我正在创建一个移动应用程序,它将与我的REST Web服务进行通信,以进行登录,GET,POST,DELETE和注销。我一直试图找出如何使用Keycloak保护这些REST Web服务。我不想在移动应用程序上进行任何浏览器登录,因此我倾向于使用Direct Grant API和Admin REST API进行身份验证和令牌验证。但是,现在在查看Keycloak上的可用选项后,必须拦截来自移动应用程序的每个请求,然后对Keycloak模块进行REST调用以验证令牌,然后将响应返回给移动应用程序。
这样做有更好的方法吗?一些内置函数调用检查令牌有效性,而不是为移动应用程序的每个请求进行HTTP调用?我认为这是一个巨大的开销。
我的服务器在JBOSS上。 Spring,Resteasy和Keycloak-services正在被用来找出解决这个问题的方法。