惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Tenable Blog
月光博客
月光博客
雷峰网
雷峰网
WordPress大学
WordPress大学
博客园 - 司徒正美
Last Week in AI
Last Week in AI
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
V
Visual Studio Blog
H
Help Net Security
Engineering at Meta
Engineering at Meta
Google DeepMind News
Google DeepMind News
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
S
Security @ Cisco Blogs
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
爱范儿
爱范儿
W
WeLiveSecurity
J
Java Code Geeks
Forbes - Security
Forbes - Security
H
Hacker News: Front Page
T
Threatpost
The Cloudflare Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
N
Netflix TechBlog - Medium
Latest news
Latest news
V2EX - 技术
V2EX - 技术
小众软件
小众软件
T
The Blog of Author Tim Ferriss
A
Arctic Wolf
B
Blog RSS Feed
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
I
InfoQ
C
Check Point Blog
N
News | PayPal Newsroom
Cyberwarzone
Cyberwarzone
V
V2EX
TaoSecurity Blog
TaoSecurity Blog
P
Privacy & Cybersecurity Law Blog
Microsoft Security Blog
Microsoft Security Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
D
DataBreaches.Net
F
Fortinet All Blogs
阮一峰的网络日志
阮一峰的网络日志
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
IT之家
IT之家
K
Kaspersky official blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Google DeepMind News
Google DeepMind News
C
CXSECURITY Database RSS Feed - CXSecurity.com
www.infosecurity-magazine.com
www.infosecurity-magazine.com

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
keycloak~实现OAuth 2.0 Token Exchange
张占岭 · 2026-04-23 · via 博客园_首页

Keycloak 的令牌交换功能如下:

  • 在同一个领域中,客户端可以将为特定客户端创建的现有 Keycloak 令牌交换为针对不同客户端的新令牌。
  • 客户可以将现有的 Keycloak 令牌兑换为外部令牌,例如关联的 Facebook 账户令牌。
  • 客户端可以将外部令牌兑换为 Keycloak 令牌。
  • 客户可以冒充用户。

在Keycloak 14.0.0版本中,即使启用了-Dkeycloak.profile.feature.token_exchange=enabled预览功能,客户端配置页面中确实不会直接显示"exchange token"选项。这是因为旧版令牌交换(V1)需要额外的细粒度权限配置。

keycloak14中开启交换Token功能

Keycloak 14.0.0需要同时启用两个预览功能,需要使用下划线的名字:

-Dkeycloak.profile.feature.admin_fine_grained_authz=enabled
-Dkeycloak.profile.feature.token_exchange=enabled

重启Keycloak服务使配置生效。

为客户端开启token exchnage能力

image

添加一个wso2的IDP认证服务

image

image

IDP中Permission的配置

image

测试步骤

1 用户在keycloak平台登录

curl -X POST 'https://kc.com/auth/realms/demoo/protocol/openid-connect/token' -H 'Accept: application/json'  --data-urlencode 'grant_type=password' --data-urlencode 'username=test' --data-urlencode 'password=123456' --data-urlencode 'client_id=wso2' --data-urlencode 'client_secret=abf99c64-db24-43fb-b63b-c60213b8052f' --data-urlencode 'scope=openid'

2 用户在wso2平台通过urn:ietf:params:oauth:grant-type:jwt-bearer方式生成对应的token

curl -X POST 'https://wso2.com/oauth2/token' -H 'Content-Type: application/json' -H 'Content-Type: application/json' -u '3N5OKJnQozVc8pPKWHSf1CTLgwQa:HEj3QGF3bPxLIJbTpEmanW5mIjEa' --basic -d '{
  "grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer",
  "assertion": "kc-access-token",
  "scope": "openid apim:subscribe"
}'

