keycloak~refresh_token的标准化

最新推荐文章于 2025-04-22 00:15:00 发布
最新推荐文章于 2025-04-22 00:15:00 发布
阅读量87 收藏
点赞数
文章标签: java 前端 服务器 开发语言 运维

内容大纲

  1. keycloak关于会话有效期的配置
  2. refresh_token作用
  3. 使用方法
  4. refresh_token规范
  5. keycloak开启refresh_token的限制
  6. refresh_token时的错误汇总
  7. keycloak中refresh_token的底层逻辑

一 keycloak关于会话有效期的配置

1. 配置 Access Token Lifespan

  • 作用: 控制access_token的有效期。
  • 配置值: 5分钟
  • 操作:
    1. 进入Keycloak管理控制台。
    2. 选择你的Realm。
    3. 进入Realm Settings > Tokens
    4. Access Token Lifespan设置为5分钟。

2. 配置 Refresh Token Lifespan

  • 作用: 控制refresh_token的有效期。refresh_token用于在access_token过期后获取新的access_token
  • 配置值: 7天
  • 操作:
    1. 进入Realm Settings > Tokens
    2. Refresh Token Lifespan设置为7天(604800秒)。

3. 配置 SSO Session Idle

  • 作用: 控制用户会话的空闲时间。如果用户在7天内没有任何操作,会话将过期,用户需要重新登录。
  • 配置值: 7天
  • 操作:
    1. 进入Realm Settings > Tokens
    2. SSO Session Idle设置为7天(604800秒)。

4. 配置 SSO Session Max

  • 作用: 控制用户会话的最大持续时间。设置为一个非常大的值(如1年),以确保用户在7天内操作过就可以保持登录状态。
  • 配置值: 1年(31536000秒)
  • 操作:
    1. 进入Realm Settings > Tokens
    2. SSO Session Max设置为31536000秒(1年)。

5. 配置 Client Session IdleClient Session Max

  • 作用: 控制客户端会话的空闲时间和最大持续时间。建议与SSO会话配置保持一致。
  • 配置值:
    • Client Session Idle: 7天(604800秒)
    • Client Session Max: 1年(31536000秒)
  • 操作:
    1. 进入Realm Settings > Tokens
    2. Client Session Idle设置为604800秒。
    3. Client Session Max设置为31536000秒。

6. 配置 Offline Session IdleOffline Session Max

  • 作用: 控制离线会话的空闲时间和最大持续时间。如果你不需要离线会话功能,可以忽略此配置。
  • 配置值:
    • Offline Session Idle: 7天(604800秒)
    • Offline Session Max: 1年(31536000秒)
  • 操作:
    1. 进入Realm Settings > Tokens
    2. Offline Session Idle设置为604800秒。
    3. Offline Session Max设置为31536000秒。

7. 配置 Remember Me 功能(可选)

  • 作用: 如果希望用户在关闭浏览器后仍能保持登录状态,可以启用“记住我”功能。
  • 配置值:
    • SSO Session Idle Remember Me: 7天(604800秒)
    • SSO Session Max Remember Me: 1年(31536000秒)
  • 操作:
    1. 进入Realm Settings > Tokens
    2. SSO Session Idle Remember Me设置为604800秒。
    3. SSO Session Max Remember Me设置为31536000秒。

二 refresh_token作用

refresh_token是用来刷新access_token的,当access_token过期后,可以通过refresh_token来获取新的access_token,而不需要重新登录。

三 使用方法

curl --location --request POST 'https://{keycloak}/auth/realms/{realm}/protocol/openid-connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=refresh_token' \
--data-urlencode 'refresh_token={refresh_token}' \
--data-urlencode 'client_id={client_id}' \
--data-urlencode 'client_secret={client_secret}'

四 refresh_token规范

  • 每个refresh_token只能使用一次,不可重复使用,KC这边也会进行回收它
  • 通过refresh_token获取新的token时,返回值里会带有新的refresh_token,我们应该使用新的refresh_token来覆盖上一次的refresh_token
  • refresh_token有效期取决于keycloaktokenssso session idle的值,即会话空闲时间,如果refresh_token在这个时间内没有使用,那么它会失效
  • refresh_token失效后,当前会话session_state也即失效,此时,需要重新登录

注意:sso session max表示会话最大有效期,在这个时间范围内,用户不需要重新登录,sso session idle表示空间时间,在这个时间内用户不进行操作,也示为退出,用户需要重新登录,这两个值必须大于0;单位为分,小时,天,不支持永久有效期。

