KeyCloak v15(WildFly v23) 비밀번호를 이전 저장소에서 elytron 자격 증명 저장소로 마이그레이션하고 있습니다. 표준 사용 사례에서는 잘 작동합니다. 에는 standalone.xml다음이 있습니다.
/server/extensions/extension:
<extension module="org.wildfly.extension.elytron"/>
/server/profile/subsystem:
<subsystem xmlns="urn:wildfly:elytron:13.0" final-providers="elytron" disallowed-providers="OracleUcrypto">
<providers>
<provider-loader name="elytron" module="org.wildfly.security.elytron"/>
</providers>
<audit-logging>
<file-audit-log name="local-audit" path="audit-log.log" relative-to="jboss.server.log.dir" format="JSON"/>
</audit-logging>
<credential-stores>
<credential-store name="credStore" location="/data/credStore.jceks">
<implementation-properties>
<property name="keyStoreType" value="JCEKS"/>
</implementation-properties>
<credential-reference clear-text="MASK-123456789;salt123;42"/>
</credential-store>
</credential-stores>
</subsystem>
다음을 사용하여 비밀번호에 액세스합니다
/server/profile/subsystem[@xmlns="urn:jboss:domain:jgroups:8.0"]/stacks/stack[@name="tcp"]/auth-protocol/digest-token/shared-secret-reference.
<shared-secret-reference store="credStore" alias="myBlock::mySecret"/>
그러나 속성의 SPI에 전달해야 하는 비밀이 하나 있습니다. 어떻게 해야할지 아시나요? 이것은 오래된 Vault 방식이었습니다.
/server/system-properties/property:
<property name="secret" value="${VAULT::myBlock::mySecret::1}"/>
/server/profile/subsystem[@xmlns="urn:jboss:domain:keycloak-server:1.1"]/spi:
<spi name="mySpi">
<provider name="file" enabled="true">
<properties>
<property name="password" value="${secret}"/>
</properties>
</provider>
</spi>
답변1
나는 두 가지 가능성을 발견했습니다:
- Java의 Elytron 자격증명 저장소에서 직접 비밀을 검색하도록 SPI를 다시 작성하세요.
- 환경변수를 미리 설정하고 (
export SECRET="$(secret-getter-script)") 다음에서 변수를 사용합니다standalone.xml.
<spi name="mySpi">
<provider name="file" enabled="true">
<properties>
<property name="password" value="${env.SECRET}"/>
</properties>
</provider>
</spi>
답변2
Elytron 자격 증명 저장소 콘텐츠를 읽으려면 SPI를 다시 작성해야 했습니다.
import org.jboss.as.server.CurrentServiceContainer;
import org.jboss.msc.service.ServiceController;
import org.jboss.msc.service.ServiceName;
import org.jboss.msc.service.ServiceRegistry;
import org.wildfly.security.credential.PasswordCredential;
import org.wildfly.security.credential.store.CredentialStore;
import org.wildfly.security.credential.store.CredentialStoreException;
import org.wildfly.security.password.Password;
import org.wildfly.security.password.interfaces.ClearPassword;
private static String getClientSecret(String credentialStore, String secretAlias) {
final ServiceName SERVICE_NAME_CRED_STORE = ServiceName.of("org", "wildfly", "security", "credential-store");
final ServiceName sn = ServiceName.of(SERVICE_NAME_CRED_STORE, credentialStore);
final ServiceRegistry registry = CurrentServiceContainer.getServiceContainer();
final ServiceController<?> credStoreService = registry.getService(sn);
final CredentialStore cs = (CredentialStore) credStoreService.getValue();
// if (!cs.exists(secretAlias, PasswordCredential.class)) {
// throw new CredentialStoreException("Alias " + secretAlias + " not found in credential store.");
// }
final Password password;
try {
password = cs.retrieve(secretAlias, PasswordCredential.class).getPassword();
} catch (CredentialStoreException e) {
e.printStackTrace();
return null;
}
if (!(password instanceof ClearPassword)) {
throw new ClassCastException("Password is not of type ClearPassword");
}
return new String(((ClearPassword) password).getPassword());
}