3 用户在keycloak平台根据wso2的token来校验成keycloak的token,注意wso2中的客户端生成的token类型可以是jwt类型default类型,但scope中必须包含openid的,否则无法获取oauth2/userinfo接口。

curl -X POST 'https://kc.com/auth/realms/fabao/protocol/openid-connect/token' -H 'Content-Type: application/x-www-form-urlencoded'  -u 'wso2:abf99c64-db24-43fb-b63b-c60213b8052f' --basic --data-urlencode 'grant_type=urn:ietf:params:oauth:grant-type:token-exchange' --data-urlencode 'subject_token=wso2-jwt-token' --data-urlencode 'subject_token_type=urn:ietf:params:oauth:token-type:access_token' --data-urlencode 'requested_token_type=urn:ietf:params:oauth:token-type:access_token' --data-urlencode 'scope=openid' --data-urlencode 'subject_issuer=wso2'

一点优化的空间

  • 目前wso2中,api接口使用的token是用户的应用的token,它是一种客户端认证
  • 目前客户端认证不支持scope的openid,导致无法获取当前应用对应的用户/oauth2/userinfo接口,导致这个token不支持token exchange
  • 但是,如果你手动向idn_oauth2_access_token_scope表添加openid的scope,它就可以调用/oauth2/userinfo接口了,有几秒缓存。
    ![](image

优化已经找到方法

为sp应用添加openid的scope,在acp的deployment.toml中,添加相关配置,以开启openid的功能

[oauth]
allowed_scopes = ["openid", "default", "am_application_scope"]

[oauth.grant_type.client_credentials]
enable_openid_scope = true

解决上面白屏的方法:原因是在非客户端认证时,allowed_scopes = ["openid", "default", "am_application_scope"] 也添加了openid的scope,这个对于没有用户信息的请求来说,它在生成id_token时会出现错误,包含还有相关权限的问题,导致了白屏;解决方法是我们重写一下org.wso2.carbon.apimgt.impl.issuers.SystemScopesIssuer类,然后对方法getAuthorizedScopes()进行了重构,对于client_credentials认证并且authenticatedUser不为空时,手动添加了openid这个scope,保证了这个token可以访问/oauth2/userinfo端点。

重启服务后,进行sp的客户端认证,返回值会有openid和default,并有id_token的内容

{
  "access_token": "3baba7f7-3437-345e-89e3-ee9ea9ae6c05",
  "scope": "default openid",
  "id_token": "eyJ4NXQiOiJNekF6TVRGak9EUTFNRE5qT1RVMVpEQTROR1E1TURrell6RTNNV0k0TW1SbFpHVTNZelpqWWprNFpHUmtNMlJoTW1Jd01qQXhZekpsTUdKak5qZG1OdyIsImtpZCI6Ik16QXpNVEZqT0RRMU1ETmpPVFUxWkRBNE5HUTVNRGt6WXpFM01XSTRNbVJsWkdVM1l6WmpZams0WkdSa00yUmhNbUl3TWpBeFl6SmxNR0pqTmpkbU53X1JTMjU2IiwiYWxnIjoiUlMyNTYifQ.eyJhdF9oYXNoIjoiWEIwUWxaWTZ0TVZTWC05U2VrYmpyUSIsImF1ZCI6InNIaXN4ajIzc0JxN2ZZMDcwd2hWTzdwd1VCd2EiLCJzdWIiOiJiMzk4MjcyYi0zYTZjLTQ0MGYtOTQ5NS04OGMzYzE3NThhMzkiLCJuYmYiOjE3NzcyODA0MzksImF6cCI6InNIaXN4ajIzc0JxN2ZZMDcwd2hWTzdwd1VCd2EiLCJhbXIiOlsiY2xpZW50X2NyZWRlbnRpYWxzIl0sImlzcyI6Imh0dHBzOi8vdGVzdC1hcGltLnBrdWxhdy5jb20vb2F1dGgyL3Rva2VuIiwiZXhwIjoxNzgwODgwNDM5LCJpYXQiOjE3NzcyODA0MzksImp0aSI6IjdiYzYyY2U1LTFjODktNDliOS1iNGVmLTY2YmY5NzUxMTEzZSJ9.fPlMbjUvSw9Y59RHe-cIW1MA0DHTnOJ_0-S5Bxoc6yqF6VBa8xZAyjjFtaKxXULMqpcH0f-qKsxoT9X7LnEwGgUWhBHVKmuxK0WHDwsHIyEo1yscVc-Ap6HpfRf_cu8nX0taW0wPdeAdUCgPVGUas2d8YDnz5bKVSlydk9xVxwqvvyJvA_GcpOJ2W14Zk34bjlqOWN6jcaXkUfwrAZbheZudnKVWdI_hYOq0bd94pkRF7-af0b_h7rk4BuAatu_Z8qPhClvWZLpg1hMFRWwobOvBbuijmjMPkcsy0-JSLhc-i5_YXQ7q-U_uuDi1AiEijVlfHb7Uij5zQ98S_jF1Mw",
  "token_type": "Bearer",
  "expires_in": 3600000
}

