登录注册

当前位置:首页 > 文章列表 > Golang > Go问答 > 在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例

在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例

来源:stackoverflow 2024-02-14 23:54:21 0浏览 收藏

最近发现不少小伙伴都对Golang很感兴趣,所以今天继续给大家介绍Golang相关的知识,本文《在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例》主要内容涉及到等等知识点,希望能帮到你!当然如果阅读本文时存在不同想法,可以在评论中表达,但是请勿使用过激的措辞~

问题内容

目前,我正在尝试通过为每个租户使用一个 keycloak 领域,在 oauth2 安全应用程序中实现多租户。我正在用 go 创建一个原型,但并没有真正绑定到该语言,如果需要的话可以切换到 node.js 或 java。我认为如果我切换语言,我的以下问题将成立。

起初,实施多租户对我来说似乎非常简单:

  • 对于每个租户,使用后端应用程序所需的客户端配置创建一个领域。
  • 后端收到 url 为 tenant-1.my-app.com 的请求。解析该 url 以检索用于身份验证的租户。
  • 连接到 oauth2 提供商(本例中为 keycloak)并验证请求令牌。

按照指南,我使用 golang.org/x/oauth2 和 github.com/coreos/go-oidc。这是我为单个领域设置 oauth 2 连接的方法:

provider, err := oidc.NewProvider(context.Background(), "http://keycloak.docker.localhost/auth/realms/tenant-1")
if err != nil {
    panic(err)
}

oauth2Config := oauth2.Config{
    ClientID:     "my-app",
    ClientSecret: "my-app-secret",
    RedirectURL:  "http://tenant-1.my-app.com/auth-callback",
    Endpoint: provider.Endpoint(),
    Scopes: []string{oidc.ScopeOpenID, "profile", "email"},
}
state := "somestate"

verifier := provider.Verifier(&oidc.Config{
    ClientID: "my-app",
})

http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
    tenant, err := getTenantFromRequest(r)
    if err != nil {
        log.Println(err)
        w.WriteHeader(400)
        return
    }
    log.Printf("Received request for tenant %s\n", tenant)

    // Check if auth is present
    rawAccessToken := r.Header.Get("Authorization")
    if rawAccessToken == "" {
        log.Println("No Auth present, redirecting to auth code url...")
        http.Redirect(w, r, oauth2Config.AuthCodeURL(state), http.StatusFound)
        return
    }

    // Check if auth is valid
    parts := strings.Split(rawAccessToken, " ")
    if len(parts) != 2 {
        w.WriteHeader(400)
        return
    }
    _, err = verifier.Verify(context.Background(), parts[1])
    if err != nil {
        log.Printf("Error during auth verification (%s), redirecting to auth code url...\n", err)
        http.Redirect(w, r, oauth2Config.AuthCodeURL(state), http.StatusFound)
        return
    }

    // Authentication okay

    w.WriteHeader(200)
})

log.Printf("Starting server (%s)...\n", proxyConfig.Url)
log.Fatal(http.ListenAndServe(proxyConfig.Url, nil))

这工作正常,但现在下一步是添加多租户。 imo 似乎我需要为每个租户创建一个 oidc.provider ,因为需要在 provider 结构中设置领域端点(http://keycloak.docker.localhost/auth/realms/tenant-1)。

我不确定这是否是处理这种情况的正确方法。我想我会为 oidc.provider 实例添加缓存,以避免在每个请求上创建实例。但正在创建一个


解决方案


尽管这尚未在生产中完全使用,但以下是我如何设计一个解决方案的原型,我最终可能会使用该解决方案:

我假设每个 keycloak 领域都必须有一个 oidc.provider

因此,每个领域总会有一个 oidc.idtokenverifier

为了管理这些实例,我创建了这个界面:

// a mechanism that manages oidc.provider and idtokenverifierinterface instances
type oauth2managerinterface interface {
    getoauthproviderforkeycloakrealm(ctx context.context, tenant string) (*oidc.provider, error)
    getopenidconnectverifierforprovider(provider *oidc.provider) (idtokenverifierinterface, error)
}

// interface created to describe the oidc.idtokenverifier struct.
// this was created because the oidc modules does not define its own interface
type idtokenverifierinterface interface {
    verify(ctx context.context, rawidtoken string) (*oidc.idtoken, error)
}

然后这是将实现管理器接口的结构:

type oauth2manager struct {
    providerurl string
    clientid    string

    // maps keycloak provider urls onto oidc.provider instances
    // used internally to avoid creating a new provider on each request
    providers map[string]*oidc.provider

    // lock to be used when accessing oauth2manager.providers
    providerlock sync.mutex

    // maps oidc.provider instances onto oidc.idtokenverifier instances
    // used internally to avoid creating a new verifier on each request
    verifiers map[*oidc.provider]*oidc.idtokenverifier

