Programming-[Backend]/Keycloak (35) 썸네일형 리스트형 [TIL] keycloak Theme 변경으로 admin console 접근이 불가할 때 해결방법(with 테마 캐시) 배경master realm의 console에서 커스텀한 테마를 적용해볼려고 했다. master는 슈퍼 유저용의 특별한 realm 이므로 굳이 테마를 변경할 필요가 없고, 기본 테마를 사용하는 것이 좋다. 그런데 실수로라도 이렇게 변경한 경우, 테마에 에러가 있으면 master realm의 admin console에 접근이 불가능하여 테마를 원상 복귀할 수가 없다. 해결방법DB를 수정하는 것 외에 다른 방법을 찾지 못했다. admin-cli client로 접근하여 REST API 방식으로 수정할 수 있으나, admin-cli의 client secret을 알아야하는 등의 문제가 있다면 이 방법은 불가하기 때문이다. DB의 값을 직접 수정하는 것은 금기 사항이다. 그러나 realm의 테마 값을 변경하는 것은 .. Keycloak Scope 설정 방법(Evaluate, mapper, dedicated, full scope allowed) 1. User Attribute 추가, 토큰에 포함 확인 1.1 User Attribute 추가User Profile에 속성값을 추가하고(nickname), Client Scopes에 추가하여 Realm 내에서의 Scope를 설정할 수 있다. User Profile에서 속성을 추가할 때, Enabled when 값을 default인 Always로 설정하면 아래 내용대로 적용된다. 1.2 토큰 확인scope를 생성할 때 Default로 생성하는 경우 access_token 및 id_token에 기본적으로 포함된다. 다만 따로 설정하지 않으면 token endpoint 응답 body의 "scope" 항목에는 보이지 않는다(아래 그림). 주의할 사항은 로그인하는 사용자의 nickname 값 자체가 설정되어.. k8s 환경에서 keycloak multi pod로 실행하기 keycloak은 인스턴스가 여러 개일때 서로 세션 정보 등을 공유하기 위해 infinispan이라는 캐시를 사용한다. 이런 세션 공유를 위해서는 서로 통신해야하는데, 이 때 쓰이는 통신 스택의 종류로 UDP, TCP, Kubernetes 등이 있다. JGroups자바로 작성된 라이브러리로 일대일 또는 일대다 통신을 지원한다. 프로세스 그룹을 생성하고 그룹 내 멤버들이 서로 메시지를 주고 받을 수 있게 해준다. 이는 클러스터링, 분산 캐시 및 채팅 애플리케이션에 활용될 수 있다. keycloak의 infinispan도 JGroups를 사용한다. k8s와 같이 pod이 소멸되고 생성될 수 있는 환경에서는 각 pod의 주소를 알아야하는데, 이를 구현하기 위해 keycloak pod들을 headless ser.. [비공개] Keycloak 클라이언트별 Admin 관리자 만들기 보호되어 있는 글입니다. Keycloak 세부 권한 관리(admin-fine-grained-authz) Master Realm(Master) : Realm Level Realm-Role설명 비고admin• 모든 Realms을 관리 할 수 있는 슈퍼 유저• 새로운 realm을 생성하면 새로운 realm에 대한 권한도 부여됨create-realm• 새로운 Realm을 생성 할 수 있는 권한 기본적으로 생성되는 Master 영역은, 여러 영역을 관리 할 수 있음 : master-realmMaster에 있는 User에게는 다른 영역을 관리할 수 있는 권한을 부여할 수 있음master 영역에서만 여러 영역을 동시에 관리할 수 있음즉, master 영역의 사용자만 master-realm의 역할을 가질 수 있음master-realm 안에서만 부여 가능 (Master > Realm roles 확인 가능)모든 영역이 아.. Keycloak Password Hashing Algorithm: Bcrypt 방식 적용하기 기본으로 지원되는 비밀번호 해싱 알고리즘argon2:: Argon2 (default for non-FIPS deployments)pbkdf2-sha512:: PBKDF2 with SHA512 (default for FIPS deployments)pbkdf2-sha256:: PBKDF2 with SHA256pbkdf2:: PBKDF2 with SHA1 (deprecated) 설정하지 않으면, 기본적으로 Argon2 해시 알고리즘이 사용됨default 알고리즘을 변경하여 사용하고 싶은 경우 하단의 명령어를 서버 시작시 입력 필요-spi-password-hashing-provider-default=에 들어갈 수 있는 알고리즘 리스트argon2pbkdf2-sha512pbkdf2-sha256pbkdf2 -> de.. Keycloak ID(username) 찾기 기능 구현하기 1. ID 찾기 기능필요한 경우가 있을 수 있어 추가적인 SPI(Service Provider Interface)로 개발할 수 있다.다만, ID 찾기 기능은 적용하기에 좀 애매한 부분이 있다. 보안적인 측면에서 문제가 없다고 판단되고 안전하다고 생각될 경우에만 적용해야한다.ID까지 찾을 수 있다면, 악의적인 사용자가 ID, PW 모두 찾아서 계정을 탈취할 수 있다.글로벌 서비스(Google, Figma 등)에서는 제공하지 않는다.따라서 간이로만 작성하였으며, form template과 연동하는 원리를 이해하는 목적으로 작성했다. 추가적인 구현은 필요하다면 추가로 하면 될 것 같다.소스코드는 아래 링크의 forgot-username-extension 부분에서 확인할 수 있다.https://github.co.. keycloak 2차 인증(문자, 이메일) 구현하기 w/ AWS SNS 문자 및 이메일로 본인 인증을 하는 flow를 추가하는 Provider를 생성하고, 사용하는 방법에 대해 다룹니다. 1. 소스 코드keycloak Expert인 dasniko라는 분의 SMS 2차 인증 authenticator 예시 코드https://github.com/dasniko/keycloak-2fa-sms-authenticator함께 올려져있는 영상을 보면 대부분 이해할 수 있음 2. 코드 설명 및 변경2.1 SmsAuthenticator.classaction 메서드에서 사용자가 입력한 Code 값과 내부에서 지정한 Code 값을 비교. 성공과 실패에 따라 context.success(), context.failuareChallenge 등을 호출하여 인증 단계를 진행하고, 사용자에게 보여줄 페이.. 이전 1 2 3 4 5 다음
