
<div dir="ltr">I had this problem with my angular app :)<br>Keycloak return &quot;redirect_fragment&quot; param with &quot;#_=_&quot;</div><br><div class="gmail_quote">On Thu, Mar 26, 2015 at 1:07 PM Bill Burke &lt;<a href="mailto:bburke@redhat.com">bburke@redhat.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Honestly, your descriptions don&#39;t make sense at all...<br>

<br>

1. admin console redirects to keycloak with a redirect uri of<br>

/auth/admin/master/console.<br>

2. Keycloak stores this redirect uri as-is, keycloak also stores &quot;state&quot;<br>

param.<br>

3. keycloak redirects to facebook<br>

4. facebook redirects to keycloak callback url<br>

5. keycloak builds a redirect URI back to admin console based on<br>

original stored redirect uri and &quot;state&quot; param and &quot;code&quot;.<br>

6. keylcoak redirects back to admin console<br>

<br>

How could Facebook insert #_=_?  Is there some browser/fragment magic<br>

happening?<br>

<br>

<br>

On 3/26/2015 11:44 AM, Stian Thorgersen wrote:<br>

&gt; No, we can sort it out in Keycloak as Facebook redirects to Keycloak, not the application.<br>

&gt;<br>

&gt; ----- Original Message -----<br>

&gt;&gt; From: &quot;Leonardo Loch Zanivan&quot; &lt;<a href="mailto:leonardo.zanivan@gmail.com" target="_blank">leonardo.zanivan@gmail.com</a>&gt;<br>

&gt;&gt; To: &quot;Stian Thorgersen&quot; &lt;<a href="mailto:stian@redhat.com" target="_blank">stian@redhat.com</a>&gt;<br>

&gt;&gt; Cc: &quot;Bill Burke&quot; &lt;<a href="mailto:bburke@redhat.com" target="_blank">bburke@redhat.com</a>&gt;, <a href="mailto:keycloak-dev@lists.jboss.org" target="_blank">keycloak-dev@lists.jboss.org</a><br>

&gt;&gt; Sent: Thursday, 26 March, 2015 4:41:50 PM<br>

&gt;&gt; Subject: Re: [keycloak-dev] can&#39;t figure this out<br>

&gt;&gt;<br>

&gt;&gt; I think it would need some tweak in the JavaScript adapter.<br>

&gt;&gt;<br>

&gt;&gt; On Thu, Mar 26, 2015 at 12:25 PM Stian Thorgersen &lt;<a href="mailto:stian@redhat.com" target="_blank">stian@redhat.com</a>&gt; wrote:<br>

&gt;&gt;<br>

&gt;&gt;&gt; Great, so we just need to tweak the Facebook provider to strip that off<br>

&gt;&gt;&gt; before redirecting to the app<br>

&gt;&gt;&gt;<br>

&gt;&gt;&gt; ----- Original Message -----<br>

&gt;&gt;&gt;&gt; From: &quot;Leonardo Loch Zanivan&quot; &lt;<a href="mailto:leonardo.zanivan@gmail.com" target="_blank">leonardo.zanivan@gmail.com</a>&gt;<br>

&gt;&gt;&gt;&gt; To: &quot;Stian Thorgersen&quot; &lt;<a href="mailto:stian@redhat.com" target="_blank">stian@redhat.com</a>&gt;, &quot;Bill Burke&quot; &lt;<br>

&gt;&gt;&gt; <a href="mailto:bburke@redhat.com" target="_blank">bburke@redhat.com</a>&gt;<br>

&gt;&gt;&gt;&gt; Cc: <a href="mailto:keycloak-dev@lists.jboss.org" target="_blank">keycloak-dev@lists.jboss.org</a><br>

&gt;&gt;&gt;&gt; Sent: Thursday, 26 March, 2015 4:21:49 PM<br>

&gt;&gt;&gt;&gt; Subject: Re: [keycloak-dev] can&#39;t figure this out<br>

&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt; Ops, you need to remove after keycloak success. Here is an example:<br>

&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt; keycloakAuth.init({<br>

&gt;&gt;&gt;&gt;      onLoad: &#39;login-required&#39;<br>

&gt;&gt;&gt;&gt; }).success(function(<u></u>authenticated) {<br>

&gt;&gt;&gt;&gt;      //fix facebook oauth<br>

&gt;&gt;&gt;&gt;      if (window.location.hash === &#39;#_=_&#39;) {<br>

&gt;&gt;&gt;&gt;          window.location.hash = &#39;&#39;;<br>

&gt;&gt;&gt;&gt;      }<br>

&gt;&gt;&gt;&gt; });<br>

&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt; On Thu, Mar 26, 2015 at 12:19 PM Leonardo Loch Zanivan &lt;<br>

