Конечные точки интроспекции Keycloak возвращают неактивный статус, когда token_type_hint равен requesting_party_token

tag-icon tag-icon openid
Конечные точки интроспекции Keycloak возвращают неактивный статус, когда token_type_hint равен requesting_party_token

Я использую Keycloak 3.4.3-Final. Изменение версии keycloak для меня не вариант. Я создал клиента и пользователя, получил JWT с использованием идентификатора/пароля пользователя и попытался провести интроспекцию этого JWT. Когда я указываю token_type_hint=requesting_party_token, Keycloak возвращает, что JWT неактивен. Если я опускаю token_type_hint, я получаю результат, говорящий, что токен активен.

Ниже описано, как воспроизвести проблему:

# run keycloak using docker
docker run -d jboss/keycloak:3.4.3.Final

# create a client and user. keycloak config is https://gist.github.com/roengram/9beba13665592322d666a92110ac1ff9

# get a JWT using user ID/PW
curl -s -d \
  "client_id=${CLIENT_ID}" \
  -d "client_secret=${CLIENT_SECRET}" \
  -d "username=${USERID}" -d "password=${USERPW}" \
  -d "grant_type=password" \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token"
{"access_token":"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI2RUpvU0RnOEtBeHlKUHhjODM3UC1kMFlac1NUS2drU...

# introspect the token according to https://www.keycloak.org/docs/3.4/authorization_services/#obtaining-information-about-an-rpt
curl -X POST \
  -u ${CLIENT_ID}:${CLIENT_SECRET} \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d 'token_type_hint=requesting_party_token&token=${JWT}' \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token/introspect"
{"active":false}

# if token_type_hint is omitted, active is returned
curl -X POST \
  -u ${CLIENT_ID}:${CLIENT_SECRET} \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d 'token=${JWT}' \
  "${KEYCLOAK_ENDPOINT}/auth/realms/${REALM}/protocol/openid-connect/token/introspect"
{"jti":"89eaa1b0-86bc-4ea2-8bf4-58dca2e3e794","exp":1560252718,"nbf":0,"iat":1560249118,"iss":"http://172.19.0.4:8080/auth/realms/master","aud":"testclient","sub":"843deccc-07f0-45b5-9965-653405a84bfe","typ":"Bearer","azp":"testclient","auth_time":0,"session_state":"eee130fc-00d8-4f0c-912d-d65de81982d0","preferred_username":"roen","acr":"1","allowed-origins":[],"realm_access":{"roles":["uma_authorization"]},"resource_access":{"account":{"roles":["manage-account","manage-account-links","view-profile"]}},"client_id":"testclient","username":"roen","active":true}

Возможно, я использую неправильный token_type_hint? Согласноспецификация, token_type_hint опционально используется сервером для оптимизации поиска токена и может быть проигнорирован. Я подозреваю, что токен, который я отправил в keycloak, не является RPT, поэтому keycloak просто возвращает неактивный.

Связанный контент