标签 keycloak
为什么 Keycloak 中的 KEYCLOAK_SESSION cookie 没有像其他的那样首先设置 HttpOnly 标志 cookies ?
最佳答案
正如 @besverino 在他的评论中提到的,KeyCloak 不允许设置 KEYCLOAK_SESSION HttpOnly 标志,因为 KeyCloak 需要从 iFrame 访问 cookie。 KeyCloak这部分代码的注释是:
THIS SHOULD NOT BE A HTTPONLY COOKIE! It is used for OpenID Connect Iframe Session support!
引用文献:
关于keycloak - 我们可以将 HttpOnly 标志设置为 KEYCLOAK_SESSION cookie 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63990785/
相关文章:
Keycloak .well-known/openid-configuration 没有响应端点的 "https"协议(protocol)
javascript - Webpack + Keycloak JavaScript : Resource was blocked due to MIME type (“text/html” )
oauth-2.0 - keycloak token 自省(introspection)总是失败,出现 {"active":false}
jwt - Keycloak 18.0.2 通过 API 调用获取注销 url 的 id_token_hint
docker - Nginx (https) 管理控制台后面的 Keycloak 19.0 无法加载
http-headers - Keycloak 重复 "Access-Control-Allow-Origin"导致 cors 错误
java - Spring Boot Keycloak - 每个请求验证三次
spring-boot - 使用 Kong API Gateway key-auth 插件和 keycloak 保护的其余 api