OpenID Connect (OIDC) 配置属性

将用于获取令牌以测试 OIDC “服务”应用程序的授权类型

环境变量：QUARKUS_OIDC_DEVUI_GRANT_TYPE

WebClient 超时。使用此属性配置 Dev UI 处理程序使用的 HTTP 客户端在从 OpenId Connect 提供程序请求令牌并将其发送到服务端点时等待响应的时间。

环境变量：QUARKUS_OIDC_DEVUI_WEB_CLIENT_TIMEOUT

代理的端口号。默认值为 80。

环境变量：QUARKUS_OIDC_PROXY_PORT

密码（如果代理需要身份验证）。

环境变量：QUARKUS_OIDC_PROXY_PASSWORD

client_secret_basic 身份验证方法使用的客户端密钥。除非在 client-secret 中设置了密钥或需要 jwt 客户端身份验证，否则必须设置。您可以使用 client-secret.value 代替，但这两个属性是互斥的。

环境变量：QUARKUS_OIDC_CREDENTIALS_SECRET

CredentialsProvider bean 名称，只有在注册了多个 CredentialsProvider 时才应设置

环境变量：QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_NAME

CredentialsProvider 客户端密钥

环境变量：QUARKUS_OIDC_CREDENTIALS_CLIENT_SECRET_PROVIDER_KEY

JWT 令牌源：OIDC 提供程序客户端或现有 JWT 持有者令牌。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_SOURCE

如果提供，则表示 JWT 使用密钥签名。它与 key、key-file 和 key-store 属性互斥。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_SECRET

CredentialsProvider 密钥环名称。只有在使用中的 CredentialsProvider 需要密钥环名称来查找密钥时才需要密钥环名称，当多个扩展共享 CredentialsProvider 以从更动态的源（如 vault 实例或密钥管理器）检索凭据时，通常是这种情况

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_SECRET_PROVIDER_KEYRING_NAME

私钥的字符串表示形式。如果提供，则表示 JWT 使用 PEM 或 JWK 格式的私钥签名。它与 secret、key-file 和 key-store 属性互斥。您可以使用 signature-algorithm 属性来覆盖默认密钥算法 RS256。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_KEY

如果提供，则表示 JWT 使用密钥库中的私钥签名。它与 secret、key 和 key-file 属性互斥。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_KEY_STORE_FILE

私钥 ID 或别名。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_KEY_ID

JWT 受众 (aud) 声明值。默认情况下，受众设置为 OpenId Connect 提供程序的令牌端点的地址。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_AUDIENCE

作为 JWT iss 声明添加的签名密钥的颁发者。默认值为客户端 ID。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_ISSUER

其他声明。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_CLAIMS__CLAIM_NAME_

JWT 生存期（以秒为单位）。此值添加到 JWT 颁发的时间，以计算到期时间。

环境变量：QUARKUS_OIDC_CREDENTIALS_JWT_LIFESPAN

名称

环境变量：QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_NAME

包括使用 quarkus.oidc.client-id 配置的 OpenId Connect 客户端 ID。

环境变量：QUARKUS_OIDC_INTROSPECTION_CREDENTIALS_INCLUDE_CLIENT_ID

用于拆分包含多个组值的字符串的分隔符。仅当 "role-claim-path" 属性指向一个或多个值为字符串的自定义声明时才使用它。默认情况下使用单个空格，因为标准 scope 声明可以包含空格分隔的序列。

环境变量：QUARKUS_OIDC_ROLES_ROLE_CLAIM_SEPARATOR

预期的颁发者 iss 声明值。此属性会覆盖 issuer 属性，该属性可能在 OpenId Connect 提供商的知名配置中设置。如果 iss 声明值根据提供商的主机、IP 地址或租户 ID 而变化，则可以通过将此属性设置为 any 来跳过颁发者验证，但只有在其他选项（例如，配置提供商以使用固定的 iss 声明值）不可能时才应这样做。

环境变量：QUARKUS_OIDC_TOKEN_ISSUER

要求令牌包含 sub（主题）声明，该声明是当前用户的唯一且永不重新分配的标识符。请注意，如果您启用此属性并且还需要 UserInfo，则令牌和 UserInfo sub 声明都必须存在并且彼此匹配。

环境变量：QUARKUS_OIDC_TOKEN_SUBJECT_REQUIRED

预期令牌类型

环境变量：QUARKUS_OIDC_TOKEN_TOKEN_TYPE

令牌有效期。它允许指定自 iat（颁发于）时间以来不得经过的秒数。一个小小的余地用于解释时钟偏差，可以使用 quarkus.oidc.token.lifespan-grace 配置以验证令牌过期时间，也可以用于验证令牌有效期属性。请注意，设置此属性不会放宽 Bearer 和 Code Flow JWT 令牌必须具有有效 (exp) 过期声明值的要求。设置此属性放宽要求的唯一例外是，当注销令牌随后端通道注销请求一起发送时，因为当前的 OpenId Connect 后端通道规范未明确要求注销令牌包含 exp 声明。但是，即使允许当前的注销令牌没有 exp 声明，如果注销令牌包含 exp 声明，仍然会对其进行验证。

环境变量：QUARKUS_OIDC_TOKEN_AGE

包含主体名称的声明名称。默认情况下，会检查 upn、preferred_username 和 sub 声明。

环境变量：QUARKUS_OIDC_TOKEN_PRINCIPAL_CLAIM

刷新令牌时间偏差，以秒为单位。如果启用此属性，则在检查是否应刷新授权代码 ID 或访问令牌时，会将配置的秒数添加到当前时间。如果总和大于授权代码 ID 或访问令牌的过期时间，则将进行刷新。

环境变量：QUARKUS_OIDC_TOKEN_REFRESH_TOKEN_TIME_SKEW

包含承载令牌的自定义 HTTP 标头。仅当应用程序类型为 ApplicationType#SERVICE 时，此选项才有效。

环境变量：QUARKUS_OIDC_TOKEN_HEADER

所需的签名算法。OIDC 提供商支持许多签名算法，但如果需要，您可以限制 Quarkus 应用程序仅接受使用使用此属性配置的算法签名的令牌。

环境变量：QUARKUS_OIDC_TOKEN_SIGNATURE_ALGORITHM

解密 ID 令牌。如果配置了 Token#decryptionKeyLocation() 属性，则将从此位置加载解密密钥。否则，如果 JWT 身份验证令牌密钥可用，则将使用它来解密令牌。最后，如果配置了客户端密钥，则将其用作解密令牌的密钥。

环境变量：QUARKUS_OIDC_TOKEN_DECRYPT_ID_TOKEN

当没有匹配的 JWK 密钥可用时，允许远程自省 JWT 令牌。出于向后兼容性的原因，默认情况下此属性设置为 true。计划在即将发布的版本中将此默认值更改为 false。另请注意，如果 JWK 端点 URI 不可用并且自省令牌是唯一的验证选项，则会忽略此属性。

环境变量：QUARKUS_OIDC_TOKEN_ALLOW_JWT_INTROSPECTION

允许远程自省不透明令牌。如果仅需要 JWT 令牌，请将此属性设置为 false。

环境变量：QUARKUS_OIDC_TOKEN_ALLOW_OPAQUE_TOKEN_INTROSPECTION

通过使用不透明（二进制）访问令牌请求 UserInfo 来间接验证该令牌是否有效。如果不透明访问令牌被提供商接受并且返回了有效的 UserInfo，则认为该令牌有效。仅当必须接受不透明访问令牌但 OpenId Connect 提供商没有令牌自省端点时，才应启用此选项。当必须验证 JWT 令牌时，此属性无效。

环境变量：QUARKUS_OIDC_TOKEN_VERIFY_ACCESS_TOKEN_WITH_USER_INFO

应用程序中注销端点的相对路径。如果提供此路径，则应用程序可以按照 OpenID Connect RP 发起注销规范通过此端点启动注销。

环境变量：QUARKUS_OIDC_LOGOUT_PATH

作为查询参数添加到注销重定向 URI 的发布注销 URI 参数的名称。

环境变量：QUARKUS_OIDC_LOGOUT_POST_LOGOUT_URI_PARAM

应用程序中后端通道注销端点的相对路径。它必须以正斜杠 '/' 开头，例如 '/back-channel-logout'。此值始终相对于 'quarkus.http.root-path' 解析。

环境变量：QUARKUS_OIDC_LOGOUT_BACKCHANNEL_PATH

注销令牌可以缓存的分钟数。

环境变量：QUARKUS_OIDC_LOGOUT_BACKCHANNEL_TOKEN_CACHE_TIME_TO_LIVE

注销令牌声明，其值用作缓存令牌的键。只有 sub（主题）和 sid（会话 ID）声明可以用作键。仅当 OIDC 提供商颁发的 ID 令牌没有 sub 但具有 sid 声明时，才将其设置为 sid。

