Keycloak Introspect-Endpunkte geben „inaktiv“ zurück, wenn token_type_hint requesting_party_token ist

tag-icon tag-icon openid
Keycloak Introspect-Endpunkte geben „inaktiv“ zurück, wenn token_type_hint requesting_party_token ist

Ich verwende Keycloak 3.4.3-Final. Die Keycloak-Version zu ändern ist für mich keine Option. Ich habe einen Client und einen Benutzer erstellt, ein JWT mit Benutzer-ID/PW erhalten und versucht, dieses JWT zu introspektieren. Wenn ich token_type_hint=requesting_party_token angebe, gibt Keycloak zurück, dass das JWT inaktiv ist. Wenn ich token_type_hint weglasse, erhalte ich ein Ergebnis, das besagt, dass das Token aktiv ist.

Nachfolgend erfahren Sie, wie Sie das Problem reproduzieren können:

# run keycloak using docker
docker run -d jboss/keycloak:3.4.3.Final

# create a client and user. keycloak config is https://gist.github.com/roengram/9beba13665592322d666a92110ac1ff9

# get a JWT using user ID/PW
curl -s -d \
  "client_id=${CLIENT_ID}" \
  -d "client_secret=${CLIENT_SECRET}" \
  -d "username=${USERID}" -d "password=${USERPW}" \
  -d "grant_type=password" \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token"
{"access_token":"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI2RUpvU0RnOEtBeHlKUHhjODM3UC1kMFlac1NUS2drU...

# introspect the token according to https://www.keycloak.org/docs/3.4/authorization_services/#obtaining-information-about-an-rpt
curl -X POST \
  -u ${CLIENT_ID}:${CLIENT_SECRET} \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d 'token_type_hint=requesting_party_token&token=${JWT}' \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token/introspect"
{"active":false}

# if token_type_hint is omitted, active is returned
curl -X POST \
  -u ${CLIENT_ID}:${CLIENT_SECRET} \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d 'token=${JWT}' \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token/introspect"
{"jti":"89eaa1b0-86bc-4ea2-8bf4-58dca2e3e794","exp":1560252718,"nbf":0,"iat":1560249118,"iss":"http://172.19.0.4:8080/auth/realms/master","aud":"testclient","sub":"843deccc-07f0-45b5-9965-653405a84bfe","typ":"Bearer","azp":"testclient","auth_time":0,"session_state":"eee130fc-00d8-4f0c-912d-d65de81982d0","preferred_username":"roen","acr":"1","allowed-origins":[],"realm_access":{"roles":["uma_authorization"]},"resource_access":{"account":{"roles":["manage-account","manage-account-links","view-profile"]}},"client_id":"testclient","username":"roen","active":true}

Wahrscheinlich verwende ich einen falschen Token-Typ-Hinweis? LautSpezifikation, token_type_hint wird optional vom Server verwendet, um die Token-Suche zu optimieren und kann ignoriert werden. Ich vermute, dass das Token, das ich an Keycloak übermittelt habe, kein RPT ist, also gibt Keycloak einfach inaktiv zurück.

verwandte Informationen