登录注册

当前位置:首页 > 文章列表 > Golang > Go问答 > 在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例

在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例

来源:stackoverflow 2024-02-14 23:54:21 0浏览 收藏

最近发现不少小伙伴都对Golang很感兴趣,所以今天继续给大家介绍Golang相关的知识,本文《在 go 中实现 Keycloak 领域的多租户,并为每个租户提供一个 Keycloak 实例》主要内容涉及到等等知识点,希望能帮到你!当然如果阅读本文时存在不同想法,可以在评论中表达,但是请勿使用过激的措辞~

问题内容

目前,我正在尝试通过为每个租户使用一个 keycloak 领域,在 oauth2 安全应用程序中实现多租户。我正在用 go 创建一个原型,但并没有真正绑定到该语言,如果需要的话可以切换到 node.js 或 java。我认为如果我切换语言,我的以下问题将成立。

起初,实施多租户对我来说似乎非常简单:

  • 对于每个租户,使用后端应用程序所需的客户端配置创建一个领域。
  • 后端收到 url 为 tenant-1.my-app.com 的请求。解析该 url 以检索用于身份验证的租户。
  • 连接到 oauth2 提供商(本例中为 keycloak)并验证请求令牌。

按照指南,我使用 golang.org/x/oauth2 和 github.com/coreos/go-oidc。这是我为单个领域设置 oauth 2 连接的方法:

provider, err := oidc.NewProvider(context.Background(), "http://keycloak.docker.localhost/auth/realms/tenant-1")
if err != nil {
    panic(err)
}

oauth2Config := oauth2.Config{
    ClientID:     "my-app",
    ClientSecret: "my-app-secret",
    RedirectURL:  "http://tenant-1.my-app.com/auth-callback",
    Endpoint: provider.Endpoint(),
    Scopes: []string{oidc.ScopeOpenID, "profile", "email"},
}
state := "somestate"

verifier := provider.Verifier(&oidc.Config{
    ClientID: "my-app",
})

http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
    tenant, err := getTenantFromRequest(r)
    if err != nil {
        log.Println(err)
        w.WriteHeader(400)
        return
    }
    log.Printf("Received request for tenant %s\n", tenant)

    // Check if auth is present
    rawAccessToken := r.Header.Get("Authorization")
    if rawAccessToken == "" {
        log.Println("No Auth present, redirecting to auth code url...")
        http.Redirect(w, r, oauth2Config.AuthCodeURL(state), http.StatusFound)
        return
    }

    // Check if auth is valid
    parts := strings.Split(rawAccessToken, " ")
    if len(parts) != 2 {
        w.WriteHeader(400)
        return
    }
    _, err = verifier.Verify(context.Background(), parts[1])
    if err != nil {
        log.Printf("Error during auth verification (%s), redirecting to auth code url...\n", err)
        http.Redirect(w, r, oauth2Config.AuthCodeURL(state), http.StatusFound)
        return
    }

    // Authentication okay

    w.WriteHeader(200)
})

log.Printf("Starting server (%s)...\n", proxyConfig.Url)
log.Fatal(http.ListenAndServe(proxyConfig.Url, nil))

这工作正常,但现在下一步是添加多租户。 imo 似乎我需要为每个租户创建一个 oidc.provider ,因为需要在 provider 结构中设置领域端点(http://keycloak.docker.localhost/auth/realms/tenant-1)。

我不确定这是否是处理这种情况的正确方法。我想我会为 oidc.provider 实例添加缓存,以避免在每个请求上创建实例。但正在创建一个


解决方案


尽管这尚未在生产中完全使用,但以下是我如何设计一个解决方案的原型,我最终可能会使用该解决方案:

我假设每个 keycloak 领域都必须有一个 oidc.provider

因此,每个领域总会有一个 oidc.idtokenverifier

为了管理这些实例,我创建了这个界面:

// a mechanism that manages oidc.provider and idtokenverifierinterface instances
type oauth2managerinterface interface {
    getoauthproviderforkeycloakrealm(ctx context.context, tenant string) (*oidc.provider, error)
    getopenidconnectverifierforprovider(provider *oidc.provider) (idtokenverifierinterface, error)
}

// interface created to describe the oidc.idtokenverifier struct.
// this was created because the oidc modules does not define its own interface
type idtokenverifierinterface interface {
    verify(ctx context.context, rawidtoken string) (*oidc.idtoken, error)
}

然后这是将实现管理器接口的结构:

type oauth2manager struct {
    providerurl string
    clientid    string

    // maps keycloak provider urls onto oidc.provider instances
    // used internally to avoid creating a new provider on each request
    providers map[string]*oidc.provider

    // lock to be used when accessing oauth2manager.providers
    providerlock sync.mutex

    // maps oidc.provider instances onto oidc.idtokenverifier instances
    // used internally to avoid creating a new verifier on each request
    verifiers map[*oidc.provider]*oidc.idtokenverifier