环境变量：QUARKUS_OIDC_LOGOUT_BACKCHANNEL_LOGOUT_TOKEN_KEY

Clear-Site-Data 标头指令

环境变量：QUARKUS_OIDC_LOGOUT_CLEAR_SITE_DATA

信任存储文件，用于保存受信任证书的指纹。

环境变量：QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_FILE

用于指定信任存储证书别名的参数。

环境变量：QUARKUS_OIDC_CERTIFICATE_CHAIN_TRUST_STORE_CERT_ALIAS

授权代码流响应模式。

环境变量：QUARKUS_OIDC_AUTHENTICATION_RESPONSE_MODE

如果此属性设置为 true，则在用户重定向回应用程序后，将恢复身份验证之前使用的原始请求 URI。请注意，如果未设置 redirectPath 属性，即使禁用此属性，也会恢复原始请求 URI。

环境变量：QUARKUS_OIDC_AUTHENTICATION_RESTORE_PATH_AFTER_REDIRECT

处理来自 OIDC 授权端点的错误响应的公共端点的相对路径。如果用户身份验证失败，则 OIDC 提供商返回一个 error 和一个可选的 error_description 参数，而不是预期的授权 code。如果设置了此属性，则将用户重定向到可以返回用户友好的错误描述页面的端点。它必须从正斜杠开始，并附加到请求 URI 的主机和端口。例如，如果将其设置为 /error，并且当前请求 URI 为 https://:8080/callback?error=invalid_scope，则会重定向到 https://:8080/error?error=invalid_scope。如果未设置此属性，则在用户身份验证失败的情况下返回 HTTP 401 状态。

环境变量：QUARKUS_OIDC_AUTHENTICATION_ERROR_PATH

ID 令牌和访问令牌都是作为授权代码流的一部分从 OIDC 提供商获取的。

始终在每个用户请求上验证 ID 令牌，作为用于表示主体和提取角色的主要令牌。

授权代码流访问令牌旨在传播到下游服务，并且默认情况下不进行验证，除非 quarkus.oidc.roles.source 属性设置为 accesstoken，这意味着授权决策基于从访问令牌提取的角色。

如果此令牌作为 JsonWebToken 注入，也会启用授权代码流访问令牌验证。如果不需要，请将此属性设置为 false。

始终验证承载访问令牌。

环境变量：QUARKUS_OIDC_AUTHENTICATION_VERIFY_ACCESS_TOKEN

作用域列表

环境变量：QUARKUS_OIDC_AUTHENTICATION_SCOPES

要求 ID 令牌包含一个 nonce 声明，该声明必须与 nonce 身份验证请求查询参数匹配。启用此属性有助于缓解重放攻击。如果您的 OpenId Connect 提供程序不支持在 ID 令牌中设置 nonce，或者您使用 OAuth2 提供程序（例如不颁发 ID 令牌的 GitHub），请勿启用此属性。

环境变量：QUARKUS_OIDC_AUTHENTICATION_NONCE_REQUIRED

作为查询参数添加到身份验证重定向 URI 的其他属性。

环境变量：QUARKUS_OIDC_AUTHENTICATION_EXTRA_PARAMS__PARAMETER_NAME_

如果启用，则在使用 HTTP 时，状态、会话和注销后 Cookie 的 secure 参数设置为 true。在 SSL/TLS 终止反向代理后运行时可能需要这样做。如果使用 HTTPS，则 Cookie 始终是安全的，即使此属性设置为 false。

环境变量：QUARKUS_OIDC_AUTHENTICATION_COOKIE_FORCE_SECURE

Cookie 路径参数值，如果设置，则用于为会话、状态和注销后 Cookie 设置路径参数。如果设置了 cookie-path-header 属性，则首先检查该属性。

环境变量：QUARKUS_OIDC_AUTHENTICATION_COOKIE_PATH

Cookie 域参数值，如果设置，则用于会话、状态和注销后 Cookie。

环境变量：QUARKUS_OIDC_AUTHENTICATION_COOKIE_DOMAIN

如果存在状态 Cookie，则还必须存在 state 查询参数，并且当重定向路径与当前路径匹配时，状态 Cookie 名称后缀和状态 Cookie 值都必须与 state 查询参数的值匹配。但是，如果从同一浏览器尝试多个身份验证，例如，从不同的浏览器选项卡，则当前可用的状态 Cookie 可能表示从另一个选项卡发起的身份验证流程，与当前请求无关。禁用此属性以仅允许在同一浏览器中使用单个授权代码流。