五 keycloak开启refresh_token的限制

六 refresh_token时的错误汇总

  • 当refresh_token超过限制时,会返回invalid_grant错误,此时,需要重新登录

  • 再次使用refresh_token,同样返回状态码400,但返回消息体会有变化

  • 如果当前session已经失效,即会话达到了session max的时间,将返回下面错误

  • 如果当前客户端与token客户端不一致,将返回下面错误

  • 如果当前当前端开启了同意许可,将返回下面错误

七 keycloak中refresh_token的底层逻辑

  1. validateToken方法

  2. 通过session_state获取userSession对象,如果userSession对象为空,说明refresh_token已经失效,返回400 Session not active

  3. isSessionValid方法主要验证会话是否有效,主要判断以下几个部分

  • 用户会话是否存在,user-session是否存在
  • 获取session空闲时间和最大时间,它们的逻辑与是否开启记住我有关
  • 会有两层时间的比较,来确定session是否有效
    • 第一层,session空闲时间是否大于(当前时间-最后刷新token时间-容错窗口期(120秒))
    • 第二层,session最大时间是否大于(当前时间-session开始时间)
  • 上面两层同时满足,说明session是有效的
  1. 从userSession中获取当前用户对象
  2. 判断用户是否有效
    • 如果用户被删除,返回400 Unknown user
    • 如果用户状态为禁用,返回400 User disabled
    • 如果用户需要一个必要的行为,返回400 User has required action
  3. 判断当前refresh_token的建立时间是否早于会话开始时间,正常情况下肯定是晚于会话时间,如果早于,返回400 Refresh toked issued before the user session started
  4. 判断当前userSession是否在当前client_id对应的clientSession里,如果没有,返回400 Session doesn't have required client
  5. 判断当前refresh_token里的azp是否与请求参数client_id相同,不同返回400 Unmatching clients
  6. 验证refresh_token是否被篡改
  7. 检查客户端是否有consent的授权许可同意,如果开启了,会返回400 Client no longer has requested consent from user
  8. 成功建立新的token对象,整个刷新token流程结束
{
    "access_token": "",
    "expires_in": 120,
    "refresh_expires_in": 300,
    "refresh_token": "",
    "token_type": "Bearer",
    "id_token": "",
    "not-before-policy": 1740449130,
    "session_state": "424b8022-600d-421e-a45d-e0315d1a524d",
    "scope": "openid roles email profile"
}
原创作者: lori 转载于: https://www.cnblogs.com/lori/p/18736220
猫晓豆豆
关注
脸书令牌怎么使用_Power BI Embedded之刷新访问令牌(Refresh Token)
weixin_39623273的博客
11-29 377
在之前的文章中,我们介绍了下面两种获取Access Token的方法:1.通过授权码模式2.通过密码模式当我们请求成功后,除了Access Token还会得到下面几个字段。access_token:请求令牌token_type:令牌类型,值为Bearer,因为Bearer是Azure AD唯一支持的类型。expires_in:令牌的有效期(以秒单位),通常是3600秒,即一个小时expires_o...
关于kudu使用的一些问题及解决办法
爱编程
01-26 4369
在client 1.5之前,由于kudu客户端链接的token有效时间是7,当时间大于7的时候token失效,客户端不会主动去刷新token,导致写入数据报错;  解决办法:kudu-client 版本使用1.5以上的版本  kudu数据flush的模式问题 AUTO_FLUSH_BACKGROUND:异步刷新可能会导致写入的时候乱序,因此有严格的顺序的写入操作可能
前端如何做七免登录
weixin_54165147的博客
03-21 3577
总之,实现七免登录的关键在于生成带过期时间的token,并将其保存在客户端。在每次请求时携带token,并在服务端进行验证即可。如果用户勾选了“七免登录”选项,则在服务器端将token的过期时间设置为7后。这样,在客户端关闭浏览器、退出登录之后,再次访问网站时,仍然可以使用之前的token自动登录,而无需重新输入用户名和密码。用户首次登录时,在服务端生成一个带过期时间的token,并将该token存储在客户端的cookie或localStorage中。3.在每次请求时携带token并进行验证。
开源身份和访问管理(IAM)解决方案:Keycloak
最新发布
人人可学,人人可用,IT与AI不是高不可攀!
04-22 1252
Keycloak 是一个开源的身份和访问管理(Identity and Access Management - IAM)解决方案。它旨在为现代应用程序和服务提供安全保障,简化身份验证和授权过程。Keycloak 提供了集中式的用户管理、单点登录(Single Sign-On - SSO)、身份联合、社交登录等功能,帮助开发者专注于业务逻辑,而无需从头开始构建复杂的安全系统。
APP使用token和refreshToken实现保持登录状态.vsdx
07-16
App使用Token 和 RefreshToken 完成登录认证接口,保持登录状态。 这是使用Token和RefreshToken的流程图。
