登录注册

当前位置:首页 > 文章列表 > Golang > Go问答 > 在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例

在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例

来源:stackoverflow 2024-02-14 23:54:21 0浏览 收藏

最近发现不少小伙伴都对Golang很感兴趣,所以今天继续给大家介绍Golang相关的知识,本文《在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例》主要内容涉及到等等知识点,希望能帮到你!当然如果阅读本文时存在不同想法,可以在评论中表达,但是请勿使用过激的措辞~

问题内容

目前,我正在尝试通过为每个租户使用一个 keycloak 领域,在 oauth2 安全应用程序中实现多租户。我正在用 go 创建一个原型,但并没有真正绑定到该语言,如果需要的话可以切换到 node.js 或 java。我认为如果我切换语言,我的以下问题将成立。

起初,实施多租户对我来说似乎非常简单:

  • 对于每个租户,使用后端应用程序所需的客户端配置创建一个领域。
  • 后端收到 url 为 tenant-1.my-app.com 的请求。解析该 url 以检索用于身份验证的租户。
  • 连接到 oauth2 提供商(本例中为 keycloak)并验证请求令牌。

按照指南,我使用 golang.org/x/oauth2 和 github.com/coreos/go-oidc。这是我为单个领域设置 oauth 2 连接的方法:

provider, err := oidc.NewProvider(context.Background(), "http://keycloak.docker.localhost/auth/realms/tenant-1")
if err != nil {
    panic(err)
}

oauth2Config := oauth2.Config{
    ClientID:     "my-app",
    ClientSecret: "my-app-secret",
    RedirectURL:  "http://tenant-1.my-app.com/auth-callback",
    Endpoint: provider.Endpoint(),
    Scopes: []string{oidc.ScopeOpenID, "profile", "email"},
}
state := "somestate"

verifier := provider.Verifier(&oidc.Config{
    ClientID: "my-app",
})

http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
    tenant, err := getTenantFromRequest(r)
    if err != nil {
        log.Println(err)
        w.WriteHeader(400)
        return
    }
    log.Printf("Received request for tenant %s\n", tenant)

    // Check if auth is present
    rawAccessToken := r.Header.Get("Authorization")
    if rawAccessToken == "" {
        log.Println("No Auth present, redirecting to auth code url...")
        http.Redirect(w, r, oauth2Config.AuthCodeURL(state), http.StatusFound)
        return
    }

    // Check if auth is valid
    parts := strings.Split(rawAccessToken, " ")
    if len(parts) != 2 {
        w.WriteHeader(400)
        return
    }
    _, err = verifier.Verify(context.Background(), parts[1])
    if err != nil {
        log.Printf("Error during auth verification (%s), redirecting to auth code url...\n", err)
        http.Redirect(w, r, oauth2Config.AuthCodeURL(state), http.StatusFound)
        return
    }

    // Authentication okay

    w.WriteHeader(200)
})

log.Printf("Starting server (%s)...\n", proxyConfig.Url)
log.Fatal(http.ListenAndServe(proxyConfig.Url, nil))

这工作正常,但现在下一步是添加多租户。 imo 似乎我需要为每个租户创建一个 oidc.provider ,因为需要在 provider 结构中设置领域端点(http://keycloak.docker.localhost/auth/realms/tenant-1)。

我不确定这是否是处理这种情况的正确方法。我想我会为 oidc.provider 实例添加缓存,以避免在每个请求上创建实例。但正在创建一个


解决方案


尽管这尚未在生产中完全使用,但以下是我如何设计一个解决方案的原型,我最终可能会使用该解决方案:

我假设每个 keycloak 领域都必须有一个 oidc.provider

因此,每个领域总会有一个 oidc.idtokenverifier

为了管理这些实例,我创建了这个界面:

// a mechanism that manages oidc.provider and idtokenverifierinterface instances
type oauth2managerinterface interface {
    getoauthproviderforkeycloakrealm(ctx context.context, tenant string) (*oidc.provider, error)
    getopenidconnectverifierforprovider(provider *oidc.provider) (idtokenverifierinterface, error)
}

// interface created to describe the oidc.idtokenverifier struct.
// this was created because the oidc modules does not define its own interface
type idtokenverifierinterface interface {
    verify(ctx context.context, rawidtoken string) (*oidc.idtoken, error)
}

然后这是将实现管理器接口的结构:

type oauth2manager struct {
    providerurl string
    clientid    string

    // maps keycloak provider urls onto oidc.provider instances
    // used internally to avoid creating a new provider on each request
    providers map[string]*oidc.provider

    // lock to be used when accessing oauth2manager.providers
    providerlock sync.mutex

    // maps oidc.provider instances onto oidc.idtokenverifier instances
    // used internally to avoid creating a new verifier on each request
    verifiers map[*oidc.provider]*oidc.idtokenverifier

    // lock to be used when accessing oauth2manager.verifiers
    verifierlock sync.mutex
}