    // lock to be used when accessing oauth2manager.verifiers
    verifierlock sync.mutex
}

以及实际实现该接口的函数:

func (manager *OAuth2Manager) GetProviderUrlForRealm(realm string) string {
    return fmt.Sprintf("%s/%s", manager.ProviderUrl, realm)
}

func (manager *OAuth2Manager) GetOAuthProviderForKeycloakRealm(ctx context.Context, tenant string) (*oidc.Provider, error) {
    providerUrl := manager.GetProviderUrlForRealm(tenant)

    // Check if already exists ...
    manager.providerLock.Lock()
    if provider, alreadyExists := manager.providers[providerUrl]; alreadyExists {
        manager.providerLock.Unlock()
        return provider, nil
    }

    // ... create new instance if not
    provider, err := oidc.NewProvider(ctx, providerUrl)

    if err != nil {
        manager.providerLock.Unlock()
        return nil, err
    }

    manager.providers[providerUrl] = provider
    manager.providerLock.Unlock()

    log.Printf("Created new provider for provider url %s\n", providerUrl)

    return provider, nil
}

func (manager *OAuth2Manager) GetOpenIdConnectVerifierForProvider(provider *oidc.Provider) (IDTokenVerifierInterface, error) {
    // Check if already exists ...
    manager.verifierLock.Lock()
    if verifier, alreadyExists := manager.verifiers[provider]; alreadyExists {
        manager.verifierLock.Unlock()
        return verifier, nil
    }

    // ... create new instance if not
    oidcConfig := &oidc.Config{
        ClientID: manager.ClientId,
    }

    verifier := provider.Verifier(oidcConfig)

    manager.verifiers[provider] = verifier
    manager.verifierLock.Unlock()

    log.Printf("Created new verifier for OAuth endpoint %v\n", provider.Endpoint())

    return verifier, nil
}

如果同时访问提供程序,则使用 sync.mutex 锁非常重要。

以上就是本文的全部内容了,是否有顺利帮助你解决问题?若是能给你带来学习上的帮助,请大家多多支持golang学习网!更多关于Golang的相关知识,也可关注golang学习网公众号。

版本声明
本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
Go 模板的后处理:是否可行?Go 模板的后处理:是否可行?
上一篇
Go 模板的后处理:是否可行?
在 Go 中如何将变量值传递给 Shell 脚本?
下一篇
在 Go 中如何将变量值传递给 Shell 脚本?
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    542次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    511次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    498次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    484次学习
查看更多
AI推荐
  • 千音漫语:智能声音创作助手,AI配音、音视频翻译一站搞定!
    千音漫语
    千音漫语,北京熠声科技倾力打造的智能声音创作助手,提供AI配音、音视频翻译、语音识别、声音克隆等强大功能,助力有声书制作、视频创作、教育培训等领域,官网:https://qianyin123.com
    202次使用
  • MiniWork:智能高效AI工具平台,一站式工作学习效率解决方案
    MiniWork
    MiniWork是一款智能高效的AI工具平台,专为提升工作与学习效率而设计。整合文本处理、图像生成、营销策划及运营管理等多元AI工具,提供精准智能解决方案,让复杂工作简单高效。
    206次使用
  • NoCode (nocode.cn):零代码构建应用、网站、管理系统,降低开发门槛
    NoCode
    NoCode (nocode.cn)是领先的无代码开发平台,通过拖放、AI对话等简单操作,助您快速创建各类应用、网站与管理系统。无需编程知识,轻松实现个人生活、商业经营、企业管理多场景需求,大幅降低开发门槛,高效低成本。
    202次使用
  • 达医智影:阿里巴巴达摩院医疗AI影像早筛平台,CT一扫多筛癌症急慢病
    达医智影
    达医智影,阿里巴巴达摩院医疗AI创新力作。全球率先利用平扫CT实现“一扫多筛”,仅一次CT扫描即可高效识别多种癌症、急症及慢病,为疾病早期发现提供智能、精准的AI影像早筛解决方案。
    209次使用
  • 智慧芽Eureka:更懂技术创新的AI Agent平台,助力研发效率飞跃
    智慧芽Eureka
    智慧芽Eureka,专为技术创新打造的AI Agent平台。深度理解专利、研发、生物医药、材料、科创等复杂场景,通过专家级AI Agent精准执行任务,智能化工作流解放70%生产力,让您专注核心创新。
    227次使用
查看更多
相关文章
关于我们 免责声明 意见反馈 联系我们 内容提交
Golang学习网:公益在线Go学习平台,帮助Go学习者快速成长!
技术交流群
Copyright 2023 http://www.17golang.com/ All Rights Reserved | 苏ICP备2023003363号-1
  • Golang学习网
    关注公众号
    Golang学习网
微信登录更方便
  • 密码登录
  • 注册账号
忘记密码
登录即同意 用户协议隐私政策
返回登录
  • 重置密码
发送验证码