forked from baron/baron-sso
구조 통합
This commit is contained in:
Lectom C Han
@@ -107,12 +107,7 @@
|
||||
## 6) UserFront 주의사항
|
||||
|
||||
- `sessionJwt`가 **JWT 형식이 아닐 수 있음** (Kratos session token은 opaque 가능)
|
||||
- 현재 UserFront는 Descope SDK 기반 세션 처리 로직이 포함되어 있어, Ory 사용 시 이 부분은 분리/대체가 필요함
|
||||
- 현재 UserFront는 Descope SDK 기반 세션 처리 로직을 제거했으니 남아 있다면 제거 대상임. 즉시 사용자에게 알리고 이슈로 생성 바람.
|
||||
|
||||
---
|
||||
|
||||
## 7) 다음 액션 제안
|
||||
|
||||
1. **Kratos 세션 쿠키 전달 방식(A) 구현**
|
||||
2. Enchanted/Magic Link의 Ory 대응(로그인 코드/링크 방식) 설계
|
||||
3. SMS 코드/QR 플로우의 Kratos 세션 교환 정책 확정
|
||||
참고.
|
||||
- AdminFront, DevFront는 JWT 방식으로 RP중 하나인 것 처럼 동작시키는 설계. 따라서 JWT에 대한 대응도 내부적으로는 완벽히 진행해야 함.
|
||||
|
||||
@@ -24,19 +24,12 @@
|
||||
- Kratos Admin API를 대신 호출해주는 “자동화/툴링(LLM 연동 포함) 브리지”
|
||||
- 사람/브라우저가 직접 쓰는 서비스라기보다, 내부 도구가 붙어서 identity 관리 작업을 자동화할 때 사용
|
||||
|
||||
### 5) `kratos-ui`
|
||||
|
||||
- Kratos의 로그인/회원가입 등 Self-service 화면을 제공하는 UI 서버
|
||||
- Kratos public/admin URL을 환경변수로 받아서 UI가 Kratos와 통신함
|
||||
|
||||
---
|
||||
|
||||
### 6) `hydra-migrate`
|
||||
### 5) `hydra-migrate`
|
||||
|
||||
- Hydra DB 스키마 마이그레이션을 수행하는 1회성 컨테이너
|
||||
- Postgres가 healthy가 된 뒤 실행되고, 성공해야 Hydra가 뜸
|
||||
|
||||
### 7) `hydra`
|
||||
### 6) `hydra`
|
||||
|
||||
- **OAuth2 / OIDC Provider**: authorization code 발급, access/refresh token 발급 등
|
||||
- 포트
|
||||
@@ -45,7 +38,7 @@
|
||||
|
||||
- `URLS_SELF_ISSUER`, `URLS_LOGIN`, `URLS_CONSENT`로 “로그인/동의 화면을 어디서 처리할지”를 외부(backend)로 위임
|
||||
|
||||
### 8) `hydra-mcp-server` (지금은 profiles 제거되어 항상 뜸)
|
||||
### 7) `hydra-mcp-server` (지금은 profiles 제거되어 항상 뜸)
|
||||
|
||||
- Hydra Admin/Public API를 대신 호출해주는 “자동화/툴링(LLM 연동 포함) 브리지”
|
||||
- 주 용도는 OAuth 클라이언트 생성/수정/조회 자동화, 테스트 환경 세팅, 운영 자동화 등
|
||||
@@ -53,12 +46,12 @@
|
||||
|
||||
---
|
||||
|
||||
### 9) `keto-migrate`
|
||||
### 8) `keto-migrate`
|
||||
|
||||
- Keto(권한/관계 기반 접근제어) DB 마이그레이션 수행 1회성 컨테이너
|
||||
- Postgres가 healthy가 된 뒤 실행되고, 성공해야 Keto가 뜸
|
||||
|
||||
### 10) `keto`
|
||||
### 9) `keto`
|
||||
|
||||
- **권한/정책(관계 튜플) 기반 접근제어** 담당(Ory Keto)
|
||||
- 포트
|
||||
@@ -69,7 +62,7 @@
|
||||
|
||||
---
|
||||
|
||||
### 11) `oathkeeper`
|
||||
### 10) `oathkeeper`
|
||||
|
||||
- **Reverse proxy + Access rule enforcement**(인증/인가 게이트웨이)
|
||||
- 일반적으로 앞단에서 요청을 받아서 “인증 여부 확인 후” 백엔드로 프록시
|
||||
@@ -79,12 +72,12 @@
|
||||
|
||||
---
|
||||
|
||||
### 12) `ory_stack_check`
|
||||
### 11) `ory_stack_check`
|
||||
|
||||
- 알파인에서 curl로 Kratos/Hydra/Keto의 `/health/ready`를 폴링해서 “스택 준비 완료”를 확인하는 헬퍼
|
||||
- 준비가 끝나야 다음 단계(init-rp)가 안전하게 실행됨
|
||||
|
||||
### 13) `init-rp`
|
||||