&gt;&gt;&gt;&gt; <a href="mailto:leonardo.zanivan@gmail.com" target="_blank">leonardo.zanivan@gmail.com</a>&gt; wrote:<br>

&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt; Facebook adds &quot;#_=_&quot; at the end of redirect URL for &quot;security<br>

&gt;&gt;&gt; reasons&quot;, so<br>

&gt;&gt;&gt;&gt;&gt; SPA apps won&#39;t work unless you remove it.<br>

&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt; In Angular apps you should remove before call keycloak:<br>

&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt; if (window.location.hash === &#39;#_=_&#39;) {<br>

&gt;&gt;&gt;&gt;&gt;      window.location.hash = &#39;&#39;;<br>

&gt;&gt;&gt;&gt;&gt; }<br>

&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt; On Thu, Mar 26, 2015 at 12:14 PM Stian Thorgersen &lt;<a href="mailto:stian@redhat.com" target="_blank">stian@redhat.com</a>&gt;<br>

&gt;&gt;&gt;&gt;&gt; wrote:<br>

&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt; AFAIK Facebook is OAuth2 + custom weird stuff that looks like but<br>

&gt;&gt;&gt; isn&#39;t<br>

&gt;&gt;&gt;&gt;&gt;&gt; OpenID Connect<br>

&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt; ----- Original Message -----<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; From: &quot;Stian Thorgersen&quot; &lt;<a href="mailto:stian@redhat.com" target="_blank">stian@redhat.com</a>&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; To: &quot;Bill Burke&quot; &lt;<a href="mailto:bburke@redhat.com" target="_blank">bburke@redhat.com</a>&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; Cc: <a href="mailto:keycloak-dev@lists.jboss.org" target="_blank">keycloak-dev@lists.jboss.org</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; Sent: Thursday, 26 March, 2015 4:11:11 PM<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; Subject: Re: [keycloak-dev] can&#39;t figure this out<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; I remember seeing the &#39;#_=_&#39; crap a while ago, I believe that was<br>

&gt;&gt;&gt; before<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; Pedro started brokering.<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; ----- Original Message -----<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; From: &quot;Bill Burke&quot; &lt;<a href="mailto:bburke@redhat.com" target="_blank">bburke@redhat.com</a>&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; To: <a href="mailto:keycloak-dev@lists.jboss.org" target="_blank">keycloak-dev@lists.jboss.org</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Sent: Thursday, 26 March, 2015 2:54:27 PM<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Subject: [keycloak-dev] can&#39;t figure this out<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; I&#39;m going crazy...  I&#39;m testing facebook login with the admin<br>

&gt;&gt;&gt; console<br>

&gt;&gt;&gt;&gt;&gt;&gt; as<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; the test app.<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 1. Facebook auth succeeds<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 2. Redirect back to admin console<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 3. For some reason admin console doesn&#39;t like the redirect URL and<br>

&gt;&gt;&gt;&gt;&gt;&gt; does<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; a redirect back to keycloak login with a fragment of #_=_<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 4. I&#39;m already logged in, so redirect back<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 5. Success, but the fragment is #_=_<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Login works for github though...I&#39;m freakin stumped.  The initial<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; redirect back to the admin console is the same exact redirect uri<br>

&gt;&gt;&gt; for<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; both github and facebook.<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Has anybody seen this before?<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; --<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Bill Burke<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; JBoss, a division of Red Hat<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="http://bill.burkecentral.com" target="_blank">http://bill.burkecentral.com</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; ______________________________<u></u>_________________<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; keycloak-dev mailing list<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:keycloak-dev@lists.jboss.org" target="_blank">keycloak-dev@lists.jboss.org</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-dev" target="_blank">https://lists.jboss.org/<u></u>mailman/listinfo/keycloak-dev</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; ______________________________<u></u>_________________<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; keycloak-dev mailing list<br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:keycloak-dev@lists.jboss.org" target="_blank">keycloak-dev@lists.jboss.org</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-dev" target="_blank">https://lists.jboss.org/<u></u>mailman/listinfo/keycloak-dev</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;&gt; ______________________________<u></u>_________________<br>

&gt;&gt;&gt;&gt;&gt;&gt; keycloak-dev mailing list<br>

&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:keycloak-dev@lists.jboss.org" target="_blank">keycloak-dev@lists.jboss.org</a><br>

&gt;&gt;&gt;&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-dev" target="_blank">https://lists.jboss.org/<u></u>mailman/listinfo/keycloak-dev</a><br>

&gt;&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;&gt;<br>

&gt;&gt;&gt;<br>

&gt;&gt;<br>

<br>

--<br>

Bill Burke<br>

JBoss, a division of Red Hat<br>

<a href="http://bill.burkecentral.com" target="_blank">http://bill.burkecentral.com</a><br>

</blockquote></div>