我的设置包含三个组件:
前端将使用 Keycloak 让用户登录并使用访问令牌对后端的请求进行身份验证。到目前为止,一切都很好。
现在我希望第三方应用程序能够向后端发出经过身份验证的请求,我想知道如何使用 Keycloak 来实现?我的想法是为每个客户颁发一组新的凭据。然后,他们的应用程序与 Keycloak 对话以获取访问令牌。然后我可以使用 Keycloak 来管理 API 的所有用户的访问控制。
【问题讨论】:
标签: authentication oauth authorization keycloak
我终于找到了一个运行良好的解决方案,似乎是向外部应用程序颁发凭据的“Keycloak 方式”。要创建一组新的凭据,请添加一个新的 Keycloak 客户端并更改以下设置:
外部应用程序将使用我们新创建的客户端名称作为client_id。 client_secret 是自动生成的,可以在 Credentials 选项卡下找到。
如果您的受 Keycloak 保护的服务配置为检查传入 Bearer 令牌的 aud 声明,则需要执行第二步。默认情况下,Keycloak 向您的客户端发出的 JWT 令牌的受众将设置为您的客户端名称,因此它们将被您的服务拒绝。您可以使用Client Scopes 来修改该行为:
Keycloak 现在会将您的服务名称添加到它颁发给您的新客户端的所有 JWT 令牌的 aud 声明中。查看Service Accounts 上的 Keycloak 文档了解更多详情。
外部应用程序现在可以使用其凭据从 Keycloak 的令牌端点获取访问令牌:
POST {keycloak-url}/auth/realms/atlas/protocol/openid-connect/token
Content-Type 标头设置为application/x-www-form-urlencoded
grant_type=client_credentials
【讨论】: