假设我们有几个微服务,每个微服务都使用Keycloak身份验证。我们还有基于例如nginx的负载均衡器,它具有外部URL和不同路由到keycloak(例如,在OpenShift中可以是https://keycloak.rhel-cdk.10.1.2.2.xip.io)。但在内部,这个地址可能是无法访问的。另外,使微服务配置依赖于负载均衡器URL有点奇怪。更合适的做法是在微服务内部使用内部keycloak auth URL或甚至是短URI。但在这种情况下,令牌将无法通过发行者验证问题得到验证。如何以良好灵活的方式进行配置?我是否可以简单地覆盖realmInfoUrl以改变验证?我可以定义基于客户端的令牌将使用哪个发行者。
另一个问题是如何更好地处理多租户场景?首先,在客户端方面,我猜我们没有任何特定于多租户的支持。我应该手动处理这个问题,通过在不同的URL/标头之间切换,并使用适当的Config Resolver。在服务器端,我需要为每种情况动态提供适当的KeycloakDeployment实例。还有其他建议吗?
另一个问题是如何更好地处理多租户场景?首先,在客户端方面,我猜我们没有任何特定于多租户的支持。我应该手动处理这个问题,通过在不同的URL/标头之间切换,并使用适当的Config Resolver。在服务器端,我需要为每种情况动态提供适当的KeycloakDeployment实例。还有其他建议吗?