubernetes网络基础 Kubernetes作为容器...
Keycloak概述
王老欠
03-14 6889
这里写自定义目录标题Keycloak概述Single-Sign OnKerberos社交登录用户合并客户端适配管理控制台用户管理控制台标准协议授权服务Getting Started Keycloak概述 keycloak是一个开源的,面向现代应用程序和服务的身份认证和访问控制解决方案。它使得应用和服务获得安全性变得容易,写很少的代码甚至零代码。 下面主要对keycloak的部分功能做简要介绍。完整...
一款强大的开源认证和访问控制利器:KeyCloak
z_ssyy的博客
06-26 1597
我们可参考这两套主题的代码,编写我们自己的主题。上文,我们创建的Client都是public 类型的,而现在,其实只有Zuul需要对外,其他服务都是经过Zuul或者Feign传递Token的。Keycloak利用policy的概念,以及如何通过提供聚合policy的概念来定义它们,您可以在其中构建“policy 中的 policy”,并仍然控制评估的行为。当然,也可以不创建Realm,直接用 Master 这个Realm,不过一般来说,为了资源的隔离,以及更好的安全性不太建议与管理员共用Realm。
用户鉴权方式keycloak
green hand的博客
10-21 1832
Keycloak 的客户端(Client)是与认证服务器进行交互的应用程序或服务。客户端使用认证务器颁发的访问令牌来访问受保护的资源。Keycloak支持各种类型的客户端,如Web 应用、移动用和后端服务。客户端是指代表应用程序或服务的实体,它可以是Web 应用程序、移动应用程后端 API或其他与Keycloak进行身份认证和授权交互的实体。
Keycloak各种配置及API的使用
热门推荐
wdquan19851029的专栏
01-09 12万+
介绍要完成SSO功能,所需要的keycloak API接口及其介绍。
KeyCloak基础概念
weixin_34195364的博客
06-26 1290
2019独角兽企业重金招聘Python工程师标准>>> ...
Keycloak详细教程
q64261750的博客
08-27 1万+
Keycloak 安装&初始化 下载 只需前往 http://www.keycloak.org/downloads.html ,按需进行下载。 笔者下载的是“Standalone server distribution” 。 安装&启动 安装Keycloak非常简单,步骤如下: 解压下载下来的安装包 将目录切换到KEYCLOAK_PATH/bin ,其中KEYCLOAK_PATH是您Keycloak的根目录 执行./standalone.sh ,即可启动Keycloak,如需后台运行,则
开源身份和访问管理方案之keycloak(二)管理员引导和恢复
西京刀客
04-09 908
管理员引导和恢复
keycloak 单机模式下初始化系统账号密码
我的博客
07-02 4219
keycloak 单机模式下初始化系统账号密码,不能用localhost访问的时候,只能敲命令初始化 ./bin/add-user-keycloak.sh -r master -u admin -p admin
Keycloak
大强博客
07-07 2万+
关于Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案。它可以轻松保护应用程序和服务,几乎没有代码。本页简要介绍了Keycloak和一些功能。有关功能的完整列表,请参阅 文档。尝试Keycloak快速而简单。 有关详细信息,请查看“ 入门”教程。单点登录用户使用Keycloak而不是单个应用程序进行身份验证。这意味着您的应用程序不必处理登录表单,验证用户身份和存储用户。登录K...
keycloak入门了解
hhj724的专栏
11-26 2325
keycloak是是一个开源软件,源码地址是:https://github.com/keycloak/keycloak/ Keycloak支持细粒度的授权策略,并且能够组合不同的访问控制机制,例如: Attribute-based access control (ABAC): 基于属性的安全控制 Role-based access control (RBAC): 基于角色的安全控制 Us...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周琰策Scott

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值