我的设置有三个组件:
前端将使用Keycloak让用户登录并使用访问令牌对后端进行身份验证。目前为止还不错。
现在我想让第三方应用程序能够对后端进行身份验证请求,我正在思考如何使用Keycloak实现这一点?我的想法是为每个客户发行一组新的凭据。然后他们的应用程序与Keycloak对话以获取访问令牌。然后我可以使用Keycloak来管理API的所有用户的访问控制。
我最终找到了一种有效的解决方案,这似乎是“Keycloak的方式”向外部应用程序发出凭证。要创建新的凭证,添加一个新的Keycloak客户端并更改以下设置:
外部应用程序将使用我们新创建的客户端名称作为 client_id。 client_secret 将自动生成,并可在 "凭据" 选项卡下找到。
如果您的Keycloak受保护服务配置为检查传入Bearer令牌的aud声明,则需要进行第二步。默认情况下,Keycloak颁发给您的客户端JWT令牌的受众将被设置为您的客户端名称,因此它们将被拒绝。您可以使用客户端作用域来修改这个行为:
现在,Keycloak将向它发放的所有JWT令牌的aud声明中添加您服务的名称,以供新客户端使用。请查看Keycloak关于服务账户的文档以获取更多详细信息。
外部应用现在可以使用其凭据从Keycloak的令牌端点获取访问令牌:
POST {keycloak-url}/auth/realms/atlas/protocol/openid-connect/token
Content-Type设置为application/x-www-form-urlencodedgrant_type=client_credentials