关于refresh_token
dgiij的博客
08-11 621
其实不论多长时间,总会有超期时间,这时候用户访问时会跳转到登录界面要求重新登录,这样的体验是不太好的,所以一般情况下,登录成功后,可以提供两个token前端,一个是access_token,也就是前面介绍的通常意义上的jwt,而另一个是refresh_token,它的有效期比access_token的要长一些,用户在access_token过期且access_token未过期情况下可为前端重新申请access_token(其实也可以同时更新refresh_token
token与refresh_token
grow_的博客
07-18 1745
token,refresh_token失效
什么是 Refresh Token
让每一行代码都有改变世界的力量
09-18 6810
什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 AccessToken。 Refresh Token 用于获取新的 AccessToken。这样可以缩短 AccessToken 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。 用户在初次认证时,Refresh
Refresh Token介绍
NSPOKS的博客
09-30 1万+
Refresh Token介绍 上篇文章说到Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token前端前端可以在每次请求的时候带上 Token 证明自己的合法地位,而Token的playload部分一般会存储相关的过期时间,一旦Token过期就会被网关拦截,因此如何设置Token刷新机制也是一个重点。 刷新Token探讨 过期...
用vuex对token/refresh_token 进行管理以及处理token过期问题
m0_49515138的博客
11-17 3533
就是用户在进入白名单页面时,比如说首页或者其他不需要个人信息页面时,是不需要登录的,如果在没有登录的情况下,想要进入类似于个人中心,会员中心这种页面时,那么就需要让用户去登录页面登录一下,登录完成之后再返回刚刚要去的个人中心页面,这时候就是在路由跳转的时候,带上刚刚页面的路由路径,可以在登录完成之后原路返回。非但必须有个过期时间,而且过期时间还不能太长,那么重新获取有两种方式,一是重复第一次获取token的过程(比如登录,扫描授权等) ,这样做的缺点是用户体验不好,每一小时强制登录一次几乎是无法忍受的。
关于token和refresh token
weixin_41282397的博客
08-21 1万+
0x01. refresh token 的意义 传统的认证方式一般采用cookie/session来实现,这是我们的出发点。 1.为什么选用token而不选用cookie/session? 本质上token和cookie/session都是字符串,然而token是自带加密算法和用户信息(比如用户id),;而cookie本身不包含用户信息,它指向的是服务器上用户的 session,而由sessi...
Token和Refresh Token
weixin_44153131的博客
02-14 4684
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
关于RefreshToken的介绍
weixin_63929524的博客
05-03 2385
客户端通常在请求中使用Token,当Token过期时,客户端将使用RefreshToken请求新的Token服务器收到带有RefreshToken的请求时,将检查RefreshToken的有效性,并使用它来生成新的Token,同时返回新的Token和新的RefreshToken。通过上述步骤,我们就实现了双Token机制,可以减少用户Token过期重复登录问题,并且可以在Token过期时自动刷新Token,避免了客户端频繁反复请求的情况。首先,我们需要明确什么是Token,以及为什么需要使用Token
token 和 refreshtoken
LINDYING的博客
05-11 2364
token 和 refreshtoken
OAuth 2.0 中的 refresh_token 和它的重要性
AI天才研究院
12-27 2073
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
Token(access Token, refresh Token)
m0_74152892的博客
03-20 415
Token是携带足够信息的数据片段,用于帮助确定用户身份或授权用户执行某个操作。总的来说,Token是允许应用系统执行授权和身份验证过程的工具。
关于refresh token的总结
MPFLY的博客
03-01 7184
refresh_token使用说明和记录
token与refreshtoken的问题
2301_76622053的博客
05-12 1171
所以调用修改token的这个方法的载荷里,把token和refresh_token都写上,token就是从第三次请求中得到的token中来,refresh_token就是原本的refresh_token。第三次请求中拿到的数据里,data里的token就是我们要的刷新之后的token,用这个新获取到的token替换掉存储在store里的老token。在state里存储的tokenObj对象里,有两个数据,token和refresh_token,但是我们调用修改方法 只传了一个token
前后端处理实时刷新refresh_token的使用
热门推荐
qq_41522141的博客
03-23 2万+
实现方案 后端生成两个tokentoken和refresh_token),token有效时间短,refresh_token有效时间长; 前端请求登录后,后端把这两个token传给前端前端缓存下来; token未到期,前端可正常请求。 token过期,后端会返回与前端约定好的相关参数(比如,响应码401),前端在返回拦截器中判断拦截,并将refresh_token替换掉已经失效的token去调用api_refresh_token的接口请求。后端则判断refresh_token是否过期。 (1)refre
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值