Dashy与Keycloak集成配置指南及常见问题解决

前言

Dashy作为一款开源的自托管仪表盘工具，其3.0版本与Keycloak 24.0.3的身份认证集成配置过程存在一些需要注意的技术细节。本文将详细介绍如何正确配置Dashy与Keycloak的集成，并分析常见问题的解决方案。

关键配置要点

Keycloak客户端设置

在Keycloak中为Dashy创建客户端时，必须关闭"客户端认证"选项。启用此选项会导致认证过程中出现无限重定向循环问题。这是因为Dashy作为前端应用，不适合使用客户端密钥进行认证。

OpenID Connect兼容性模式

在Keycloak客户端的"高级设置"中，必须启用"从认证响应中排除颁发者"选项。如果不启用此选项，认证成功后会被重定向到包含颁发者信息的错误URL格式，形如https://dashy.my.domain/#iss=https://keycloak.my.domain/realms/my-realm。

虽然在这种错误情况下仍能登录Dashy，但页面刷新或登出操作时会在Keycloak端产生invalid_redirect_uri错误。

多页面访问设置

当需要支持多个Dashy页面时，Keycloak客户端的访问设置需要特别注意：

1. 根URL应设置为https://dashy.my.domain/（结尾斜杠可有可无）
2. 有效重定向URI必须设置为/*通配符格式

不这样配置会导致访问非根页面时触发invalid_redirect_uri错误。

安全注意事项

在将Dashy暴露到互联网时，必须注意以下安全事项：

1. 确保Keycloak服务器本身的安全配置正确
2. 合理设置用户角色和权限
3. 定期更新Keycloak和Dashy到最新版本
4. 监控认证日志，及时发现异常访问

已知限制

目前版本中，基于用户组或角色的内容显示/隐藏功能可能存在异常。这可能是由于Dashy对Keycloak返回的声明(claims)处理不够完善导致的。建议暂时不要依赖此功能进行敏感内容的访问控制。

总结

通过正确配置Keycloak客户端参数，Dashy 3.0能够与Keycloak 24.0.3实现稳定的集成认证。关键是要理解OIDC协议的工作流程，并针对Dashy作为前端应用的特点进行适当调整。随着项目的持续发展，这些集成问题有望在后续版本中得到进一步改善。