在 Keycloak 中读取来自上游的响应 header 时，上游发送了太大的 header

Question

我正在尝试使用我正在构建的 Android 应用程序针对密钥斗篷服务器进行 OIDC 身份验证/授权。

我收到以下错误，导致我在我的应用程序中收到 502：

2019/08/15 00:29:04 [error] 31921#31921: *64410338 upstream sent too big header while reading response header from upstream, client: 192.168.4.61, server: stage.example.com, request: "GET /auth/realms/master/protocol/openid-connect/auth?client_id=example-mobile-android&redirect_uri=http%3A%2F%2Flocalhost%3A53978%2F%23%2Flogin&state=a627edff-c1a2-43d3-8c6e-e5635bcc2252&response_mode=fragment&response_type=id_token%20token&scope=openid&nonce=69967773-36ba-49b2-8dd8-a31fd36f412b&prompt=none HTTP/1.1", upstream: "http://192.168.4.147:8080/auth/realms/master/protocol/openid-connect/auth?client_id=example-mobile-android&redirect_uri=http%3A%2F%2Flocalhost%3A53978%2F%23%2Flogin&state=a627edff-c1a2-43d3-8c6e-e5635bcc2252&response_mode=fragment&response_type=id_token%20token&scope=openid&nonce=69967773-36ba-49b2-8dd8-a31fd36f412b&prompt=none", host: "www.example.com", referrer: "http://localhost:53978/"

我已经尝试过这两个：

proxy_buffer_size          128k;
proxy_buffers              4 256k;
proxy_busy_buffers_size    256k;

以及完全禁用代理缓冲区。

可能发生了什么？ 我是否进一步扩大缓冲区？ 还有其他我没有发现的错误吗？

Answer 1

这取决于添加到访问令牌的内容。 我已经看到了约1MB大小的令牌； 在极端情况下，令牌包含许多用于授权的用户组/角色。 尝试配置更大的缓冲区大小。

Answer 2

对于此错误，应该负责的是proxy_buffer_size 。

我在这里有详细的文章。 本质上，如果您没有为NGINX分配足够的缓冲区来读取响应头，那么它将因该错误而失败。

如果您可以完整地重构请求URL /标题，则可以计算此参数所需的值，例如：

curl -s -w \%{size_header} -o /dev/null https://example.com

无论哪种方式，您都将从默认值提高它，并将其与增加proxy_busy_buffers_size和proxy_buffers 。

如果您无法确定响应标题/正文的大小，那么可以-逐步增加内容，直到解决问题为止。

不要仅仅将缓冲区设置为任意高的值，因为这些缓冲区是每个连接的，并且会增加RAM的使用量。

出于同样的原因，最好在NGINX中创建一个单独的位置，并调整缓冲区值，以便仅在此处使用较大的缓冲区，而又不影响NGINX的总体RAM使用量。

PS禁用代理缓冲将无济于事，因为NGINX 总是缓冲响应头:)

Answer 3

我已经将Keycloak从v20.0.1更新到v20.0.2并得到了HTTP 502 Error 。

我用这些参数调整了 NGINX ：

proxy_buffer_size 128k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;

location / {
proxy_pass http://localhost:8080;
proxy_read_timeout 90;

# proxy header
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_protocol_addr;
proxy_set_header X-Scheme $scheme;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;

# ws
proxy_http_version 1.1;
}

现在可以用了。

Answer 4

对我来说，@danila-vershinin 的回答是正确的。

但是，我想在这里为那些试图在 Kube.netes 上配置它的人加上我的 50 美分。 我让它在 Keycloak 20.0.3 上工作是这样的：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: keycloak
  namespace: keycloak
  annotations:
    nginx.ingress.kubernetes.io/proxy-buffers-number: "4"
    nginx.ingress.kubernetes.io/proxy-buffer-size: "16k"
spec:
  tls:
    - hosts:
      - my-keycloak.example.com
  rules:
  - host: my-keycloak.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: keycloak
            port: 
              number: 80

注意注释部分。

此外，据我了解，proxy_busy_buffers_size现在是根据 proxy_buffers 的大小计算的。

我希望它有所帮助。