OpenJDK

开始在裸机上使用 Keycloak

开始之前

确保您的机器或容器平台可以为 Keycloak 的预期使用提供足够的内存和 CPU。 请参阅 CPU 和内存资源调整的概念,以获取有关如何开始进行生产环境容量规划的更多信息。

确保您已安装 OpenJDK 21

下载 Keycloak

从 Keycloak 网站下载并解压 keycloak-26.2.0.zip

解压此文件后,您应该会得到一个名为 keycloak-26.2.0 的目录。

启动 Keycloak

  1. 从终端打开 keycloak-26.2.0 目录。

  2. 输入以下命令

    • 在 Linux 上,运行

      bin/kc.sh start-dev
    • 在 Windows 上,运行

      bin\kc.bat start-dev

使用 start-dev 选项,您正在以开发模式启动 Keycloak。 在此模式下,您可以首次尝试 Keycloak 以快速启动并运行。 此模式为开发人员提供了便捷的默认设置,例如用于开发新的 Keycloak 主题。

创建管理员用户

Keycloak 没有默认的管理员用户。 您需要在启动 Keycloak 之前创建一个管理员用户。

  1. 打开 https://127.0.0.1:8080/

  2. 在表单中填写您首选的用户名和密码。

登录到管理控制台

  1. 转到 Keycloak 管理控制台

  2. 使用您之前创建的用户名和密码登录。

创建 realm

Keycloak 中的 realm 相当于租户。 每个 realm 允许管理员创建隔离的应用程序和用户组。 最初,Keycloak 包含一个名为 master 的 realm。 仅使用此 realm 来管理 Keycloak,而不要用于管理任何应用程序。

使用以下步骤创建第一个 realm。

  1. 打开 Keycloak 管理控制台

  2. 单击 Current realm 旁边的 Create Realm

  3. Realm name 字段中输入 myrealm

  4. 单击 Create

Add realm
图 1. 添加 realm

创建用户

最初,realm 没有用户。 使用以下步骤创建用户

  1. 验证您仍然在 Current realm 旁边的 myrealm realm 中。

  2. 单击左侧菜单中的 Users

  3. 单击 Create new user

  4. 在表单中填写以下值

    • Username: myuser

    • First name: 任意 first name

    • Last name: 任意 last name

  5. 单击 Create

Create user
图 2. 创建用户

此用户需要密码才能登录。 要设置初始密码

  1. 单击页面顶部的 Credentials

  2. Set password 表单中填写密码。

  3. Temporary 切换为 Off,以便用户在首次登录时无需更新此密码。

Set password
图 3. 设置密码

登录到 Account Console

您现在可以登录到 Account Console 以验证此用户配置正确。

  1. 打开 Keycloak Account Console

  2. 使用 myuser 和您之前创建的密码登录。

作为 Account Console 中的用户,您可以管理您的帐户,包括修改您的个人资料、添加双因素身份验证以及包含身份提供商帐户。

Keycloak Account Console

保护第一个应用程序

要保护第一个应用程序,您首先需要向您的 Keycloak 实例注册该应用程序

  1. 打开 Keycloak 管理控制台

  2. 单击 Current realm 旁边的 myrealm

  3. 单击 Clients

  4. 单击 Create client

  5. 在表单中填写以下值

    • Client type: OpenID Connect

    • Client ID: myclient

      Add client
      图 4. 添加客户端
  6. 单击 Next

  7. 确认 Standard flow 已启用。

  8. 单击 Next

  9. Login settings 下进行这些更改。

    • Valid redirect URIs 设置为 https://keycloak.java.net.cn/app/*

    • Web origins 设置为 https://keycloak.java.net.cn

  10. 单击 Save

Update client
图 5. 更新客户端]

要确认客户端已成功创建,您可以使用 Keycloak 网站上的 SPA 测试应用程序。

  1. 打开 https://keycloak.java.net.cn/app/

  2. 单击 Save 以使用默认配置。

  3. 单击 Sign in 以使用您之前启动的 Keycloak 服务器对此应用程序进行身份验证。

下一步

在生产环境中运行 Keycloak 之前,请考虑以下操作

  • 切换到生产就绪的数据库,例如 PostgreSQL。

  • 使用您自己的证书配置 SSL。

  • 将管理员密码切换为更安全的密码。

有关更多信息,请参阅 服务器指南

在此页上