以及实际实现该接口的函数:

func (manager *OAuth2Manager) GetProviderUrlForRealm(realm string) string {
    return fmt.Sprintf("%s/%s", manager.ProviderUrl, realm)
}

func (manager *OAuth2Manager) GetOAuthProviderForKeycloakRealm(ctx context.Context, tenant string) (*oidc.Provider, error) {
    providerUrl := manager.GetProviderUrlForRealm(tenant)

    // Check if already exists ...
    manager.providerLock.Lock()
    if provider, alreadyExists := manager.providers[providerUrl]; alreadyExists {
        manager.providerLock.Unlock()
        return provider, nil
    }

    // ... create new instance if not
    provider, err := oidc.NewProvider(ctx, providerUrl)

    if err != nil {
        manager.providerLock.Unlock()
        return nil, err
    }

    manager.providers[providerUrl] = provider
    manager.providerLock.Unlock()

    log.Printf("Created new provider for provider url %s\n", providerUrl)

    return provider, nil
}

func (manager *OAuth2Manager) GetOpenIdConnectVerifierForProvider(provider *oidc.Provider) (IDTokenVerifierInterface, error) {
    // Check if already exists ...
    manager.verifierLock.Lock()
    if verifier, alreadyExists := manager.verifiers[provider]; alreadyExists {
        manager.verifierLock.Unlock()
        return verifier, nil
    }

    // ... create new instance if not
    oidcConfig := &oidc.Config{
        ClientID: manager.ClientId,
    }

    verifier := provider.Verifier(oidcConfig)

    manager.verifiers[provider] = verifier
    manager.verifierLock.Unlock()

    log.Printf("Created new verifier for OAuth endpoint %v\n", provider.Endpoint())

    return verifier, nil
}

如果同时访问提供程序,则使用 sync.mutex 锁非常重要。

以上就是本文的全部内容了,是否有顺利帮助你解决问题?若是能给你带来学习上的帮助,请大家多多支持golang学习网!更多关于Golang的相关知识,也可关注golang学习网公众号。

版本声明
本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
Go 模板的后处理:是否可行?Go 模板的后处理:是否可行?
上一篇
Go 模板的后处理:是否可行?
在 Go 中如何将变量值传递给 Shell 脚本?
下一篇
在 Go 中如何将变量值传递给 Shell 脚本?
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    542次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    508次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    497次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    484次学习
查看更多
AI推荐
  • PPTFake答辩PPT生成器:一键生成高效专业的答辩PPT
    PPTFake答辩PPT生成器
    PPTFake答辩PPT生成器,专为答辩准备设计,极致高效生成PPT与自述稿。智能解析内容,提供多样模板,数据可视化,贴心配套服务,灵活自主编辑,降低制作门槛,适用于各类答辩场景。
    16次使用
  • SEO标题Lovart AI:全球首个设计领域AI智能体,实现全链路设计自动化
    Lovart
    SEO摘要探索Lovart AI,这款专注于设计领域的AI智能体,通过多模态模型集成和智能任务拆解,实现全链路设计自动化。无论是品牌全案设计、广告与视频制作,还是文创内容创作,Lovart AI都能满足您的需求,提升设计效率,降低成本。
    15次使用
  • 美图AI抠图:行业领先的智能图像处理技术,3秒出图,精准无误
    美图AI抠图
    美图AI抠图,依托CVPR 2024竞赛亚军技术,提供顶尖的图像处理解决方案。适用于证件照、商品、毛发等多场景,支持批量处理,3秒出图,零PS基础也能轻松操作,满足个人与商业需求。
    28次使用
  • SEO标题PetGPT:智能桌面宠物程序,结合AI对话的个性化陪伴工具
    PetGPT
    SEO摘要PetGPT 是一款基于 Python 和 PyQt 开发的智能桌面宠物程序,集成了 OpenAI 的 GPT 模型,提供上下文感知对话和主动聊天功能。用户可高度自定义宠物的外观和行为,支持插件热更新和二次开发。适用于需要陪伴和效率辅助的办公族、学生及 AI 技术爱好者。
    29次使用
  • 可图AI图片生成:快手可灵AI2.0引领图像创作新时代
    可图AI图片生成
    探索快手旗下可灵AI2.0发布的可图AI2.0图像生成大模型,体验从文本生成图像、图像编辑到风格转绘的全链路创作。了解其技术突破、功能创新及在广告、影视、非遗等领域的应用,领先于Midjourney、DALL-E等竞品。
    53次使用
查看更多
相关文章
关于我们 免责声明 意见反馈 联系我们 内容提交
Golang学习网:公益在线Go学习平台,帮助Go学习者快速成长!
技术交流群
Copyright 2023 http://www.17golang.com/ All Rights Reserved | 苏ICP备2023003363号-1
  • Golang学习网
    关注公众号
    Golang学习网
微信登录更方便
  • 密码登录
  • 注册账号
忘记密码
登录即同意 用户协议隐私政策
返回登录
  • 重置密码
发送验证码