交换token配置步骤详解

1. 创建令牌交换策略

在客户端的Permissions页面中,找到token-exchange权限,点击进入配置:

  1. 创建策略

    • 点击Create Policy按钮
    • 选择策略类型为Client
    • 策略名称:例如wso2-token-exchange-policy
  2. 配置策略

    • 在策略配置页面,找到Clients选项
    • 添加允许进行令牌交换的客户端(即WSO2 APIM的客户端ID)
    • 保存策略
  3. 绑定策略

    • 返回到token-exchange权限页面
    • 将刚创建的策略绑定到该权限
    • 确保权限状态为Enabled

2. 配置身份提供者(关键步骤)

由于WSO2 APIM是外部令牌颁发者,需要在Keycloak中将其配置为受信任的Identity Provider:

  1. 进入Identity Providers菜单
  2. 点击Add provider,选择OpenID Connect v1.0
  3. 配置信息:
    • Alias: wso2-apim(自定义名称)
    • Display Name: WSO2 APIM
    • Authorization URL: https://test-apim.pkulaw.com/oauth2/authorize
    • Token URL: https://test-apim.pkulaw.com/oauth2/token
    • Client ID: WSO2 APIM的客户端ID
    • Client Secret: WSO2 APIM的客户端密钥
    • Issuer: https://test-apim.pkulaw.com(WSO2 APIM的颁发者URL)

3. 配置客户端映射

在WSO2 APIM的客户端配置中,确保:

  • 客户端类型为Confidential
  • 启用了Service Accounts Enabled
  • 配置了正确的重定向URI

发送令牌交换请求

配置完成后,使用以下请求格式交换令牌:

curl -X POST 'https://your-keycloak-host/auth/realms/{realm}/protocol/openid-connect/token' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -H 'Authorization: Basic {base64 kc_client_id:kc_client_secret)}' \
  -d 'grant_type=urn:ietf:params:oauth:grant-type:token-exchange&
      subject_token={WSO2_APIM_TOKEN}&
      subject_token_type=urn:ietf:params:oauth:token-type:access_token&
      requested_token_type=urn:ietf:params:oauth:token-type:access_token&
      subject_issuer=wso2&
      scope=openid profile email'

关键参数说明

  • subject_token: WSO2 APIM的访问令牌(经过我的测试,使用jwt和default方式的token都是可以的)
  • subject_issuer: 这是keycloak中定义的idp的Alias
  • audience: keycloak目标客户端ID(您希望获得的Keycloak令牌的受众),可以省略
  • scope: 请求的权限范围,必须包含openid,否则无法获取用户信息

常见问题处理

  1. "Client not allowed to exchange"

    • 确认客户端已添加到token-exchange策略中
    • 检查客户端是否为Confidential类型
  2. "Invalid subject token"

