我使用的是keycloak,但我不明白在用户在应用中进行身份验证后如何验证身份验证。
例如,我有一个使用keycloak保护的应用程序,当用户尝试访问它时,他/她将被重定向到身份验证页面,然后(我想,并纠正我如果我错了),用户将拥有一个令牌需要随每个请求发送。
答案 0 :(得分:4)
在使用Keycloak保护的完整系统上:
用户从公共页面点击以导航到应用程序中的受保护区域。此受保护区域的链接位于keycloak管理控制台的应用程序设置中。
用户将被重定向到Keycloak身份验证页面。提供用户名和密码后,Keycloak会使用在极短时间内有效的代码将用户重新定向回应用程序。
应用程序将此代码与应用程序ID和应用程序密钥一起传递给Keycloak,然后Keycloak使用访问令牌,ID令牌和刷新令牌进行回复。您的应用程序将只需要其中一个令牌来查看用户拥有哪些声明,并且根据声明,用户将被授予或拒绝访问受保护的URL
答案 1 :(得分:1)
授权代码/标准流程:
还有两个流:资源所有者凭据和客户端凭据。