keycloak中出现"Parameter client_assertion_type is missing"错误。

此Keycloak帮助页面描述了第二个错误最可能的原因：

问：登录时，我遇到一个错误：*缺少参数client_assertion_type [invalid_client]。

答：此错误意味着您的客户端已配置为签名JWT令牌凭据，这意味着您在登录时必须使用--keystore参数。

或者，您可以禁用在Keycloak中为客户端使用JWT令牌。

供您参考，client_assertion_type 可能是 urn:ietf:params:oauth:client-assertion-type:jwt-bearer。但是由于缺少 client_assertion，您将会遇到另一个错误。
如果 ccp-portal 是使用签名 JWT 进行客户端认证的机密客户端，则Keycloak 文档指出：

在认证期间，客户端生成 JWT 令牌并使用其私钥对其进行签名，并将其发送到 Keycloak 中的特定后端请求（例如，代码到令牌请求）中的 client_assertion 参数中。

• 我猜 PostMan 不可能生成 JWT。
• 这是用于后端通道客户端-Keycloak 通信，而不是用于用户身份验证。

解决方案

• 您可以将 admin-cli 用作 client_id，而不是您的 ccp-portal 客户端。 admin-cli 应该在为您的 ccp 领域配置的客户端列表中。您可以从 Keycloak 界面查看它们。
• 另一个选择是在 ccp-portal 客户端配置中允许直接访问授权。
• 最后，您可以在应用程序中使用已配置 Keycloak 客户端适配器之一的 ccp-portal 客户端，而不是使用 POSTMan。

如 subrob sugrobych 所提到的，参数应作为表单数据传递。

首先，当您通过REST客户端向Keycloak发布数据时，您需要将参数作为“表单”参数输入，而不是查询参数。这就是为什么您会收到“未提供参数grant_type”的奇怪错误消息，尽管您显然已经提供了该参数。同样适用于通过代码访问Keycloak API。
接下来，您需要考虑超级用户的角色。您可以分配领域角色和客户端角色。有一个名为“realm-management”的客户端，其中包含通常被视为“系统角色”的角色。您将需要使用它们。当您收到HTTP代码403时，这意味着您的用户可能缺少此客户端的某个角色。