    • 验证WSO2 APIM令牌格式
    • 确认subject_issuer参数与令牌中的iss一致
    • 检查令牌是否过期
  3. "Subject token issuer not trusted"

    • 确认Identity Provider配置正确
    • 检查颁发者URL是否完全匹配
  4. ** “User already exists”**:

    • 请通过wso2生成的token来访问wso2的用户端点是否正常,一般地址为oauth2/userinfo

注意事项

  1. 性能考虑:令牌交换涉及额外的网络调用和验证,可能影响性能
  2. 安全性:确保只在受信任的客户端间进行令牌交换
  3. 版本限制:Keycloak 14.0.0的令牌交换功能可能不如新版本完善

如果配置后仍遇到问题,建议提供具体的错误信息以便进一步排查。

未解决的问题2026-04-24

当keycloak中的本地用户,它的用户名与wso2的token中sub(类型于uuid)同名时,你的wso2交换token将无法完成,因为在交换token时,它会将wso2中sub作为用户名写到keycloak本地用户表,当写时有重复时,会出现错误,如下

{
  "error": "invalid_token",
  "error_description": "User already exists"
}

由于交换token是后端完成的,所以是无交互的动作,这时你在idp中定义的first login flow是没有执行的,如果找一个方法解决让它执行,我们就可以把它和kc本地用户做映射了,问题也就解决了。

解决方法

问题原因
外部 token exchange(TokenEndpoint.importUserFromExternalIdentity / exchangeExternalToken)在 getUserByFederatedIdentity 查不到 (IdP, sub) 时,会按 email 或 username 去建用户;若本地已有同名用户,就直接抛 invalid_token + "User already exists"。
浏览器里的 first broker login 则会让用户确认后把 IdP 绑到已有账号,而 token exchange 没有这条路径,所以会出现你描述的行为。

实现说明
在 TokenEndpoint.java 中做了这些事:

  1. 新增 autolinkLocalUserForExternalTokenExchange
  • 在本地已存在用户ID或者 email(在不允许重复 email 的 realm 下)或 username 冲突的用户时,不再抛 “User already exists”。
  • 为该用户 addFederatedIdentity,把当前 token 的 sub 与 IdP 关联起来(等价于“静默完成首次绑定”的一次性效果)。
  • 若该用户 已经 绑了同一 IdP,但 联邦里的 userId(即 sub)与当前 token 不一致,则仍拒绝,并返回更明确的
    "User already linked to this identity provider with a different account",避免把两个不同 IdP 身份错误绑到同一账号。
  1. 重构 importUserFromExternalIdentity
  • 用 registerNew 区分 新注册 与 已存在(含通过 lookup 或 autolink 得到)。
  • 非新注册时统一走 updateBrokeredUser + mapper 的 delegateUpdateBrokeredUser(与原来“已按联邦找到用户”的分支一致),保证属性、token、mapper 与登录 broker 后更新一致。

这样:当 IdP 的 sub 在 Keycloak 里还没有对应联邦记录,但 计算出的 username(或 email)与本地用户冲突 时,会 复用该本地用户并建立关联,而不再报 "User already exists"。

子类如需定制策略,可 override autolinkLocalUserForExternalTokenExchange。

错误总结

1 认证类型不支持,这是没开启预览版的token exchange

-Dkeycloak.profile.feature.token_exchange=enabled 
-Dkeycloak.profile.feature.admin_fine_grained_authz=enabled

2 客户端配置了token exchange,但在IDP中没有配置

Client not allowed to exchange

3 wso2-idp用户endpoint错误,这是生成token时,scope中缺少openid

user info call failure

4 获取token时,audience的值写成了wso2客户端ID,这个应该省略,或者用keycloak的client_id,但一般这个值是在basic认证中写的

{
  "error": "invalid_client",
  "error_description": "Audience not found"
}

5 交换token时,没有使用basic认证,将kc的client_id:clientsecret进行传递

{
  "error": "invalid_client",
  "error_description": "Invalid client credentials"
}