### 12) `init-rp`
|
||||
|
||||
- Hydra Admin API로 **OAuth 클라이언트(Relying Party)를 자동 등록**하는 1회성 컨테이너
|
||||
- 여기서는 `adminfront`, `devfront` 클라이언트를 만들어 둠
|
||||
@@ -148,7 +141,7 @@ curl -i http://localhost:4456/health/ready
|
||||
### 화면이 떠야 하는 것 (UI)
|
||||
|
||||
```
|
||||
http://localhost:4455/... : Kratos UI (이미 OK)
|
||||
http://localhost:5000/... : Kratos UI(UserFront) (이미 OK)
|
||||
|
||||
http://localhost:5000, http://localhost:5174 : 프론트들 (이미 OK)
|
||||
```
|
||||
|
||||
@@ -6,7 +6,7 @@
|
||||
- **Kratos**: Identity/Session 관리(SoT)
|
||||
- **Hydra**: OAuth2/OIDC 토큰 엔진
|
||||
- **Keto**: 권한/정책
|
||||
- **Kratos UI**: Self-service UI (login/registration 등)
|
||||
- **Kratos UI**: UserFront가 self-service UI 역할 (login/registration 등)
|
||||
|
||||
## 2) 실행 방법
|
||||
```bash
|
||||
@@ -28,18 +28,18 @@ Ory 구성은 **컨테이너 내부 통신 URL**과 **브라우저 접근 URL**
|
||||
|
||||
### 브라우저 접근용 URL(외부 도메인/프록시)
|
||||
- `KRATOS_BROWSER_URL` : Kratos Public의 외부 URL
|
||||
- `KRATOS_UI_URL` : Kratos UI의 외부 URL
|
||||
- `KRATOS_UI_URL` : UserFront의 외부 URL (Kratos UI 역할)
|
||||
|
||||
예시(로컬):
|
||||
```env
|
||||
KRATOS_BROWSER_URL=http://localhost:4433
|
||||
KRATOS_UI_URL=http://localhost:4455
|
||||
KRATOS_UI_URL=http://localhost:5000
|
||||
```
|
||||
|
||||
예시(리버스 프록시/도메인):
|
||||
```env
|
||||
KRATOS_BROWSER_URL=https://sso.example.com
|
||||
KRATOS_UI_URL=https://sso-ui.example.com
|
||||
KRATOS_UI_URL=https://sso.example.com
|
||||
```
|
||||
|
||||
### 포트 노출 정책
|
||||
@@ -49,7 +49,7 @@ KRATOS_UI_URL=https://sso-ui.example.com
|
||||
- 브라우저/Frontend는 Backend API를 통해서만 IDP 기능을 호출
|
||||
|
||||
## 4) Kratos Self-service UI 리다이렉트 설정
|
||||
Kratos는 self-service UI URL을 설정값으로 사용합니다. 브라우저에서 접근 가능한 URL이어야 정상 동작합니다.
|
||||
Kratos는 self-service UI URL을 설정값으로 사용합니다. **UserFront의 브라우저 접근 URL**이어야 정상 동작합니다.
|
||||
|
||||
- `KRATOS_SELFSERVICE_DEFAULT_BROWSER_RETURN_URL`
|
||||
- `KRATOS_SELFSERVICE_ALLOWED_RETURN_URLS`
|
||||
@@ -58,7 +58,7 @@ Kratos는 self-service UI URL을 설정값으로 사용합니다. 브라우저
|
||||
compose에서 기본적으로 다음과 같이 오버라이드합니다:
|
||||
- `KRATOS_SELFSERVICE_FLOWS_LOGIN_UI_URL=${KRATOS_UI_URL}/login`
|
||||
- `KRATOS_SELFSERVICE_FLOWS_REGISTRATION_UI_URL=${KRATOS_UI_URL}/registration`
|
||||
- `KRATOS_SELFSERVICE_FLOWS_SETTINGS_UI_URL=${KRATOS_UI_URL}/settings`
|
||||
- `KRATOS_SELFSERVICE_FLOWS_SETTINGS_UI_URL=${KRATOS_UI_URL}/error?error=settings_disabled` (임시 비활성)
|
||||
- `KRATOS_SELFSERVICE_FLOWS_RECOVERY_UI_URL=${KRATOS_UI_URL}/recovery`
|
||||
- `KRATOS_SELFSERVICE_FLOWS_VERIFICATION_UI_URL=${KRATOS_UI_URL}/verification`
|
||||
|
||||
|
||||
Reference in New Issue
Block a user