“限制身份验证会话”如何在 keycloak 中工作

Posted

技术标签:

【中文标题】“限制身份验证会话”如何在 keycloak 中工作【英文标题】:How does "Limit Authentication Session" work in keycloak 【发布时间】:2021-12-04 01:59:45 【问题描述】:

我正在使用 Keycloak 来保护我的应用程序。我有一个请求限制每个用户的会话数,然后我找到了这个并尝试了https://github.com/keycloak/keycloak-documentation/blob/master/server_admin/topics/threat/auth-sessions-limit.adoc

我有一个名为“rxnlab”的用户,我将 authSessionsLimit 设置为 3。我希望我可以与该用户进行 3 次会话,但事实是会话是无限的, 我可以建立任意数量的连接。以下截图显示有 10 个活动会话,其中 5 个是 rxnlab(第一页显示 3 个)

我有两个问题:

    这是限制每个用户会话的正确配置吗? 如果不是,这个配置有什么作用?

【问题讨论】:

【参考方案1】:

这里说,每当您打开登录页面时,它都会启动一个新的身份验证会话,但这并不意味着用户已获得访问权限。

这让您不必在无数次会话上花费内存。

所有会话都依赖于特定的客户端,您可以为用户管理会话时间和其他事情。

请记住,可以按领域管理会话的生存时间

【讨论】:

以上是关于“限制身份验证会话”如何在 keycloak 中工作的主要内容,如果未能解决你的问题,请参考以下文章

没有浏览器的 Keycloak OpenID 客户端

Keycloak:使用 nginx 后面的 javascript 适配器的重定向循环

Red Hat SSO 7.3.0.GA 的 Keycloak API 调用依赖项

Keycloak - 如何在登录页面上添加返回应用程序链接

如何在 8080 端口上启动 keycloak 2.0?

如何在 nextjs 中使用 keycloak?