keycloak behind nginx登录失败，提交按钮缺失端口号等问题

2017-10-23 14:17:17

收藏：0

阅读：92

评论：2

在进入页面时，Keycloak失去了传递的端口号 30666

然而，提交按钮不包含ip+端口号，只使用ip地址。由于提交失败。

而且重定向失败......

我该如何使Keycloak在代理后面工作？

Keycloak在以下配置的kubernetes集群中运行，位于NGinx代理后面：

worker_processes  1;
error_log /dev/stderr warn;

events {
    worker_connections 1024;
}

# make sure to set plaintext JWT_SECRET environment variable
env JWT_SECRET;

http {

    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /dev/stdout main;

    lua_package_path "/usr/local/openresty/lualib/?.lua;;";

    server {
        listen 8080;
        root /;

        # load index page from nginx implementing the KC javascript:
        location / {
            index index.htm index.html;
        }

        location /auth {
            proxy_pass http://idp:8080/auth;
            proxy_http_version 1.1; # this is essential for chunked responses to work
            proxy_buffering    off;
            proxy_set_header   X-Real-IP $remote_addr;
            proxy_set_header   X-Scheme $scheme;
            proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $host;
        }

        # Secured endpoints
        location /secure/ {
            access_by_lua_file /bearer.lua;

            default_type text/plain;
            echo "<p>i am protected by jwt<p>";
        }
    }
}

我的IDP部署如下：

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  annotations:
    kompose.cmd: kompose convert -f docker-compose.yml
    kompose.version: 1.2.0 ()
  creationTimestamp: null
  labels:
    io.kompose.service: idp
  name: idp
spec:
  replicas: 1
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        io.kompose.service: idp
    spec:
      containers:
      - env:
        - name: KEYCLOAK_PASSWORD
          value: pass
        - name: KEYCLOAK_USER
          value: admin
        - name: PROXY_ADDRESS_FORWARDING
          value: 'true'
        image: jboss/keycloak
        name: idp
        ports:
        - containerPort: 9990
        - containerPort: 8080
        resources: {}
      restartPolicy: Always
status: {}

用户453389

问题在于 proxy_set_header $host，它应该是 $host:$server_port

另外，在代理 URL 上添加 /auth 后缀是不必要的。如果没有指定，则 Nginx 将传输 URI 而不更改它。

配置应为：

location /auth {
        proxy_pass http://idp:8080;
        ...
        proxy_set_header Host $host:$server_port;

参考文献 http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass

注意：Keycloak 客户端可能需要 HTTPS URL。如果在 Nginx 中启用 HTTPS，则还需通过 x-forwarded-proto 标头将协议传递给 Keycloak。

        proxy_set_header x-forwarded-proto $scheme;

2017-11-01 00:10:43

用户3863500

你必须要添加以下的头信息：

proxy_set_header    X-Forwarded-Port   $server_port;

2018-07-24 09:49:29

评论区的留言会收到邮件通知哦~

作者:

用户1641868

keycloak behind nginx登录失败，提交按钮缺失端口号等问题

社区规范

发文指南

社区文章

开源项目 & 应用

🎮 游戏开发

World of Warcraft

Roblox

Defold

LÖVE 2D

🌐 高性能网络与 Web 服务

OpenResty

Kong

Redis

Nmap

LuaJIT

Wapiti

Wireshark

⚙️ 嵌入式系统与应用工具

LuatOS

TeX Live

Awesome WM

Vim/Neovim

FFmpeg

🧠 人工智能与科学计算

Torch

SciLua