背景:我们使用Keycloak通过通常通过授权头传递令牌来保护我们的API。但是,这些API还允许用户下载文件(例如:https://api.service.io/users.xlsx)。
为了使用这些“下载端点”,我们的Web客户端应用程序通过查询字符串传递用户令牌。(例如:https://api.service.io/users.xlsx?accessToken=${bearerToken}))。
问题:通过查询字符串传递令牌存在几个安全漏洞(浏览器历史记录等)。因此,我们希望传递一个非常短暂的令牌(例如,15秒的寿命)而不是普通令牌(默认情况下为300秒的寿命)。
问题:我们如何从Keycloak API请求不同的令牌(例如,/realms/#{realm_id}/protocol/openid-connect/token),方法是:
3.4.2.Final)要求指定寿命。
$ curl -X POST -d '{ "tokenLifespanInSeconds": 20}' -H "Content-Type: application/json" -H "Authorization: Bearer <user-access-token>" http://auth.service.io/auth/realms/a-realm/configurable-token
创建一个客户端并为该客户端启用客户端凭据:启用client-authentication和client-authorization。
对于该客户端,请记住客户端ID和客户端密钥,然后向Keycloak发送以下请求:
curl --location 'https://my.keycloak.url/realms/realm-name/protocol/openid-connect/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=my-client-id' \
--data-urlencode 'client_secret=my-client-secret' \
--data-urlencode 'grant_type=client_credentials'
这将返回一个带有access_token的JSON。
使用此访问令牌。
如果您希望为此令牌分配一组roles,只需转到您的客户端并单击Service account roles选项卡。在这里,您可以为该客户端添加一个或多个角色。任何进一步的令牌请求都将提供具有分配角色的令牌。