news 2026/7/3 16:56:38

keycloak~关于iframe方式对接keyclock的注意事项

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
keycloak~关于iframe方式对接keyclock的注意事项

keycloak作为统一的认证中心,提供了单点登录的能力,一般可以通过超链的方式打开keycloak登录页,这对于不同域名来说,是没有任何问题的;第二种对接方式是通过iframe方式,当你的网站与keycloak不同域名时,在iframe方式对接时,会有cookie Partitioned向的分区限制。

一 Partitioned Cookie

Partitioned Cookie 的作用

Partitioned Cookie是浏览器为了平衡功能与隐私而引入的新机制:

  • 分区存储:第三方Cookie不再全局共享,而是按"第一方网站+第三方域名"分区存储
  • 隔离保护:防止跨站跟踪,同时保留必要的跨站功能
  • 特定场景可用:只有在特定第一方网站上下文中才能访问对应的第三方Cookie

在你的场景中的影响

a.com → kc.com (设置分区Cookie) b.com → kc.com (无法读取a.com分区下的Cookie)

当前状态

  • 用户在a.com登录,kc.com的Cookie存储在a.com分区下
  • 用户访问b.com时,无法读取a.com分区下的kc.comCookie
  • 因此无法实现单点登录共享

二 iframe安全相关

  • CSP(Content Security Policy):https://www.w3.org/TR/CSP/
  • X-Frame-Options:RFC 7034: HTTP Header Field X-Frame-Options | RFC Editor

三 Partitioned对iframe对接keycloak的影响

新版浏览器才有Partitioned这个特性

  • https://github.com/privacycg/CHIPS
  • https://developer.mozilla.org/zh-CN/docs/Web/Privacy/Guides/Privacy_sandbox/Partitioned_cookies
  1. a.com域名对接keycloak.com,在a.com域名登录
  2. b.com域名也对接keycloak,b.com域名无法共享a.com域名的登录状态,因为他们按着域名进行了分区
  3. cookie中auth_session_id的Partitioned(Partition Key)存储为顶级域名,如http://zzl.com,http://lind.com,它对二级域名是共享的

建议

  1. 尽量不采用iframe的方式对接统一认证
  2. 跨域对接keycloak不能使用iframe方式
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 2:15:44

政务云边界安全体系如何构建?跨网数据合规流转实践解读

一、前言随着“互联网政务服务”的持续推进,政务信息系统正从传统的封闭内网运行,稳步走向面向公众开放的深度交互模式。统一身份认证、移动端办事入口等业务的上线,标志着业务访问路径已从“内部流转”演变为“外部接入内部处理”的新形态。…

作者头像 李华
网站建设 2026/7/1 2:13:27

WebSocket 连接完整流程连接建立阶段

<!-- websocket: 提供了对 WebSocket 协议的支持 --> <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-websocket</artifactId> </dependency>简单的前后端WebSocket连接示例WebSocket 连…

作者头像 李华
网站建设 2026/7/3 7:27:49

变量与算数表达式

回顾这个问题的我们应该怎样去解决呢&#xff1f;我的标注&#xff0c;就是需要解决问题的原因&#xff1a;一、问题首先出现main函数这一行。二、main未命名类型。然后进行修改&#xff0c;第一次的训练是比较简单呢&#xff0c;主要代码的类别&#xff0c;以及代码的规范。第…

作者头像 李华
网站建设 2026/7/1 2:08:47

脑手分离:Agent系统的基础设施进化

一个被迫的架构选择 想象这样一个场景&#xff1a;你的Agent系统在生产环境里跑了一天&#xff0c;突然容器崩溃了。不是业务逻辑的问题&#xff0c;就是这个容器死了。最恐怖的不是容器重启——而是会话丢失了。用户的整个工作上下文、已执行的步骤、中间结果&#xff0c;全部…

作者头像 李华
网站建设 2026/7/1 2:08:36

北斗赋能海洋精准定位

海洋定位导航&#xff08;PNT&#xff09;正从传统的卫星导航向综合PNT体系演进&#xff0c;旨在实现全域、全时、无缝、高精度的定位导航授时服务。其发展现状与核心瓶颈如下&#xff1a; 一、发展现状 当前发展的核心是构建“天、空、地、海、水下”一体化的综合PNT体系&am…

作者头像 李华
网站建设 2026/7/2 5:21:23

GESP2026年6月认证C++三级( 第三部分编程题(2、字符转换))精讲

&#x1f3f0;《字符王国大冒险》——大小写魔法师一、故事开始1、一天&#xff0c;小杨来到了一座神奇的城堡。城堡里住着三种居民。&#x1f451; 第一种&#xff1a;大写字母国A B C D E ...&#x1f338; 第二种&#xff1a;小写字母国a b c d e ...⭐ 第三种&#xff1a;数…

作者头像 李华