keyclaok~keycloak存到cookie中的值和session_state

合集 - keycloak(33)

1.keycloak~自定义rest接口2021-05-122.keycloak~docker部署https的keycloak使用自定义证书2021-08-033.keycloak~扩展事件机制，集成kafka中间件2021-09-064.keycloak~nginx实现的https转发2021-08-315.keycloak~使用JDBC_PING实现k8s里的高可用2021-08-286.keycloak~为认证提供者添加配置项2021-08-247.keycloak~再说session和token02-108.keycloak~JWT各字段说明及扩展字段的方法02-039.keycloak~uma远程资源授权对接asp.net core2021-11-1810.keycloak~授权功能的使用2021-10-2511.keycloak~避免出现"用户已登录"的界面2021-10-1312.keycloak~记住密码实现关闭浏览器用户状态保持原理2021-10-0813.keycloak~大数据量时坑出现~索引的坑2021-09-1014.keycloak~自定义登出接口05-3115.keycloak~时间不正确的问题04-12

16.keyclaok~keycloak存到cookie中的值和session_state03-30

17.keyclaok~web安全防护03-2118.keycloak~JWT没有被持久化_是因为你对方法论理解不到位02-1019.keycloak~RFC知识的了解2022-10-1320.keycloak~资源的远程授权2022-09-2121.keycloak~自定义directgrant直接认证2022-01-1322.keycloak~jconsole监控wildfly和jboss2022-01-1223.jboss~静态文件路由和自定义日志2021-12-2424.keycloak~11.3.0之后微信认证问题解决2021-11-0225.keycloak~缓存的使用2021-10-2826.keycloak~KEYCLOAK_REMEMBER_ME中文用户名问题新版已经解决2021-10-1427.keycloak~管理平台的查询bug与自定rest中文检索2021-07-0928.跨域Cookie的读取2021-07-2129.keycloak~账号密码认证和授权码认证2021-04-2930.keycloak~OIDC&OAuth2&自定义皮肤2021-04-2931.keycloak~自定义SPI的注入与扩展2021-01-2932.keycloak集成微信登陆~解决国内微信集成的问题2021-01-1333.keycloak~自定义redirect_uri的方法2020-11-03

收起

keycloak存到cookie中的值

• AUTH_SESSION_ID
• KEYCLOAK_IDENTITY
• KEYCLOAK_SESSION

AUTH_SESSION_ID

用户的当前session_state，它是会话级的，关闭浏览器就没了

KEYCLOAK_IDENTITY

它是用户跨端登录的基础，它也是一个jwt串，解析后是这样的结果，用户在当前端没有登录时，会跳到kc认证页，当发现cookie里的kc域下有这个KEYCLOAK_IDENTITY，会使用这个session_state进行认证，没有这个键，KC认证不能完成。

{
    "exp": 1682659005,
    "iat": 1680067005,
    "jti": "d655a51e-f363-43cf-9f3e-1be8c4f7f082",
    "iss": "https://finalcas.pkulaw.com/auth/realms/fabao",
    "sub": "347c9e9e-076c-45e3-be74-c482fffcc6e5",
    "typ": "Serialized-ID",
    "session_state": "4b020044-d273-41c6-9cea-c9ea1b0814f7",
    "state_checker": "SGniuhvr-FbQ7aznFTiTDIi2Gt4CKev7DI3vLNvJufo"
}

注意：如果浏览器的cookie里的KEYCLOAK_IDENTITY丢失了，会导致KC出现无法登录的问题，解决方法只能是清除浏览器里的AUTH_SESSION_ID和KEYCLOAK_SESSION，注意还有后缀为LEGACY的键值.

KEYCLOAK_SESSION

当你可算让KC记住你的登录状态，这时KC会在cookie中生成KEYCLOAK_SESSION，它的值默认与AUTH_SESSION_ID相同，当是一个包含过期时间的cookie，浏览器关闭后它依然保持，直到你在KC记住我中配置的过期时间。

假设还有第2个、第3个应用，在keycloak的相同的realm中注册了各自的client，我们在访问第2个、第3个应用的时候，也会跳转到keycloak登录页面（带上各自的client_id, redirect_url），但是就像上面的现象一样，我们的keycloak登录页对应的domain/path中有那3个cookie值AUTH_SESSION_ID，KEYCLOAK_IDENTITY和KEYCLOAK_SESSION， 这样就会自动跳转到我们应用的界面，无需填写keycloak登录的账号密码，并且能够返回授权码code，这就算登录成功了，登录成功之后，后续的操作就是我们再利用这个授权码code和client_secret访问keycloak去获取access token，这就是Oauth2.0的授权码模式。

sesssion_state

以上三个被存储在客户端浏览器里的键值（ AUTH_SESSION_ID, KEYCLOAK_IDENTITY,KEYCLOAK_SESSION）都有对session_state的存储，只不过，我们存储的有效期不同，AUTH_SESSION_ID是会话级，后两个是与KC后台配置的记住我中的refresh_token有效期相同的，即SSO Session Idle， SSO Session Max，Client Session Idle，Client Session Max四个配置，谁小使用谁。

• 当session_state达到这个refresh_token的超时时间+access_token超时时间后，它会被删除
• 当用户进行登出操作后，它会被删除
• 如下配置，用户在3+2分钟后PM 02:22:17时，它的 会话将被删除（回收）
  
  
  在02：22：17 PM时，这个会话将被回收，同时这个用户在前端也会从新去登录页认证