具有mod_auth_openidc优势的keycloak

时间:2017-01-10 11:23:55

标签: keycloak mod-auth-openidc

我正在我们的基础设施中设置SSO,我想知道人们是否会有更多的经验可以分享他们的学习。

  • 我的系统前面已经有一个反向代理。
  • 我们在tomcat上运行了几个遗留的Java应用程序
  • 我们有用JS编写的SPA应用程序
  • 我们很少有需要保护的API

我有两种方法可以为我们设置SSO。

  1. 使用mod_auth_openidc在反向代理上设置SSO,这样我们的网守就可以确保任何正在点击我们服务的人都已经过验证。

  2. 为每个服务添加一个keycloak库

    3. 我的偏好是在被引用代理上设置它。

    对此有什么不利/最佳做法吗?

    对于旧版应用程序,我只使用反向代理添加的HTTP标头来查找用户详细信息 对于新的应用程序,我想使用keycloak库来获取用户详细信息。

    我不想走下一些显然有问题的路线。所以任何提示,以便我可以节省一些时间是非常受欢迎的。

    到目前为止,我已经提出以下列表

    专业人士使用代理服务器和mod_auth_openidc

    • 处理所有auth特定配置的单个位置
    • 摘录SSO的实施细节。例如。我们不需要将keycloak集成到每个服务中。在我看来,如果我们稍后决定实际转向不同的SSO,这可能会导致问题。 (我知道这不会经常发生)

    利用代理服务器和mod_auth_openidc

    • 另外一个要维护的软件(错误等)
    • 如果应用程序还与keycloak集成,则可能对凭据进行额外检查(不是必需的,但只有在应用程序中需要keycloak特定功能且标题中不可用时才需要)

    我会对其他方面的利弊感兴趣吗?

    由于

0 个答案:

没有答案
相关问题
最新问题