fix(auth): зачистить остатки auth.nstart.space → altum.nstart.cloud

This commit is contained in:
Александр Зимин
2026-05-26 13:17:58 +00:00
parent d1b4916605
commit c1aaf6a696
9 changed files with 28 additions and 24 deletions
+2 -2
View File
@@ -82,7 +82,7 @@ env:
- name: ORDINIS_KEYCLOAK_ADMIN_ENABLED
value: "true"
- name: ORDINIS_KEYCLOAK_ADMIN_URL
value: "https://auth.nstart.space" # both envs use the same Keycloak
value: "https://altum.nstart.cloud/auth" # both envs use the same Keycloak
- name: ORDINIS_KEYCLOAK_ADMIN_REALM
value: "nstart"
# CLIENT_ID + CLIENT_SECRET arrive via the vault-injected
@@ -94,7 +94,7 @@ env:
After redeploy, check the pod log on startup:
```
KeycloakAdminUserResolver active — base=https://auth.nstart.space realm=nstart client=ordinis-admin-client
KeycloakAdminUserResolver active — base=https://altum.nstart.cloud/auth realm=nstart client=ordinis-admin-client
```
End-to-end:
+1 -1
View File
@@ -29,7 +29,7 @@ echo $TOKEN | cut -d. -f2 | base64 -d 2>/dev/null | jq
# проверить exp, iss, realm_access.roles
# 3. Issuer правильный?
# должен быть https://auth.nstart.space/realms/nstart
# должен быть https://altum.nstart.cloud/auth/realms/altum
```
Если JWT прошёл проверку, но 401 — backend логи:
+4 -4
View File
@@ -31,9 +31,9 @@ openapi-generator-cli generate \
## 3. Авторизация
Ordinis принимает JWT от Keycloak realm `nstart`:
Ordinis принимает JWT от Keycloak realm `altum`:
- Issuer: `https://auth.nstart.space/realms/nstart`
- Issuer: `https://altum.nstart.cloud/auth/realms/altum`
- Алгоритм: RS256
- JWK Set discoverится через `/.well-known/openid-configuration`.
@@ -42,14 +42,14 @@ Ordinis принимает JWT от Keycloak realm `nstart`:
Для интеграции backend↔backend (например altum-backend → ordinis read-api)
получить service account клиент в Keycloak:
1. Запросить у Ordinis team создание клиента в realm `nstart`.
1. Запросить у Ordinis team создание клиента в realm `altum`.
2. Назначить роль `ordinis-public` (или выше, если нужен RESTRICTED scope).
3. Получить `client_id` + `client_secret`.
**Получение access token (client_credentials):**
```bash
curl -X POST https://auth.nstart.space/realms/nstart/protocol/openid-connect/token \
curl -X POST https://altum.nstart.cloud/auth/realms/altum/protocol/openid-connect/token \
-d "grant_type=client_credentials" \
-d "client_id=altum-backend" \
-d "client_secret=<SECRET>"