    // lock to be used when accessing oauth2manager.verifiers
    verifierlock sync.mutex
}

以及实际实现该接口的函数:

func (manager *OAuth2Manager) GetProviderUrlForRealm(realm string) string {
    return fmt.Sprintf("%s/%s", manager.ProviderUrl, realm)
}

func (manager *OAuth2Manager) GetOAuthProviderForKeycloakRealm(ctx context.Context, tenant string) (*oidc.Provider, error) {
    providerUrl := manager.GetProviderUrlForRealm(tenant)

    // Check if already exists ...
    manager.providerLock.Lock()
    if provider, alreadyExists := manager.providers[providerUrl]; alreadyExists {
        manager.providerLock.Unlock()
        return provider, nil
    }

    // ... create new instance if not
    provider, err := oidc.NewProvider(ctx, providerUrl)

    if err != nil {
        manager.providerLock.Unlock()
        return nil, err
    }

    manager.providers[providerUrl] = provider
    manager.providerLock.Unlock()

    log.Printf("Created new provider for provider url %s\n", providerUrl)

    return provider, nil
}

func (manager *OAuth2Manager) GetOpenIdConnectVerifierForProvider(provider *oidc.Provider) (IDTokenVerifierInterface, error) {
    // Check if already exists ...
    manager.verifierLock.Lock()
    if verifier, alreadyExists := manager.verifiers[provider]; alreadyExists {
        manager.verifierLock.Unlock()
        return verifier, nil
    }

    // ... create new instance if not
    oidcConfig := &oidc.Config{
        ClientID: manager.ClientId,
    }

    verifier := provider.Verifier(oidcConfig)

    manager.verifiers[provider] = verifier
    manager.verifierLock.Unlock()

    log.Printf("Created new verifier for OAuth endpoint %v\n", provider.Endpoint())

    return verifier, nil
}

如果同时访问提供程序,则使用 sync.mutex 锁非常重要。

以上就是本文的全部内容了,是否有顺利帮助你解决问题?若是能给你带来学习上的帮助,请大家多多支持golang学习网!更多关于Golang的相关知识,也可关注golang学习网公众号。

版本声明
本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
Go 模板的后处理:是否可行?Go 模板的后处理:是否可行?
上一篇
Go 模板的后处理:是否可行?
在 Go 中如何将变量值传递给 Shell 脚本?
下一篇
在 Go 中如何将变量值传递给 Shell 脚本?
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    542次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    508次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    497次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    484次学习
查看更多
AI推荐
  • 讯飞AI大学堂免费AI认证证书:大模型工程师认证,提升您的职场竞争力
    免费AI认证证书
    科大讯飞AI大学堂推出免费大模型工程师认证,助力您掌握AI技能,提升职场竞争力。体系化学习,实战项目,权威认证,助您成为企业级大模型应用人才。
    11次使用
  • 茅茅虫AIGC检测:精准识别AI生成内容,保障学术诚信
    茅茅虫AIGC检测
    茅茅虫AIGC检测,湖南茅茅虫科技有限公司倾力打造,运用NLP技术精准识别AI生成文本,提供论文、专著等学术文本的AIGC检测服务。支持多种格式,生成可视化报告,保障您的学术诚信和内容质量。
    156次使用
  • 赛林匹克平台:科技赛事聚合,赋能AI、算力、量子计算创新
    赛林匹克平台(Challympics)
    探索赛林匹克平台Challympics,一个聚焦人工智能、算力算法、量子计算等前沿技术的赛事聚合平台。连接产学研用,助力科技创新与产业升级。
    186次使用
  • SEO 笔格AIPPT:AI智能PPT制作,免费生成,高效演示
    笔格AIPPT
    SEO 笔格AIPPT是135编辑器推出的AI智能PPT制作平台,依托DeepSeek大模型,实现智能大纲生成、一键PPT生成、AI文字优化、图像生成等功能。免费试用,提升PPT制作效率,适用于商务演示、教育培训等多种场景。
    174次使用
  • 稿定PPT:在线AI演示设计,高效PPT制作工具
    稿定PPT
    告别PPT制作难题!稿定PPT提供海量模板、AI智能生成、在线协作,助您轻松制作专业演示文稿。职场办公、教育学习、企业服务全覆盖,降本增效,释放创意!
    161次使用
查看更多
相关文章
关于我们 免责声明 意见反馈 联系我们 内容提交
Golang学习网:公益在线Go学习平台,帮助Go学习者快速成长!
技术交流群
Copyright 2023 http://www.17golang.com/ All Rights Reserved | 苏ICP备2023003363号-1
  • Golang学习网
    关注公众号
    Golang学习网
微信登录更方便
  • 密码登录
  • 注册账号
忘记密码
登录即同意 用户协议隐私政策
返回登录
  • 重置密码
发送验证码