尝试获取“openid_id”和“角色”字段时,带有 Keycloak 的 Flask OIDC 返回 None

Posted

技术标签:

【中文标题】尝试获取“openid_id”和“角色”字段时,带有 Keycloak 的 Flask OIDC 返回 None【英文标题】:Flask OIDC with Keycloak returning None when trying to get 'openid_id' and 'role' fields 【发布时间】:2020-12-24 18:44:51 【问题描述】:

我正在尝试使用 Flask-ODBC + Keycloak 构建一些测试应用程序。

我成功启动了 Keycloak,创建了一个领域、一个角色和一个分配给该角色的用户。现在我正在尝试从 OpenIDConnect 对象中获取 'role' 和 'openid_id' 字段,但这两个字段返回 None。

我的应用代码如下

import json

import flask
from flask import Flask, render_template, g
import flask_login
from flask_login import login_required
from flask_oidc import OpenIDConnect

from model.user import User

app = Flask(__name__)

login_manager = flask_login.LoginManager()
login_manager.init_app(app)

# Our mock database.
users = 'foo@bar.com': 'pw': 'secret'

app.config.update(
    'SECRET_KEY': 'u\x91\xcf\xfa\x0c\xb9\x95\xe3t\xba2K\x7f\xfd\xca\xa3\x9f\x90\x88\xb8\xee\xa4\xd6\xe4',
    'TESTING': True,
    'DEBUG': True,
    'OIDC_CLIENT_SECRETS': 'client_secrets.json',
    'OIDC_ID_TOKEN_COOKIE_SECURE': False,
    'OIDC_REQUIRE_VERIFIED_EMAIL': False,
    'OIDC_VALID_ISSUERS': ['http://localhost:8080/auth/realms/MyDemo'],
    'OIDC_OPENID_REALM': 'http://localhost:5000/oidc_callback'
)
oidc = OpenIDConnect(app)


@app.route('/')
def hello_world():
    if oidc.user_loggedin:
        return ('Hello, %s, <a href="/private">See private</a> '
                '<a href="/logout">Log out</a>') % \
            oidc.user_getfield('email')
    else:
        return 'Welcome anonymous, <a href="/private">Log in</a>'


@app.route('/private')
@oidc.require_login
def hello_me():
    info = oidc.user_getinfo(['email', 'openid_id', 'role'])
    print(info)
    return ('Hello, %s (%s)! <a href="/">Return</a>' %
            (info.get('email'), info.get('openid_id')))


@app.route('/api')
@oidc.accept_token(True, ['openid'])
def hello_api():
    return json.dumps('hello': 'Welcome %s' % g.oidc_token_info['sub'])


@app.route('/logout')
def logout():
    oidc.logout()
    return 'Hi, you have been logged out! <a href="/">Return</a>'


if __name__ == '__main__':
    app.run('localhost', port=5000)

在 hello_me() 中,我尝试获取 'openid_id' 和 'role' 并打印出来。问题是我在这些领域没有得到任何东西。我可以正确收到电子邮件。

你能帮我找出我犯了什么错误吗?

【问题讨论】:

【参考方案1】:

https://flask-oidc.readthedocs.io/en/latest/

user_getinfo(fields, access_token=None)

返回:当前用户对所请求字段的值。键是字段名称,值是 OpenID 提供者指示的字段值。请注意,没有提供者提供的字段。

您的提供者(Keycloak)显然没有在令牌中公开openid_id 详细信息,因此该字段不存在。很可能您没有在 Keycloak 中正确配置 OIDC 客户端。确保您已在 Keycloak 中为使用的 OIDC 客户端添加了正确的映射器/范围,这会将请求的详细信息公开到 openid_id 声明中。

【讨论】:

嗨,简!你有参考教程教如何添加正确的映射器和范围? @TiagoBachiegadeAlmeida 我建议阅读文档 - keycloak.org/docs/latest/server_admin 有部分如何管理客户

以上是关于尝试获取“openid_id”和“角色”字段时,带有 Keycloak 的 Flask OIDC 返回 None的主要内容,如果未能解决你的问题,请参考以下文章

导入不带角色的 postgres 数据库

我正在尝试通过复制的实体获取实体字段

Firestore 规则 - 动态路径

如何在使用实体框架时获取所有用户角色

如何在 KeyCloak 中获取复合角色

教程创建RBAC角色组并分配权限后,EMC中本应有权限编辑的字段被锁定