环境变量：QUARKUS_OIDC_AUTHENTICATION_ALLOW_MULTIPLE_CODE_FLOWS

如果在重新身份验证期间仅由于无法解析的令牌密钥标识符 (kid) 而无法验证 ID 令牌签名，则返回 HTTP 401 错误。

当允许多个选项卡身份验证时，可能需要禁用此属性，其中一个选项卡保留一个过期的 ID 令牌，由于另一个选项卡启动了授权代码流而刷新了验证密钥集，因此其 kid 无法解析。在这种情况下，与其返回 HTTP 401 错误，不如将用户重定向以使用 HTTP 302 状态重新身份验证可能会提供更好的用户体验。

环境变量：QUARKUS_OIDC_AUTHENTICATION_FAIL_ON_UNRESOLVED_KID

会话年龄延长（分钟）。默认情况下，用户会话年龄属性设置为 ID 令牌生存期的值，并且用户将被重定向到 OIDC 提供程序以重新身份验证，一旦会话过期。如果此属性设置为非零值，则可以在会话过期之前刷新过期的 ID 令牌。如果未启用 token.refresh-expired 属性，则会忽略此属性。

环境变量：QUARKUS_OIDC_AUTHENTICATION_SESSION_AGE_EXTENSION

如果此属性设置为 true，则如果请求是由 JavaScript API（例如 XMLHttpRequest 或 Fetch）发起的，并且当前用户需要（重新）身份验证，则会返回正常的 302 重定向响应，这对于单页应用程序 (SPA) 来说可能不是理想的，因为鉴于 OIDC 授权端点通常不支持 CORS，因此自动遵循重定向可能不起作用。

如果此属性设置为 false，则会返回状态代码 499，以允许 SPA 在找到将当前请求标识为 JavaScript 请求的请求标头时手动处理重定向。如果启用此属性，则默认情况下应使用 X-Requested-With 请求标头，其值设置为 JavaScript 或 XMLHttpRequest。您可以注册自定义 JavaScriptRequestChecker 以执行自定义 JavaScript 请求检查。

环境变量：QUARKUS_OIDC_AUTHENTICATION_JAVA_SCRIPT_AUTO_REDIRECT

内部 ID 令牌生存期。仅当 OAuth2 提供程序不返回 IdToken 时生成内部 IdToken 时才检查此属性。如果未配置此属性，则使用 OAuth2 授权代码流响应中的访问令牌 expires_in 属性来设置内部 IdToken 生存期。

环境变量：QUARKUS_OIDC_AUTHENTICATION_INTERNAL_ID_TOKEN_LIFESPAN

用于加密代码流状态中的代码交换证明密钥 (PKCE) 代码验证程序和/或 nonce 的密钥。此密钥的长度应至少为 32 个字符。

如果未设置此密钥，则检查使用 quarkus.oidc.credentials.secret 或 quarkus.oidc.credentials.client-secret.value 配置的客户端密钥。最后，检查可用于 client_jwt_secret 身份验证的 quarkus.oidc.credentials.jwt.secret。如果客户端密钥的长度小于 32 个字符，则不能将其用作状态加密密钥。

如果在检查所有这些属性后密钥仍未初始化，则会自动生成该密钥。

如果密钥长度小于 16 个字符，则会报告错误。

环境变量：QUARKUS_OIDC_AUTHENTICATION_STATE_SECRET

必须发送的自定义 HTTP 标头才能完成授权代码授予请求。

环境变量：QUARKUS_OIDC_CODE_GRANT_HEADERS__HEADER_NAME_

默认情况下，Default TokenStateManager 将授权代码授予响应中返回的所有令牌（ID、访问和刷新）保存在单个会话 Cookie 中。启用此属性以最大限度地减少会话 Cookie 大小

环境变量：QUARKUS_OIDC_TOKEN_STATE_MANAGER_SPLIT_TOKENS

当启用 encryption-required 属性时，Default TokenStateManager 用于加密存储令牌的会话 Cookie 的密钥。

如果未设置此密钥，则检查使用 quarkus.oidc.credentials.secret 或 quarkus.oidc.credentials.client-secret.value 配置的客户端密钥。最后，检查可用于 client_jwt_secret 身份验证的 quarkus.oidc.credentials.jwt.secret。如果在检查所有这些属性后密钥仍未初始化，则每次应用程序启动时都会自动生成该密钥。生成的密钥无法解密重启之前加密的会话 Cookie，因此需要用户重新身份验证。

