评估可能利用KeyCloak来保护API ---仍然围绕着KeyCloak .
工作流程:1)用户访问应用程序A 2)用户通过Keycloak OpenID Connect向应用程序A进行身份验证3)应用程序A在平台X上调用API - 平台X上的API受KeyCloak OAuth2保护 - 以便在用户上检索PII(比如说)邮件,地址,最喜欢的啤酒)
问题:KeyCloak可以向用户提供上述步骤3的同意表 - 即该用户是否同意应用程序A可以调用Platform X的API来检索用户w.r.t邮件,地址,最喜欢的啤酒的数据?
1 回答
这取决于..如果两个应用程序完全分离,但它们都在同一个keycloak服务器中的同一个Realm中,那么您可以在不需要检索信息的应用程序之间实现SSO,因为从keycloak收到的令牌将是可用于App X,并向App A提供相同的内容.API会将您视为您是应用程序A的人 . 这意味着您将“自动登录” .
但是,如果它们使用两个不同的Keycloak服务器实例进行保护,则第二个应用程序应显示同意消息 . 例如,我的约会网站以Keycloak为安全,要求您连接到Facebook,这样它就会填充您希望与某人匹配的页面列表... Facebook登录对话框会弹出让您登录,然后询问您是否允许App A查看您喜欢的页面和兴趣 .