用于加密令牌的密钥长度应至少为 32 个字符。如果密钥长度小于 16 个字符，则会记录警告。

环境变量：QUARKUS_OIDC_TOKEN_STATE_MANAGER_ENCRYPTION_SECRET

JWK 验证密钥是否应在初始化与 OIDC 提供程序的连接时获取。

禁用此属性会将密钥获取延迟到必须验证当前令牌的那一刻。通常，仅当令牌或其他 telated 请求属性提供其他上下文时，才需要正确解析密钥。

环境变量：QUARKUS_OIDC_JWKS_RESOLVE_EARLY

JWK 密钥可以缓存的分钟数。如果将 resolve-early 属性设置为 true，则忽略此属性。

环境变量：QUARKUS_OIDC_JWKS_CACHE_TIME_TO_LIVE

如果 JOSE 标头中未指定密钥标识符 ('kid') 或证书指纹 ('x5t', 'x5t#S256') 并且无法确定密钥，请检查与令牌算法 ('alg') 标头值匹配的所有可用密钥。

环境变量：QUARKUS_OIDC_JWKS_TRY_ALL

给定缓存条目的最长有效时间。

环境变量：QUARKUS_OIDC_TOKEN_CACHE_TIME_TO_LIVE

用于启用（默认）或禁用开发服务的标志。启用后，Keycloak 的开发服务会在开发或测试模式下自动配置并启动 Keycloak，并且在 Docker 运行时。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_ENABLED

指示是否使用了 Keycloak-X 镜像。默认情况下，该镜像由镜像名称中的 keycloak-x 标识。对于自定义镜像，请使用 quarkus.keycloak.devservices.keycloak-x-image 覆盖。如果默认检查有效，则无需设置此属性。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_KEYCLOAK_X_IMAGE

用于标识 Keycloak 容器的 quarkus-dev-service-keycloak 标签的值。在共享模式下使用以查找具有此标签的现有容器。如果未找到，则使用此标签初始化一个新容器。仅在开发模式下适用。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_SERVICE_NAME

用于初始化 Keycloak 的其他类或文件系统资源的别名。每个映射条目表示别名与类或文件系统资源路径之间的映射。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_RESOURCE_ALIASES__ALIAS_NAME_

传递给 keycloak JVM 的 JAVA_OPTS

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_JAVA_OPTS

Keycloak 启动命令。使用此属性来尝试 Keycloak 启动选项，请参阅 https://keycloak.com.cn/server/all-config。请注意，加载旧版 Keycloak WildFly 镜像时会忽略它。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_START_COMMAND

Keycloak 域的名称。如果 realm-path 属性指向的域文件不存在，则此属性用于创建域。在这种情况下，默认值为 quarkus。建议始终设置此属性，以便 Keycloak 的 Dev Services 可以识别域名，而无需解析域文件。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_REALM_NAME

指定是否创建具有密钥 secret 的默认客户端 ID quarkus-app，并在 create-realm 属性设置为 true 时注册它们。对于 OIDC 扩展配置属性，将配置 quarkus.oidc.client.id 和 quarkus.oidc.credentials.secret。对于 OIDC Client 扩展配置属性，将配置 quarkus.oidc-client.client.id 和 quarkus.oidc-client.credentials.secret。如果客户端必须使用 Keycloak 管理控制台或 io.quarkus.test.common.QuarkusTestResourceLifecycleManager 提供的 Keycloak Admin API 创建，或以动态方式注册，则设置为 false。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_CREATE_CLIENT

一个 Keycloak 用户名到密码的映射。如果为空，将创建默认用户 alice 和 bob，密码与用户名相同。当在 realm-path 未找到 realm 文件时，将使用此映射创建用户。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_USERS__USERS_

dev service 监听的特定端口。

如果未指定，将选择一个随机端口。

环境变量：QUARKUS_KEYCLOAK_DEVSERVICES_PORT

Keycloak 容器的内存限制，最大可达 Long.MAX_VALUE 字节。

如果未指定，默认内存限制为 1250MiB。

环境变量: QUARKUS_KEYCLOAK_DEVSERVICES_CONTAINER_MEMORY_LIMIT